【原创】关于个人桌面安全也许我们都错了
晶体测评小组
让我想到这点的其实是因为在 IKAKA和别人一次有关防火墙的争论引起的。
我想从入侵的角度来说说防火墙,我想一般的侵入都是从扫描器开始的流光和NMAP等,由使用者确定目标特征后开始扫面一个IP段。之后软件就会列出该IP段上可用目标,然后使用者就会侵入,提升权限,注入,运行,清理等等一系列动作。而且某些扫面器基本上会没有人为干预下自动完成。而软件防火墙此时只要可以抵御扫描软件即可。
我们再假设一个“攻击者”不借助任何工具软件全部手动进行攻击,那它面对是什么一切都是未知的他要面对各种情况,仅从软件防火墙来将他就要面对不同品牌进行针对的穿透,这需要攻击者要由多少知识储备要有多高的技术。而且就算它是侵入的速度完全取决自己敲击键盘的速度,那这种对目标不明确的攻击仅仅只是没有意义的简单的机械劳动,这对攻击者不是对任何人来说完全都是在浪费时间。
我再以ASP,反弹木马来说首先来说的这种木马要能突破被攻击自身安装的安全软件/杀毒软件的监视,即使是攻击者对木马进行修改封包甚至是使用了全新的木马,我暂且不说由多少人由这样的技术,就是这样的木马由多少是通过防火墙直接注入目标机器的呢?而多数木马基本还是通过网页下载进入目标机器之中的吧!
再这里我特别提醒大家注意我前面说的这句话“是通过网页也就是浏览器”因为这样无论的速度还是效果以及难度上都要远远好前者。这样的攻击和防火墙由什么关系呢?
我再说说防火墙关于蠕虫病毒的攻击,首先目前各个杀毒软件病毒库最大增长比例是木马不是病毒,而且恶性蠕虫病毒出现的条件是微软必须由可以利用的漏洞,并且相关代码泄露出来,并且编写病毒的作者再微软推出相关补丁前的一段时间内把病毒写好测试完再发布出去 ..... 如果不满足以上条件都不可能意为这样事件的发生,我当然不会天真认为以后不会有这样的事情的发生,但是问题的关键是用户的软件防火墙再其使用期间出现的概率是多少。
有关ARP攻击我仍然认为通过软件防火墙的引擎和规则包不可能完全有效抵御ARP攻击,即使是JeticoV2这样的墙也仅仅只是跟其它软件墙相比出色一些而已。因为面对大量的饱和攻击即使的引擎和规则再优秀那软件也回逐渐消耗系统资源直至没有响应。而且有多少用户会面对这样的攻击?非固定IP的用户可以即使面对这样的攻击转换IP后就可以解决为什么要把没有意义的寄托全放到软件防火墙上?以上对普通用户有意义吗?不要说用户不可能遇到这样的攻击,即使是遇到防火墙抵御主了并提示用户。那对于用户来说除了增加用户思想负担,“呀!有人攻击我”之外有什么意义?
而且真正成功的穿透防火墙是没有提示的,就象平常一样...没有危险的时候警惕,有危险的时候......对外防御上不是要一款一切全能的软件防火墙也没有这样的墙,其实我们要是只是一款够用的墙。用户关于防火墙有什么测试标准?看国外测试结果,自己去安全网站测试,用安全软件测试?看机构测试排名,没有一家是一样的因为方法不同针对也不同。自己去测试我想只要不是太垃圾墙都没有问题过吧 。
用安全软件测试用很简单但是你结果是什么。从专业的安全公司的报告来看目前所有我们知道的软件防火墙几乎再最关键安全构架都有问题,但是为什么我们还能看到那些溢美之词呢?因为有些东西对我们来说是没有意义的,就想过分的安全要求。最后说说测试你用过CPILSuite,LeakTest测试过自己的防火墙吗?结果怎么样?很多时候即使你安全COMODO这样一款我极力推荐的内部防火墙时,信息还是泄露了。因为防火墙提示有对外连接请求时你 放行,防火墙已经进到自己的职责了,但是我们自己放行了。
之所以说COMODO好是因为他可以较好的抵御内部信息的泄露,而且再有对外连接请求的时候,他会有较详细的提示说明该请求的危害性。如果这最关键的提示你不看的话那COMODO就是垃圾,不是说他对外防御不好,而是说他最关键的对内防御也不用或者说不会用!因为内防火墙的防止信息泄露对每个用户都用关键的意义。谁也不敢保证自己杀毒软件不会漏杀,但是漏杀的病毒再面对内防火墙时内防火墙就是你机器最后的防线,这因该关系每一个用户切身的隐私和经济利益了吧?
我也承认内防火墙可能不会面对更新型的渗透但是这需要木马编写者是一个天才因为他要有足够的能力去戏耍全世界的安全公司......而面对外部攻击那飘忽的无数个不确定,那个更有分量,而且我早就说了 火墙没有内外之分只是侧重不同,内外都是我自己冠名进行区分,更重要的是没有任何报告和证据说明内防火墙的对防御就是差!请你打开你的防火墙看看设置中的那些对外连接请求,看看你能确定绝对安全的有几个?就像我一直说的:
在别人嘴里在垃圾的防火墙你会用就是最好的墙,在别人眼里在好的墙你不会用就是垃圾!
前面我已经在防火墙中提示大家注意浏览器,因为他是很多防火墙无法解决问题的根源。而这些问题在杀毒软件中也是无法解决。而且目前任何一款安全产品基本都是在系统已经感染的情况下进行处置的,而这些矛头又集中到浏览器上。我以前已经发了有关浏览器防御的帖子,真的希望大家看看。因为关于个人桌面安全我们真的走错了。要是这样走下去我们用户要成为系统安全专家,杀毒软件专家,防火墙专家.....一个全方位的安全专家这样现时吗?我们假象用户会面对任何安全威胁,但是我们用户的实际面对情况呢?就算可以我们的产品有能力解决任何问题,但是用户会使用吗?个人安全我们真的走错了路!
