TOM2000
晶体测评小组
给你一个真实的安全测试
我们的安全基本都是停留在自己能接触的机器,我们的安全都是根据自己的安全知识作为出发点,我们的安全也许仅仅还是停留在实验事阶段。但是实际是什么样的呢?因为无论多好的安全技术最后都要体现到每一个普通的用户身上。当我们把一切都给普通的用户,当我们从用户自己的角度去看安全的时候。我找到答案,同样通过下面的文字希望也能给大家一些启示。
测试样本我分别选取的5台网通用户户一台小区宽带用户一台校园内网用户共7个样本,用户的安全软件配置都根据用户自己的使用习惯进行的安装的。7个测试对象中有6个都跟踪了2月以上,另外一个则使用2007安全手册中提到的多机安全配置所以测试时间将近4个月。
整个的测试期间在没有特殊情况下,我基本采取一种无干预的测试方法。只是在最后的资料,数据收集阶段接触测试机器。
防火墙测试
当我拿到7份防火墙日志的时候,发现原先设想的通过日志文件分析的方法完全是错误。因为测试用户使用的是不同品牌的防火墙,虽然在测试之初我就有意的对日志设定进行统一,但是毕竟各个不同防火墙对威胁的界定不同就造成的日志的分析的困难。可仔细分析一下我还是发现一个问题就是虽然一个测试样本中ZA防火墙报出3800多次高安全威胁,但是7份样本中没有一份是针对测试用户进行专门的网络攻击的。即使个别测试样本中确实有异常的日记记录,但是仔细分析下来也只不过是扫描器对测试样本所在IP段测进行扫描而已,而且日志文件也显示在扫描后没有进一步的针对测试样本进行攻击的记录。在跟踪时间最长的多机安全配置中的DMZ服务器上记录基本也是一样的,更不要说“蜜罐 ”什么的了。
也就是说在测试的7个样本中,用户的防火墙面队针对性的机会很少而且只要是你使用防火墙不是太垃圾的话完全可以应付常见扫描工具。
但是防火墙也不是没有问题。首先在7个测试对象中几乎2/3的用户都使用P2P(BT下载)工具,但是目前防火墙对P2P还是缺乏保护的,多数防火墙基本都是默认不信任所有P2P服务了事,网上也有网友自己编写的P2P防火墙规则,但是一般着只是针对某些防火墙的。而且这些规则的实际效率也缺乏相关的数据。也就是说在安装防火墙的情况下使用P2P软件那P2P软件就是一个安全漏洞,因为软件防火墙一般是不会对P2P进行保护。
其次也是本次防火墙测试中一个最大的问题。就是7个样本中没有一个用户对防火墙对外连接提示进行有效管理的,几乎所有的用户都是放行一切的对外连接请求,提示。我在一个安装COMODOD的用户中竟然发现一个明显的木马对外连接请求而且用户亲自放行了!我也对着个现象询问了用户,但是反映的情况也基本相同就是开始用户都很仔细的阅读防火墙的说明(“基本看也看不懂”用户原话),但是用户一般自手动阻止一些防火墙提示的对外连接请求后基本都会导致某一软件网络服务无法使用,所以最后用户基本上就放行所有的服务……
虽然用户想方设法的保护自己的安全,但是在某一个方面基本是不设防的比如P2P。另一方面理论上用户用好防火墙的对外连接请求就可以阻止一切木马等恶意软件造成的信息泄露的问题,但是即使是COMODO一样提示非常到位的软件在用户实际使用上也是停留在“理想阶段”。防火墙外部防护基本没有什么大的问题,但是防火墙内部防护基本是没有作用的。换句话说普通用户使用防火墙时基本只能或者只使用了防火墙一半的功效!
系统本身
几次由于微软漏洞引起的恶性病毒事件,使得用户开始关注安全补丁这一个问题,几乎所有与安全有关的文章也都在强调微软补丁的重要但是实际使用情况。测试样本中除了一个系统可以因为开放自动更新功能外,其它的样本仍然只打了测试之前的补丁。而且更多的情况下用户的补丁基本只是取决于自己系统安装光盘。用户是不会手动更新的。用户在看不到补丁的带来的实际好处时时不会想到安全补丁的,以前每次主动安全补丁无不不是因为不安装某款补丁就无法正常上网!
