互动科普

用户与企业家们群集于信息高速公路上，而电子强盗和其他一些危险却在等待着他们。

(Internet)网络总有一天会成为一条信息高速公路，但是此刻它却更像一条穿过美国原西部崎岖地带的十九世纪公路。随着新开拓者浪潮般涌入计算机化空间以寻求自由信息或商业机会，他们也为同小子皮莱(一位手持六响枪的歹徒)一样熟练地玩弄键盘的骗子提供了一些易被欺骗的傻瓜。电子领域的老手们现在既为犯罪率的日益增加又为长期以来所确立的诚挚合作规范的日益没落感到悲哀。

即使是那些每天都在从事网络工作的人也难于正确评价Internet网络对社团信任和相互宽容的依赖程度到底如何。组成这个网络系统的三万个互连网络和250多万台附属计算机相互交换成千兆字节的信息，而这一交换的基础不过是与陌生人的一种数字式握手而已。(甚至连SRI国际研究所所编制的对该网络规模的估计也依赖于全球各地的系统管理人员的合作。例如，大多数人都知道电子邮件信息可能会被并非其预期的接收者的许多人看到，但是他们几乎没有意识到电子邮件和其他通信还会被几乎不留任何痕迹地加以伪造——实际上通过这一网络接收某一报文的任何人都无法确保该报文来自于名义上的发送者。

电子骗子可能会以另外某个人的名义犯下诽谤或教唆罪行；他们甚至会假冒受某人信任的同事以诱使某人泄露敏感的私人或商业信息。在那些十分知情而担心电子假冒罪的少数人之中，只有极少数人了懈一种隐伏编码的电子邮件信息如何能使某些计算机给发送者提供几乎无限地接触接收者的所有文件的机会。而邮件传递程序仅仅是入侵者能有机会接近网络计算机的许许多多方式之一。SRI的Donn B．Parker说：“它很像西大荒。没有法治，发展迅速，人人冒险——你得先发制人，否则就后发制于人。”

如此众多的人都将其对教育、利润与国际竞争的希望建立在Internet网络之上，那么为了了解该网络是如何弄到这一地步的，研究一下国际通信基础设施的其他部分的安全记录会给我们带来启示。一位计算机骗子可能会成为一位“不付钱打电话的人”，以避免为计算机入侵有时所需要的长途通信支付费用，他也可以将打电话不付钱作为一种有关的业余爱好(很象一位偷猎者既可狩猎又可钓鱼)。不仅某些出场人物是相同的，而且许多基本设计问题也是相同的。此外，建立每一种新一代技术的工程技术人员似乎也犯着与其前辈们相同的错误。

 设计者们似乎重复着的第一个最大的错误是采用“模糊性安全”策略。他们通过对其系统的易受伤害的弱点保密来保持系统安全的企图一再遭到失败。例如，让我们研究下美国电话电报公司(AT&T)与不付费的打电话者之间的追击战。当这一战争开始于60年代时，打电话不付费者为了将某些声音传给话筒而进行不付费的电话呼叫，他们能相当轻易地操纵长途电话网络。(一位名叫John Draper的打电话不付费者因其发现一种改进型麦片盒啸声能产生开启中继线所需要的2600赫芝声音而被称为“Cap—tain Crunch”。)这些精确的频率被“隐藏”在一些技术说明书和隐晦难懂的杂志论文中，但是大专院校学生和其他人不久就将这些频率刺探了出来。打电话不付费者建造了一些所谓的黑、蓝、红箱以产生所需要的信号，并且一个小型家庭手工业也蓬勃发展起来，直到AT&T公司采用了一些使通过电话送话口进行欺骗不容易得逞的方法为止，这种情况才有所改变。

电话信用卡经历了一种今天仍在继续的进化过程。贝尔通信研究公司的Henry M．Kluepfel 回忆说，当首次推出这种信用卡时，信用卡号码是由一序列数位(通常为区域代码，编号和记帐局代码)后续一个“校验位”(取决于其他数位)组成的。操作员能十分容易地进行这一数学运算，确定某一特定电话信用卡是否有效。而打电话不付钱者却能轻而易举地计算出如何生成适于任一特定电话号码的正确校验位。据Kluepfel介绍，贝尔公司不得不依赖于在欺骗电话出现时查明它们，追踪下去并依法对其起诉，这是“长期以来从未见效的”一种方法。

