1.病毒。
美莉莎、ExploreZip和其他各种不知名的病毒在众多的公司、邮件服务器之间迅速地传播开来,导致大量系统当机、数据丢失和毁坏的情况。虽然多数公司能在一两日内从病毒的侵害中恢复过来,但基于以下理由,我们仍把它列为安全问题的首要事件。这些事件表明,个人或者小团体有能力利用Internet迅速攻击数以万计的计算机并使商业运作陷入混乱。最重要的是,这使公众了解并注意到计算机病毒的危害性,使计算机安全问题引起了公众的重视。尽管一些资深安全专家抱怨关于病毒的宣传剥夺了一般用户自己的理解力,但美莉莎病毒的肆虐,证明了在过去几年中,这些专家靠增加安全预算来反病毒的行为是失败的。同时还说
明,安全防护软件还有一段很长的路要走,许多信息管理员已经学到了未来面对攻击的第一对策——拔掉电源,关闭系统。
2.政府发起黑客行动。
这些行为包括,东帝汶对印尼,美国对利比亚,中国则显然针对任何国家。不论各类传闻是否属实,也不论是否还有没被报导过的攻击行为,最明显的是,我们已经进入了一个新的时代,Internet已经成为政府信息战中的重要元素。在第一次世界大战的开头,飞机——作为一个新奇事物,仅仅被用作侦察。最初,双方飞行员相遇时甚至会相互敬礼。后来,一个飞行员向对方开了枪,到战争快结束时,天空已经成为战争的重要场所了。Intenet,目前刚刚走过她作为新奇事物的阶段,政府、教育、军事和工业都开始在很大程度上依赖她,她不可避免地将要成为一个战场。
3.隐私。
个人隐私问题在1999年大大的升温了。公开大量个人资料的行为正在进行着,比如,出售邮件列表地址,在线播出失态行为,利用网络监视反对党……这些都导致Internet隐私问题日渐引起关注。在1999年之前,多数人已经或多或少的接触到诸如信用卡号码保护之类的个人隐私问题,现在浮现在我们面前的是一个更大的图景:跟踪在线时间、地点、访问的站点、个人资料,这些情况确实都令人触目惊心。从Intel的PIII序列号,到Real Network的秘密数据收集,甚至亚玛逊表面看似安全的在线支付,公司通过日益增长的客户隐私资料而成为信息统治者。在公司日益采用种种电子手段来进行信息保护的情况下,工作场所的个人隐私问
题将会在下一个世纪的头十年,成为最大的工作权益问题。期间,Internet先驱如Zero Knowledge Systems承诺完全匿名的网络冲浪。在整个美莉莎病毒事件中什么事是最令人吃惊的?那就是:病毒制造者迅速被捕了——David Smith没有很好的网络隐私权。
4.开放源码运动。
主要是GPL和Linux。在计算机工业中,开放源码运动和Linux对信息安全产业及以下多数我们要提及论题的影响是极为深远的。开放源码运动引起了安全软件的增加,并且能绕过美国标准,抵制商业软件。从PGP和IPSEC的公开版本到高质量的入侵检测系统,看来,使用这种相互协作的软件开发方法,开发能力几乎是无限的。Linux作为一种更安全、更易管理的操作系统,给原来的微软用户一个新的选择空间。在安全领域内,人们确信,开放源码是增强系统壮健性和安全性的唯一途径。同时,开放源码运动也带来了她不利的一面:自由进行的安全开发和病毒工具在恶意人群中迅速增加。然而,潘朵拉魔盒已经打开了,这个势头是不可遏
制的。
5.加密技术出口政策。
在工业领域内,加密技术从美国出口曾经一度极为严格,为防止暗中进行的犯罪活动,这被视为非常必要,但同时,也被认为侵犯到了个人隐私,有损美国软件业和世界电子商业的长远发展。这些政策在1999到来之际仍然显得极为强硬,但已经受到各方面的无情抨击,很显然,它将做出重大变更。从参众两院到德国政府发起的解除PGP限制的运动看来,这些指责没有白费力气。克林顿政府已经把每种提案都列为试行方案,新的政策将于2000年1月出台。上周的解除PGP出口限制的行为似乎表明一个崭新的自由时代的到来。Freeing PGP软件的作者Phil Zimmerman尚因3年前的这桩旧案在接受美国政府的调查,看来,世界变得太快了。不