说一个故事,一个朋友因为某些原因维护某一个公司的机器。但是最后还是不堪其扰,对机器进行权限设置。管理员用户设定密码,而无密码的帐户则进行权限设置用户无法安装软件。但是最好这些机器还是感染了。疑惑吗?其实很多人应该知道答案了,没错木马就是通过系统漏洞感染的。
系统本身的安全设置无从谈其,远程管理,远程注册表管理,共享设置等等全部没有进行设置。用户的安全完全依靠软件其它的……
杀毒软件
用户各自使用了自己习惯的杀毒软件。但是测试中有2台计算仍旧被木马所感染。而且无论测试用户使用什么样的软件,使用其它品牌的安全软件进行查杀还是会出现新的威胁提示,虽然这些一般都是广告程序等低威胁程序。
实际情况的是用户只要安装杀毒软件就可以最大限度避免感染的情况发生,但是这并不是说不会感染。而且情况更糟的是一旦感染清除是非常困难的。
这可能跟目前用户选择杀毒软件标准有关,因为目前非常流行依靠VB100%等测试来验证杀毒软件软件好坏,但是实际这些测试都是检出率测试。使用样本跟目前国内的安全状况完全脱节。这也就是造成目前杀毒软件的一个怪现象,就发现流行病毒后要么杀毒软件被杀,要么病毒无法清除。
目前的病毒主要依靠2种主要方法传播,一就USB等移动设备二就靠网络。这2种威胁主要依靠用户使用习惯和杀毒软件解决,后一种威胁更大也更广但是即使用户安装安全产品,还是会因为软件更新时差或系统漏洞更原因继续被威胁,其实我提出的窗口安全方法在这次实验种证明时简单有效的,在多机安全测试样本中geswall很好的对IE进行保护,这也成了本次测试中使用第3方软件唯一一款0问题(仅指杀软测试)的样本。
另外在后期测试中我仍旧注意到几个问题,首先使用GOOGLE的搜索的用户的安全风险要底于使用其它搜索的用户,原因之一就GOOGLE本身开始使用安全新技术有关,当用户在GOOGLE搜索时GOOGLE就会对安全结果做一个提前的安全分析,用户此时访问有安全问题网站时GOOGLE就提示并屏蔽该威胁。另一方面就是很多安全插件目前把支持GOOGLE作为自己的标准了。
另一个问题就是使用瑞星安全等套装的用户,在总体安全上要好于使用单件安全组合的用户。这不是说瑞星杀毒软件或防火墙在技术上要比其它国内外的对手要有出色多少。而是普通用户通过安装其产品就可以对自己的系统漏洞进行检测并修复,就可以对系统安全补丁进行下载虽然也有实效性差,操作不方便等弊病但是单在一个普通用户手中的话使用瑞星安全套装的用户总体安全性确实要好一些。
其实测试中我们可以发现一个问题,就是大家都是知道自己面临一个什么样的安全威胁,也尽力去避免这些威胁。但是由于各种原因用户常使用的解决方法有一些“本末倒置”。一方面在杀毒软件和防火墙上投入大量的精力,另一方面在设置上却一味的不管不顾。一方面要尽全力杀毒感染的病毒,另一方面对主动预防却漠不关心。在这种大的趋势下用户面对的威胁其实已经超越自己使用安全产品所能预防的极限。
另一方面对于喜欢使用单个安全品牌进行自主搭配的用户来说,今年下半年随着多数厂商开始在自己的产品中引入HIPS技术,他们的问题不在是什么样的搭配最好,而是什么样的搭配能兼容。因为COMODO V3等的测试已经表明全3D的HIPS与同等功能的其它软件在兼容上存在巨大的问题。而且HIPS本身对安全的起到作用也最多就是对自身的保护,要想通过规则或用户交互设置来达到对系统的全面保护则只是一相情愿,防火墙的对外连接提示就是很好的范例。
安全软件要想得到一个好的评价除了靠自身的品质的外,最大程度的智能话也是必要的比如COMODO的成功,但是非常遗憾的是在相当长的一段时间内软件都是要靠用户的决策,要想达到一个必要的安全高度依靠软件基本是不可能的只有提高自身的安全知识。也就是为什么说目前的用户已经应付不了日益增长的安全威胁。用这篇文章来提高大家安全意识我想无论是我还是文章本身都不可能,只是想用它来更全面的让大家认识自己在安全上的一些误曲。