1982年，AT＆T公司终于采用了一种更为完善的方法。该公司给每一个信用卡分配了四个校验位(“PIN”即个人识别号)，这些校验位不可能从另外1O个数位轻易地计算出来。一个全国性联机数据库使这些号码可供操作员使用，以便他们能确定信用卡是否有效。

自从那时以来，电话信用卡号码的偷窃行为已经变成只是偷看和欺骗而不是数学计算问题。“通风报信者”常去火车站、旅馆门廊、民航候机大厅和其他一些类似的场所。当他们发现一位受害者正在按—个信用卡号码时，便将这个号码传送给同党以便广泛使用。Kluepfel悲哀地指出，他自己的电话信用卡也曾于1993年的某一天被泄露，就在网络安全专家检测到并注销掉该卡之前两分钟里便被别人用来打了600多个国际电话。他承认说：“我曾在投币电话机上打了一次电话，打电话时我倒是一直注意着我左边的一位令人讨厌的家
伙．警惕着不让他看到我的信用卡号码，但是却忽视了站在我右边的那个衣冠楚楚的家伙。”Kluepfel用事实说明，被偷窃的电话信用卡每年使长途电话公司及其用户损失掉约5亿美元。美国保密服务局(Secret Service)估计电信欺骗总金额达到25亿美元；而产业界估计的数额则在10亿美元至90亿美元之间。

其他人的问题

在约30年的进程中，AT&T公司曾开发了一些监测工具，以阻止打电话者逃避交纳长话费。该公司还使用这些工具来阻止那些拨号进入电话交换系统以直接利用这些设备的个人。这类访问使打电话不付费者将其他人的电话转到新的地点，将电话发送到全世界乃至切断相互的电话服务。然而，在贝尔系统于1984年解散之后，AT&T公司便不再是全球电信世界的警察了。尤其是，有数万家大型和小型公司曾购买PBX(即所谓专用分支交换机)来使其内部电话网自动化，而这些公司发现它们自己成了“计算机窃贼(finger hacker)”的目标，但是它们却没有象AT＆T公司的那种自卫能力。

AT＆T公司的Kevin Hanley说，干这类偷盗坏事的最简单方法是“拨1—800和七位数字”。在许多长途电话线的另一端，设置有一个PBX远程访问装置，这是一种子系统，它允许公司雇员给总公司打电话，然后从那儿拨到世界上任何一个电话号码。Hanley指出，大多数这类装置需要一供外发电话用的保密码，但是有时“公司董事长不想记住一个密码”。没有任何人准确知道这种疏忽和自我放纵会付出什么代价。PBX欺骗行为的行业损失估计值每年在几亿至10多亿美元之间。Mark Abene是一位计算机窃贼，因犯有计算机侵入罪眼下正在联邦监狱服刑一年，他冷笑着说：“这是一种愚蠢的行为。”(在一次会见期间，Abene概略地介绍了数字局间信号系统的体系结构，与此同时还抱怨说他认为在内部电话的公司备忘录中他的品德鉴定书上留下了不应有的污点。)
    尽管如此，持续不断的试错拨号仍然是非常有利可图的。计算机窃贼能够在被查出之前花掉数万或数十万美元的电话费，Hanley指出，大多数这类犯罪行为都是由一些有组织的犯罪团伙干的，这些犯罪团伙甚至可以开设店铺，削价出售长途电话服务。用户进后支付费用并告诉值班人员他们想要接通的电话号码。缺乏想象力的窃贼则可能会从—个街角电话亭出售电话服务。
    通过配置一个系统阻断那些通到公司没有任何营业活动的地方的电话并通过将呼入电话登录下来以查出入侵企图，便可避免几乎所有这些入侵。Hanley说，可是许多PBX的拥有者并未意识到他们所面临的危险。甚至那些知道其危险处境的公司也可能在晚上或周末期间不安排管理人员值班，而大多数欺骗行为便是在那个时候发生。Hanley坚持说，在参加其所主持的安全研讨会的40到50位与会者中，仅有“两、三个人知道长途电话欺骗行为是如何进行的。可能有30％或40％的人知道这种欺骗是怎么回事，以及这是一件坏事”。

