微软Windows和IE的安全漏洞成为广大用户众矢之的的对象。现在,Google的安全问题正在步微软后尘,变本加厉地向我们袭来。随着Google安全危险加大,宣称"不作恶"的这一搜索明星形象大损,宣扬开放源代码的Google成为用户身边的一颗定时炸弹。Google是搜索还是攻击?已经成为大家所密切关注又难以解答的致命话题。然而,处处与微软作对的Google毕竟不愿趋同于自己的死敌,成为大们打骂的对象。那么,Google这一搜索巨头如何做好自己的安全工作,以保证用户的安全呢?
安全问题=成功代价
最近爆发的Santy蠕虫病毒就是利用Google搜索功能来搜索更多存在漏洞的受害者,给Google带来严重的安全信任危机。事实上,随着桌面搜索工具和Gmail电子邮件服务的发布,Google的安全问题就倍受业界的关注,成为安全专家研究的重点。
在过去的数个月中,安全研究人员已经在Google的产品中发现的安全漏洞越来越多,警报不断。最近,一所大学的研究人员公布了在Google的桌面搜索工具中发现了一处可能使用户受到攻击的安全漏洞;而另一名研究人员在Google的Groups服务中也发现了一处安全漏洞;还发现2处网络钓鱼(Phishing)能利用的漏洞,等等。为此,一些研究机构已经或正在开发利用Google的数据库查找其漏洞的工具。最近,McAfee发布了一款安全工具的升级版本,该安全工具能够利用Google自动地发现网站上的安全漏洞,还有一些机构也开发了类似的工具。
当Google成为安全专家研究的重点时,也成为了黑客眼中颇有利用价值的工具。黑客利用Google查找存在最新缺陷的网站,来窃取别人的机密资料。当然,利用Google的还不仅仅是黑客,恶意编程人员也使他们的杰作能够自动地使用Google的搜索引擎。Santy蠕虫病毒通过Google发现运行有存在缺陷的phpBB软件的网站;MyDoom病毒的一个变种也试图利用Google和其它搜索引擎发现电子邮件地址,等等。
总之,这些安全问题对Google形象产生了很大的负面影响,且愈演愈烈。业界将此形象地称为Google成功的代价。以微软的话来说,就是市场领先地位是一把双刃剑,它意味着你需要承担更大的责任,因为你已经成为了高价值的攻击目标。Google也表示,因为我们发布的产品越来越多,而且知名度也在不断提高,越来越多的人在从安全的角度审视我们。
搜索还是攻击?
被称作"Google攻击"的这类搜索能够很容易地发现网站上可被利用的缺陷和机密信息,其中包括信用卡号码、用户帐户资料。早些时候,安全研究人员就提出了有关病毒利用Google搜索引擎的警告,Google应当已经做好了准备。但是,Google安全领域的知名专家居然没有对这些威胁做出应有的反应。专家表示,这不能全怪安全人员。尽管Google已经对拒绝服务攻击有很高的警惕,但其搜索引擎成为一种蠕虫病毒的核心组件却还是"新生事物"。因此,Google的安全响应小组"失手"了,给了Santy蠕虫病毒可乘之机。
Santy蠕虫病毒给Google敲响了一记警钟。Google表示,公司应当知道把安全工作当成重点。为此,Google内部对其产品进行了严格的测试,发现了产品的许多缺陷,并积极加以修补。当桌面搜索工具中被发现存在有缺陷后,Google吸取微软的经验,像Windows XP SP2安全补丁一样,不再征询用户的同意便可自动为用户进行软件的安全升级。此外,Google与微软一样也在积极招募安全奇才,并在其网站上发布了十多个软件安全工程师职位的招聘信息,以着手解决他人利用搜索工具"作案"。
不过,专家认为,对于Google而言,在向用户提供信息和向黑客提供信息之间很难找到一个平衡点。很多情况下,搜索与攻击没有什么二样,安全管理员无法知道哪些搜索是恶意的,哪些搜索是善意的。是搜索还是攻击?的确令人难解。
尽管如此,Google也不能放弃安全的保卫。Google表示,要提高信息的可访问性,你需要确保以一种安全的方式来完成这一切,这使得安全成为了我们必须提前完成的任务。
堵住漏洞和开放代码
尽管有安全机构帮着替Google出谋划策,尽管Google从微软和其它公司吸取了许多经验教训,但这场安全保卫战还只是刚刚开始。Google如何赢得这场战争?能否赢得这场战争,目前仍然是一个未知数。
面对这一难题,安全专家们不断寻求破解之法。在研究Google安全问题的过程中,他们越来越想知道Google的代码是如何运作的。为此,他们提出了一个安全方案:堵住漏洞和开放代码并用。
的确,Google是一个知名的开放源代码使用者和提倡者,实际上就是利用Linux和开放源代码的优势起家的一个典型例子。如同一些已知的Linux使用者,如Apache、MySQL、PostgreSQL、PHP、Perl和Python以及其它开放源代码软件一样,毫无疑问都受益于开放源代码。而且,使用开放源代码被认为是完全放开、绝对安全的路子。
可是,Google并不是按照这样的路子走的,其实它是个十足隐秘的开放源代码软件。比如,众所周知的搜索引擎Google,其运算法则及其相关代码仍旧是个秘密,同微软先前的软件没有两样。而且,同微软一样,Google也非常在意自己的版权和专利,惟恐落入他人之手。IDC安全专家费德曼说:"那是他们的特别机密。"同样,业界对其开放源代码的贡献也表示了怀疑。有些人表示,Google只从开放源代码捞取好处,而没有任何回报。由此所爆发出来的安全问题是Google咎由自取,就像微软一样,Google在开放源代码上的错误应用使公司得到了应有的恶报。还有人表示,Google对于网络安全漏洞并不在乎,而仅在乎漏洞暴露于大众面前。
话虽然有些过激,但最近的安全攻击和Google的应对无能无疑证明了Google的搜索引擎软件在开放道路上越走越黑,存在着让人感到担忧的"黑洞"。对于Google桌面搜索中的"黑洞",科学家称之为"复合漏洞",即当各种元素组合起来时就会出现安全漏洞。这些"黑洞"有多少?在哪里?没人知道。
正因为如此,目前安全机构可以采取的一个预防措施只能是通风报信,即他们可以利用Google搜索出可能受到攻击的网站,并向网站管理员通报受到攻击的风险。如何阻止这些攻击,专家们往往爱莫能助。
Netcraft公司表示,当他们发现一处应用错误相对应的源代码片段、文件构架和应用逻辑威胁到搜索巨头的要害机密时,他们及时报告给了Google。乍一看,这一web应用轨迹能否立刻被进攻者利用还不好说,但这一点可以大大地反应Google一定是Python编程语言的使用者。
面对目前的局势,安全专家警告,搜索引擎会越来越多地遭受攻击和被进攻者利用。他们表示,进攻者会以更加先进的办法来进攻电脑和软件,还会利用Google搜索软件上暴露的封闭代码来"作案"。搜索公司应该保证其服务的安全性,负责好自己的服务是正当的使用而不是为坏人所滥用。
