互动科普

网络安全的噩梦

如果我们不能找到恶意软件，我们就无法阻止它进入电脑。

撰文 斯科特·博格（Scott Borg）  翻译 詹浩

网络安全世界正开始像一部悬疑惊悚片那样，展开惊心动魄的故事情节。身在暗处、不怀好意的人将恶意软件植入我们的电脑。他们将这种软件悄悄塞入电子邮件；他们通过互联网将它传送出去；他们通过不安全的网站感染我们的电脑；他们将它植入其他程序；他们将它设计为能在笔记本电脑、闪存、智能电话、服务器、影印机、音乐播放器、游戏机等设备之间转移，直到它进入我们电脑的核心系统。因为即使是与外界隔离得最好的电脑系统，也需要定期输入新指令、新数据或某种维护工作，所以任何系统都可能被感染。

这种影响可能是灾难性的。在潜伏数月或数年之后，不用接收任何指令，恶意软件就会启动。它可以禁止紧急措施启用，使工厂生产出不合格产品，使炼油厂和输油管道发生爆炸，使饮用水受到污染，制造医疗事故使患者死亡，让发电机发生故障停止运转，抹黑银行系统使之信誉扫地，让飞机停飞，使火车相撞，以及使我们的军事装备调转方向对我们自己发起攻击。

许多政府官员现在都意识到，必须采取行动解决这个问题。他们把对隐私和公民自由的担忧放到一边，提出了庞大的政府方案，来搜索我们的计算机核心系统，并对所有进入这些系统的信息数据进行扫描。

但在这一步时，事情变得复杂起来了。实际上，我们并不知道如何扫描恶意软件。我们不能阻止恶意软件，因为我们找不到它，即使看到了，我们也未必能认出它来。

就像惊悚片中的角色不知道该相信谁一样，网络安全专家开始处理筛选这些方案。我们能够通过识别其特征来辨认出恶意软件吗？不能，因为每一款恶意软件都可能是不同的，并且能够不断改变外观。我们可以通过传播恶意软件所需的工具来识别它吗？不能，因为恶意软件也许是通过别的人或工具插入的一个有效载荷。

我们能否在恶意软件的一些可能藏身之处找到它？不能，因为它可以藏在我们不知道的地方——比如我们无法看到的内存中的某个区域，或者我们从来也不知道拥有存储器的某个组件。甚至在我们寻找它时，它还可以四处躲藏。恶意软件可以自我复制到我们刚刚查看过的地方，并在我们将要查看的地方将自己擦掉。

我们能否通过逐步查看每个程序的每一行代码以确保其无害，从而来创造一个安全区？问题是，我们可以直接查看恶意软件的每一行代码，但却辨认不出恶意软件。有时，某一行代码的一个微小改变也可能会导致糟糕的后果。有问题的代码并不需要在单独的行里。恶意软件的恶意内容可能是操作顺序，它导致一个正常的指令恰好在错误的时间被执行。

如果所有其他方法都失败了，我们可以通过恶意软件的行为来识别它吗？这个方法也没用。恶意软件可以控制所有显示内容、消息框、图形或文档。它能确保你只能看到它想让你看到的东西。如果你设法在它正在干坏事时抓住它，那可能为时已晚。在某个恶意程序第一次启动，将导弹调转方向射向你自己，让发电机烧毁或使你的炼油厂爆炸时，通过其行为倒是将它识别出来了，但是却无济于事了。

我们真的不能相信任何东西。我们正在用来搜索恶意软件的电脑，可能是正在传送它的传输工具；我们的认证系统可能正在验证被恶意软件感染的程序；我们的加密系统可能正在给恶意软件加密。即使我们设法建立起了一种有效的隔离手段，我们还是不知道恶意软件有没有被隔离在外。

这正是许多网络安全专业人士目前所在的世界。我们正在阻止大多数恶意软件，一直如此。但是，我们却没有一个可靠的解决方案，而拥有这样的方案却可能是最重要的。美国及其盟国一直擅长于在紧急关头及时拿出解决方案。而我们现在就需要一个解决方案。