电信业的第二个最重要创新——移动电话——的设计人员显然忽略了其有线电话前辈们如此痛苦地获得一些教训。将拥有合适的无线电接收机的任何一个人都能偷听电话这一事实撇开不谈，这类装置特别容易受到长途电话欺骗行为的危害。每个移动电话呼叫都起始于播发该电话的序列号和记帐号。移动电话交换机对照运行电话的数据库检验这两个号，以决定某一呼叫是否应予放行。遗憾的是，这些号码也是窃贼假冒合法打电话者所需要的唯—信息。

早在1984年，通信专家Geoffrey S．Goodfellow(当他侵入SRI的一台计算机并最终获得一份工作时，便开始了这一领域的研究)曾写了一篇论文，设计出一幅供移动电话诈骗使用的路线图；仅在过去一、两年间，一些窃贼才使用了他所草拟出的更为高级的方案。

Good fellow坚持说，其根本的问题在于移动电话的工程技术人员低估了那些可能想暗中破坏其设备的人的技术专长和坚持不懈的毅力。他要求立即用更为安全可靠的替代标准来更换现行的移动电话标准，但是几乎无人理睬。

最简单最直接的入侵称为“克隆”：将一台非法装置的序列号和电话号码按照一位合法用户目前所使用的电话的序列号和电话号码重新编程。虽然按标准要求，电话机制造出来后其序列号应无法变更，否则便会造成无法修复的损坏，但是一些早期移动电话制造商在一块存储芯片中提供了这些号码，而这种存储芯片可采用螺丝刀将其打开。目前其他制造商则将这类信息存放一种电可编程芯片上，该芯片可通过给电话施加适当电压直接进入。

更为高级的欺骗手法则是改动移动电话借以收听来话的电路，使其能在来话呼叫时破译出它们的号码。然后窃贼便能重放这些号码来打并将帐记到他人头上的电话。承担移动电话通信业务的公司——因而应为欺骗行为支付费用——已经采用了一些监测技术来检查非法电话；此外，一些公司还安装了交换设备，以阻止长途移动电话通信进入到世界上骗子经常偷打电话的地区(例如，1993年初，在一家电话公司的名单上，名列前茅的国家有多米尼加共和国，埃及、巴基斯坦、印度、前苏联、萨尔瓦多、中国、哥伦比亚、墨西哥和加纳)。

电信技术人员不是只监测呼叫模式，而且还一直在研究一些硬件上的对付措施，这些措施能阻塞大量的属欺骗行为的移动电话呼叫。1993年秋，TRW公司公布了一种分析每个电话模拟传输“特征”并将其与序列号和电话号码一道存储起来的技术。如果某台装置的序列号和电话号码与其特征不符，那么它必然是非法装置。组成这种特征的细节特点当然应予保密，以防止窃贼设计对策。

这些措施是一种权宜之计。主要的移动通信公司已在准备用一种数字系统取代现行的模拟式移动电话系统。大多数拟议的数字一移动电话标准采用的协议规定发出呼叫的电话装置必须根据其序列号和电话号码对一种数学询问发出响应，而不是直接揭示这两种号码。一些装置还能对通话进行编码，以阻止目前偷听移动电话的普遍作法；在某些国家，这种能对通话进行编码的装置已使得执法机构反对出售这类装置。

在电话公司同电话窃贼作战、而移动电话结构设计者们在为用户和通信业务提供者们开列出估计达1O亿美元年度欺骗帐单的同时，计算机科学家们一直在给Internet网络打基础。美国国防部高级研究项目计划局（ARPA)的网络资深研究人员David J. Farber（目前在宾夕法尼亚大学任职）回忆说，虽然初始基金来自于ARPK，但是安全保密性却未真正成为一个重要的考虑因素。普渡大学的Eugene H. Spafford指出，初期仅有科研人员进入网络，而且他们有共同的目标和道德标准。