论2000年1月政策是否将如期出台,政府将永远不会象从前那样严格控制加密技术。
6.微软遭遇信息安全问题。
来自Redmond的人们在过去的一年中写下了盈利和骚乱的篇章。在年终,作为与司法部漫长“赛跑”的插曲,微软也出了一些安全上的问题。1999年,微软的安全顾问数量是1998年的两倍。问题是多方面的:浏览器后台提交个人信息,WEB服务器可以被非法接管,Windows NT的安全漏洞。微软总是引起黑客们的反对,黑客们宣称微软忽视了他们在产品安全漏洞方面的警告。但是,在eEye Group组织的一场公开寻找Web服务器安全漏洞的运动之后,微软有加快升级步伐的倾向。除了软件方面的问题,微软在免费电子邮件领域也遭遇了一场极为尴尬的局面。在夏季,有人发现Hotmail糟糕的安全措施竟能允许任何人随意收取用户的电子邮件。只需键入一个特殊的URL,你就能做到这一点。除上述问题之外,几乎所有的病毒都只攻击微软的平台,看来,公众已经被捏在比尔.盖茨的手掌心了。然而不管怎么说,微软暴利机器照样运行,公众无法判断微软产品是否会因为产品安全性能差而受到攻击。因为,这些软件太庞大了,或者说它确实存在特殊的内部问题。
7.能源部向中国泄露核机密。
哦,这原本是一个政府认为具有极高安全性能的领域,但据Los Alamos的一名雇员交待,他用自己的计算机下载了美国核武器的机密,并交给了中国。官方最初在1995年打开此事件的缺口,但由于一些低性能的安全工具和安全政策,直到现在才完全破获。从现在起,联邦调查局将对下载核机密的每一行为进行广泛、有效的检查。
8.国家安全局(NSA)使用Echelon。
一些有关NSA的各种传闻,不知来自于何处,NSA本身拒绝承认存在电子窃听系统Echelo。但确实有很多相关的传闻。一份向欧盟议会提交的报告称,这个庞大的系统监视着所有的卫星、微波、光纤及其他各种通讯设施,将其中有害的信息报告给美国。这份报告还说,NSA还利用这套系统帮助美国公司与欧盟公司竞争。美国公民自由协会和保守党议员都想调查Echelon这种侵犯个人隐私的行为。还有其他一些报告指出,根据NSA现在掌握的技术,它是很危险的。那么,关于Echelon,我们又能了解多少呢?它很庞大,当它运行时,NSA的一些幽灵可能正发出得意的笑声。
9.AES(高级加密技术)参与竞选。
AES将于2000年被国家标准技术委员会(NIST)选中。从21个初选名单中,有5种进入了决赛,它们是:MARS, RC6, Rijndael, Serpent, Twofish。其中三种来自美国(IBM, RSA, Counterpane),一种来自比利时,另一种的开发成员则由不同国籍的人组成。开发者们为获得最后的殊荣而相互竞争——NIST要求入选者承诺放弃从运算法则中获得的版税。新运算法则的重要意义是什么?一旦被选中,AES运算法则将被美国政府用来加密所有敏感信息和非机密信息。因为联邦政府基本上已经从一个计算机技术的开发者,转变成了一个巨大的消费者,AES将与出售给公众的商业产品和私人部门。这些都将使AES具备重要的特性:它将从一种加密技术转变为确保电子商务和财务处理的工具。在下个世纪,AES将成为保护你的数据不受侵犯的核心运算法则。
10.这究竟是黑客工具还是合法软件?
当黑客组织Cult of the Dead Cow(CDC)大张旗鼓地发布Back Orifice 2000软件后,该软件立即被反病毒厂商贴上了“有害”的标签。一些CDC的支持者提出了置疑:为什么单单列出BO2K呢?仅仅因为它提供秘密的远程控制吗?一些所谓的“合法”软件,如微软自己的SMS平台也具有同样的功能。一些黑客组织宣称,如此定义他们的软件将会阻碍贸易发展,妨害商业竞争。AV companies对此做出了回应,他们称,不论该软件是否合法,它的目的是非法的。最终,任何将其定义为病毒的组织并不能真正解决我们的安全问题——限制一种软件应该看它试图做什么,而不是它看起来像什么。在黑客们努力工作,传播真正病毒定义期间,你只能以极高的频率来不断升级你的病毒信息库。
{{item.content}}