Internet网络传输的真正实质体现了这种社团态度：将数据包沿网络线路从一台计算机传送到另一台计算机，直到达到其目的地为止。一个数据包可以经过十二次以上的转发，并且任何一台中间计算机都能阅读其内容。事实上，许多Internet数据包都在一个局域网
(LAN)上开始其传送历程，在局域网上保密性更不会受到保护。在一个典型的LAN上，计算机将每一条报文播发给连接在该网络上的所有其他计算机。只有一份君子协定向发送者担保除了接收者之外没有其他人阅读这一报文。

计算机安全状况每况愈下

据乔治敦大学一位计算机科学教授Dorothy E.Denning介绍，ARPA阿络缺乏安全保密性并未使任何人感到担忧，因为那只是这一网络计划的一部分，“目前正在产生的一些问题起初并非是正统的”。然而，随着Internet发展起来，其使用者总体的素质开始发生变化，许多新参与者几乎不具有这种复杂的社会契约观念——以及这种多变的软件——来指导使用其奇妙的新工具。

到了1988年，当康杂尔大学研究生Robert T．Morris，Jr．所设计的一种恶作剧程序使大多数Internet网络通信服务停止达数天之久时，在“知情者(knows)”与“不知情者(know-nots)”之间已形成一条明显的裂痕。计算机安全保密研究领域的泰斗之一，兰德公司的Willis Ware回忆说，“写入报文的有两类人，第一类人了解行话术语，什么事情已经发生和怎样发生的，而第二类人则问一些诸如此类的问题，‘那个词是什么意思?’或者‘我没有那个程序的源代码，我该怎么办呢?”

从那时以来，Internet网络的弱点只是越变越糟糕。SRI的Peter G．Neumann是一位负责主编RISKS论坛的安全保密性研究人员(该论坛供人们联机讨论计算机的弱点)，他将这种情况称为“难以置信的恶劣状态”。能够弄到一台计算机，一台调制解调器和一个月20美元连机费的任何人都能有一条与Internet网络直接相通的线路并且易于被他人非法闯入——或对其他人发动攻击。几年前，这一名册便记下了诸如“mit．edu”，“stan．
f0rd．edu”或“ibm．corn”之类的确定名字；如今你同样可能会发现“mtv corn”乃至“pe11．chi．il．us”，而“pel1．chi．il．us”是与为了便于携带而拧入壳体中的一种黄铜手柄相适合的破旧PC(个人微机)的网络名称。

此外，随着Internet网络成为一种全球实体，美国法律也就变成为仅仅是一些地方性法规。例如，在诸如荷兰之类的欧洲国家中，计算机入侵并非一定是犯罪行为。Spafford抗议计算机科学教授指派其学生到Internet网络的一些位置上去侵入网络并将一些文件带回去作为他们了解有关网际协议的证明，但是正如他所坦率地承认的一样，抗议只是白费力气。

令人啼笑皆非的是，一个机构的计算机化和网络化越彻底，当最初使其与外部世界联系起来时它所可能面临的风险就越大。一个高技术公司的内部网络可能看起来更象老式ARPA网络——数十个乃至数百个用户，全部免费分享信息，利用在少数中央文件服务器上存储的数据，甚至不去关心他们使用哪一个工作站来存取他们的文件。

只要计算机化空间的这样一小部分依然保持在与世隔离的世外桃源状态．那么不担心安全保密的习惯可能是情有可原的。系统管理员能够安全地在其网络上配置每一个工作站，以允许与任何其他工作站联系起来。他们甚至能建立他们的网络文件系统，以便将广泛使用的文件目录输出给“世界”－让每一个人阅读这些目录－毕竟因为这个世界终止于他们的机构的边界。事实上，一些计算机公司经常发运其预先配置好的商品，以便每台计算机自动地与其所有的伙伴共享资源。

不需要更多的想象力，就能意识到当这样一种轻信的环境向Internet网络开放其数字大门时可能会发生什么情况。突然间，“世界”真正地意味看全球，并且“该网络上的任何一台计算机”都意味着任何网络上的每一台计算机。打算让同一部门或另一部门的同事能够易于接近的文件现在能从芬兰或斐济达到。曾一度为一条专用通道的东西如今则是一条向它所能承受的众多通信业务开放的高速通道。

Sun Microsystems公司的Dan Farmer和艾恩德霍芬理工大学的Wietse Venema报告说，甚至Internet网络上的一些最受尊敬的区域也包含有一些向所有进入者有效地敞开大门的计算机——就象一辆引擎处于运转状态而无人看管的汽车。由CERT(计算机紧急反应小组)所发出的一份最新安全保密警告(该小组是设在卡内基·梅隆大学的一个有关安全保密性问题的交流中心)说明了这个问题。这份警告揭示出，所有带有内装送话器的Sun公司的工作站都被预先配置好，以产生其声频输入的“世界可读”状态。能够有机会对这类工作站进行网络访问的任何一个人都能听见附近的交谈。

另一份警告则告诫系统管理员，存储工作站屏幕显示图象的存储器缓冲器也可能预先配置为世界可读状态，正如那些存储键盘上打出的字符的存储器缓冲器一样。一些有耐心的入侵者一直观察着，直到某人登录一个特许帐户为止，然后从该计算机存储器中读出其密码。一旦入侵者已经能进行这种“根”访问，他们便能假冒任何一位合法用户以阅读，更改或删除任何文件。他们还能装入程序以帮助他们侵入其他计算机，甚至修改系统记录以抹去其入侵的痕迹。

即使进入该网络的新手们试图使其系统安全可靠，他们也并非总是有方便的机会找到他们所需要的信息。Neumann介绍说，计算机硬件和软件的卖主常常不愿意谈论安全保密性问题。而CERT一般只是在制造厂家已经开发出一种定型的补救措施之后才发布全网报告，即数周或数月之后，有时从不发布。大多数报告并不说明安全保密缺陷；而只是指出所涉及到的硬件和软件并规定为减少入侵机会应该进行的一些改进。

这种方法使得可能有用的信息远离那些在违法团体内部联系不太多的骗子。但是它也使许多新的系统管理者两眼一抹黑，什么也不知道，Neumann抱怨说：“你得借助于一个好朋友来发现谁是另外某处的一位系统管理员。”据Neumann估计，目前已被计算机窃贼了解到的安全保密漏洞中有一半到3／4至今尚未被人们公开承认。Spafford评论说：“人们并不知道这些危险。他们知道这些好处，是因为人们谈论那些好处。”

那些好处有许多来自诸如Go—pher，world wide web或Mosaic之类的程序，这些程序有助于人们通过计算机化空间去寻找信息。一次菜单选择或者使用一个鼠标器就可以将一位研究人员从明尼苏达州的一台计算机带到墨尔本或苏黎世的另一台计算机。包含美国人口普查数据的文件，航天飞机机尾管道的图象以及英国酒吧的清单或者人工智能软件均可供这种查找自由使用。这类工具正在将数万人吸引到Internet网络上来，而这类工具中有许多几年前在研究人员眼中不过是瞬息一现的闪光。

Spafford指出，这一快速的发展过程可能跳过了能加强安全保密的一些阶段。计算机化的先锋们正在依靠原先编写的“一版或二版”程序以检验一些见解而不是提供产业性服务。

据CERT的报告和其他资料来源介绍，流行的Gopher程序具有一些安全保密缺陷，使得其不仅能访问公开文件而且也能访问保密文件。(Abene强调说：“如果你将它配置错了，它就是不安全的。”Abene从监狱释放出来后将会回到纽约市某一联机服务机构的系统管理员这一工作岗位上。)运行着的Gopher程序促使用户计算机上的某一用户程序与Internet网络上某处的一个Gopher服务器之间进行对话。这种服务器向这位用户提供一份信息选择菜单，以及一套“魔幻饼”——供其它信息定位使用的简写规定。

如果该用户想要更深入地研究某一特定主题，那么这种程序就将与那份信息相对应的魔幻饼发送给服务器。可是修改这种魔幻饼相当容易，便于它规定信息在应该保密的服务器计算机上的位置。某一轻信的Gopher服务器将传送那些专用文件而不检验它所接收的魔幻饼是否符合它所提供的菜单中的某一项目。虽然Gopher服务器很容易加以限制以便它们仅有机会接近公用文件，但是若无限制它们便拥有了自由控制权。

逐渐被欺骗

没有检验命令的性质是一种普遍的失察——正如奥赛罗对于埃古疏于观察一样，Internet网络上的计算机信任得不明智而且太过分了。电子邮件是网络最基本的业务之一，它定下这样一个调子：—份电子信件由包含有指明发信人，地址，收信人，日期和路由选择信息的信头，再加上一个空白行和报文主体的正文文件构成。虽然邮件程序通常准确地填入信头行，但是却几乎没有什么办法阻止某个想入非非的人或存心不良的人插入他们中意的无论什么信息。出自“总统白宫，政府(president whitehouse．gov)”的一份报文能够象从华盛顿政府办公大楼一样容易地从阿姆斯特丹的一个工作站发出。Farber坚持认为，伪造电子邮件乃“寻常之事”，随着Internet网络的发展，这类伪造成为一种问题的原因在于成功伪造行为的刺激所起的作用，其实这正如被欺骗的危险所起的作用一样。一些公司和个人已经开始借助于电子邮件开展业务；现金和物品根据电子约定转换所有者。

计算机科学家已经研制出一些协议来验证电子邮件报文的来源，而电子欺骗者们也在改进他们的技术。诸如“comp．Security raise”之类的使用网络(Usenet)上的讨论团体间的通信说明了这种共同进化过程：一些热心于安全的系统管理员一直在鼓吹使用“IDENT守护程序”。如果某位电子骗子与一台邮件服务器连系上并提供一种假身份(发送伪造报文的第一步)那么这台邮件服务器便能查询这位骗子的计算机上的IDENT守护程序。

其他一些人则贬损IDENT守护程序；他们指出，由这种守护程序返回的名字仅具有象这台运行着的计算机一样的可信度。一旦计算机窃贼控制了一台计算机——或者通过插入或者由于他们拥用这台计算机——那么他们就可能配置IDENT守护程序，以他们所中意的无论什么名字回复询问。

一些系统管理员正在通过禁止其计算机与Internet网络上的某些不可靠部分相连来对付这类欺骗行为的威胁。Internet网络上每个编号地址范围都与一个特定组织，即领域相对应，因而只要不与被认为充当计算机窃贼的工具的某一领域的计算机相连即可。

甚至这一步骤也有一种对策。Spafford指出，大多数计算机都依靠“领域名称服务器”在编号网络地址和诸如“xerox．com”或“umich．edu"之类的领域之间来回转换。但是这些名称服务器仅仅是一些普通的计算机而已。它们易于受到欺骗行为或入侵的危害，因而它们所提供的路线图能被重写出来为欺骗行为服务。骗子能够修改这种名称服务器的数据库，以便它告诉任何一台向它询问的计算机说本该属于(比方说)“nevil．Vicious hackers org”的地址却是“harvard．edu．”的地址。然后一台接受来自哈佛大学的联线的计算机也将允许这些计算机窃贼进入。Spafford悲伤地说，事实上，对于任何程序来说，要想确切知道通过Internet网络到达它的数据包真正来自何处或它发送出去的数据包正在向何处去几乎是不可能的。

另一类安全性问题并非来源于对领域名称服务器或IDENT守护程序的过度信任，而是来源于使网络计算机如此有用的多功能性。也许最能说明这种情况的例子就是“发送邮件故障”，即在Internet网络历史上不断反复出现的一种灾难性漏洞。

这种故障的出现是由于大多数邮件程序不仅能将报文送给使用者，而且能直接传送给特殊文件或程序。例如，人们将邮件送往一种称为休闲(vacation)的程序，该程序发送出一个回答，告诉通信者其意想中的接收者不在市内。许多人还通过筛选程序发送邮件，这些程序能够视发送者，主体材料或内容的不同而将邮件发往若干地点中的任何一个。

但是这同一机制也能加以破坏，以将电子邮件发送给一个专为执行“外壳原本”(shell scripts)而设计的程序。外壳原本是由一系列指令组成的，以执行一些系统功能，例如从文件中抽取信息或者删除某一日期以前的所有文件。然后这种程序将把该报文的主体看作为一个原本并将执行它所包含的任何命令。那些命令可能会使接收计算机的密码文件的拷贝被发送给某一入侵者以便其进行分析，加工一个供其今后进入的精巧的后门或直接给接收者所存储的数据造成严重破坏。发送给某些文件的邮件也可能具有类似的效应。

对付这种发送邮件故障的最新形式的某些补救办法已在Internet网络上发布并且据估计已由看到了这些办法的大多数系统管理员加以执行，但是许多系统依然容易受到危害。此外，处理电子邮件的其他一些程序也包含有类似的漏洞。

更为不祥的是电子邮件决不是将不受控制的数据插入某一受骗者的计算机中的唯一方式。贝尔实验室的一位研究人员Steven M．Bellovin指出，Gopher和其他一些信息检索程序也传送一些大型的，可能已被识别的非法文件。一位计算机窃贼可能会不得不特意地建造一个邪恶的Gopher服务器，并且甚至可能会不得不将其有用信息存放在其中，以便诱使人们与它联系。Bellovin说：“当它开始发生时，我并不会感到惊讶。”

计算机化空间的屏障

如果作为奇迹宝库的Internet网络也是充满看不见的危险的一块非计算机的土地，那么进入计算机化空间的新手们应如何保护自己呢?安全专家们一致认为第一层防御是教育用户和系统管理员避免特别愚蠢的错误。人们仍然把他们的密码贴在键盘上或者几乎不将密码用于特许计算机帐户。一位受聘担任密歇根大学一批工作站的管理员的研究生，发现一种简单的密码猜测程序能够泄露其1／4的用户帐户。80个用户中有5个选择他们的名字作为密码。一些管理员已安装了一些拒绝根据字典词汇或明显的个人标识符制作的密码的程序，但是这些程序远远未得到广泛使用。

第二层防御则是所谓的隔火墙，即一台保护内部网络免受入侵的计算机。大多数重要公司很久以前就已安装了隔火墙，并且许多大学也采用了隔火墙。隔火墙检查进入和离开某一领域的所有数据包，以限制可由外面的internet网络通入的连接的种类。它们还可以限制能够横穿过那些连接的信息。Farber坚持说：“可能会将某一公司网络直接与Internet网络连接起来的任何一个人都应被解雇。”

提议一堵隔火墙和构筑隔火墙是两码事。用户可能希望有机会利用所有可能的Internet网络业务。信托信息系统(Trusted Information Systems)公司的Marcus J．Ranum断言，这一希望遇到了一个严酷的现实，“有些事情你肯定是无法安全地干的”。Ranum曾为whitehouse．gov”安装隔火墙出过力，他举出了Gopher和Mosaic两个程序，认为这两个程序的轻信本质使那些提供安全性的防火墙设计的企图落空。他认为，在这类情况下安全专家只能满足于把危险减至最低程度而不是完全消除危险。

据Bellovin介绍，在最低限度情况下，隔火墙必须通过邮件(即寄信人可能显而易见是不可靠的)。此后，用户想要能够登录到Inter—net网络其他地方的计算机上和从公用档案库中或为从其他机构的同僚们的目录中检索文件。

为了执行这些功能，AT&T公司建造了一个由两台专用计算机组成的隔火墙；一台计算机与Internet网络相连，而另一台则与该公司自己的网络相连。外部计算机检查所有输入的通信流并且仅将“安全”数据包送往其对应的内部计算机。此外，它还仅接收从内部网间连接计算机输出的通信流，因而企图非法地从AT&T公司领域转移出信息的入侵者要想做到这一点而不破坏内部网间连接计算机是不可能的。与此同时，这台内部网间连接计算机仅从外部计算机接收输入的通信流，因而如果未经允许的数据包以某种方式找到了通住内部网间连接计算机的通路，那么它们也无法通过。

其他一些业务更成问题。例如，研究人员可能希望能够从Internet网络上的任何一处登录到他们的办公用计算机。然而，在网际上转发通信业务的任何一台中间计算机却可能已遭到破坏，并且当数据包通过时，中间计算机可能在阅读它们(包括包含有密码的数据包在内)。事实上，在1993年10月发生的两起独立事件中，一些计算机窃贼获得了进入Panix(纽约市的一个供公共访问的Internet网络点)的机会，并且进入了BARR网络公司(加利福尼亚的一家Internet网络通信公司)，安装了“包取样器(packet sniffers)”。据Panix的系统管理员介绍，当人们登录到(至少)数百个另外的计算机系统时，这些程序便观察通过的所有数据并记录下用户名称和密码。

Ranum坚持说，这类入侵使常规密码成为“废物”。而与某一隔火墙内部的计算机的安全连接则需要一种不同的鉴别机制，即一种取样器无法记录，因此也无法加以重现而获得非法访问机会的机制。有两种方法已获得有限的使用，即“一次性”密码和“询问－应答”。

为了使用一次性密码，工作人员仅需携带一份这种密码的清单。如果再次使用一个密码，便表明入侵企图正在进行中。询问－应答系统则没有密码清单，这类系统要求在允许访问之前要对某一随机询问给出一个回答。这种询问最为经常的是由一个编号组成，该编号必须以数学方式借助仅为特许用户知道的某一密钥加以变换。大多数人都无法用心算作100位数字的乘法，因而商用询问一应答设备通常采用一种“密码解算装置”，事先输入密钥并由用户所能记住的一个较简短的顺序号加以启动。

加密是关键

如果密码仅应以加密形式通过Internet网络，那么对于其他敏感信息又怎么样呢?“保密增强型”电子邮件的标准化工作已进行了五年多的时间，但是广泛的采用还是将来的事。Ware说，“互用性问题是难于处理的，”除非每个人都有能够处理加密报文的软件，否则这对于任何人来说都几乎没有什么用处。

加密不仅能够提供保密性而且也能提供鉴别：使用所谓公用密钥密码的报文能极好地识别接收者和发送者。但是加密软件一般仍然是政治和立法争论的焦点。美国政府禁止轻易出口有效的编码软件，即使同样一些代码可在海外自由获得也禁止出口。

在美国国内，公用密钥加密的专利权由RSA数据保密公司谨慎地加以保护，RSA公司是一家批准发明者专利的私人公司。虽然采用公用密钥算法的软件已经广泛发布，但是美国政府之外的大多数人却不能使用它，否则将冒侵权起诉的风险。

更复杂的是，美国政府已提出了一种不同的加密标准，即一种其算法是保密的，其密钥以证书形式由一些执法机构掌握的标准。虽然许多公民自由论者和计算机科学家反对这种措施，但是一些产业界人士则表示支持这一措施。Parker说：“你无法拥有绝对的保密性。民主政治不能按那种方式运转。”

Parker说，其问题不在于计算机化空间是否应通过立法加以管理，而在于“法律和秩序将怎样和什么时间实施”。他预计，在美国政府插手“确保保密性和保护人们具有的这些权利”之前，目前的情况将会变得更加糟糕。

其他一些人对政府干预并不象Parker那样有信心。Ranum预计，Internet网络将主要由他与他的同事们所构筑的隔火墙后面的一个个保密飞地组成。他指出：“存在那么一些人认为隔火墙是有害的，认为他们正在使Internet网络巴尔干化，但是当关系到数百万美元时，兄弟般的友爱之情便消失不见了。”

Denning将她自己归入到乐观主义者行列之中。她说，她对一些局部安全措表示支持．但是“我并不为安全性担心”。Farber也持谨慎乐观的态度，他认为在今后几年内Internet网络存在着两种可能的发展方向：现在通信业务快速扩大，或者为了给将来奠定一个可靠的基础而对它作根本性的重建。他对于他所偏爱的进程深信不疑。Spafford持有相同的看法，但是却较为悲观。他评论说：“它是一个不可逾越的障碍。每个人都想要利用现有的东西开展业务，但是现存的一些标准却是不可靠的。它们并非是你所想要依靠的东西。

他指出，即使计算机科学家重新设计Internet网络，但是由于在原有硬件和软件投入了巨大的资金．所以建立新的标准也将是不可能的。他评论说．Internet网络在很大程序上依赖于自愿协作，以致于作出彻底的改变几乎是不可能的。

另一方面，Ware反对说，也许渐进式进化是唯一的可能性。没有哪个组织充分了解国家信息基础设施的概念，以至于足以承担起对它的责任。他断言说：“没有地方去说，我给你钱，去解决这些问题吧。甚至没有三个地方，并且我也吃不准是否该有三个地方。”

与此同时，Internet网络在发展，而人们和企业将他们的知识，他们的金钱和他们的好名声全都托付给了它。