杀毒软件与防火墙 谁在帮黑客？

　 不知你是否有这样的感受，如今的电脑病毒可说是越杀越多，黑客也是越来越厉害。如果电脑不安装杀毒软件，那简直就不能保证它能正常工作，因为说不定哪天就会感染上某种可怕的电脑病毒；如果电脑网络不严加防范，说不定那天就会被来自黑暗之处的暗箭击中，而有些时候，即使采取了种种措施，还是逃不了被入侵的厄运。人们不禁要问：这到底是怎么了？

　　问题的根子全在软件上面。用电脑安全专家迈克格罗教授的话来说，就是“坏软件太多”。从用户的角度来说，总是希望软件开发商不断推陈出新，缩短新软件的开发周期。迈克格罗教授警告说，应用软件的开发一旦过于匆忙和草率，必然会造成设计过程出现这样或那样的缺陷，埋下种种隐患，造成黑客频频得手。

　　迈克格罗教授从伏吉尼亚大学哲学系毕业后，在印地安那大学获得了计算机科学与认知科学双博士学位，随后到一家软件技术公司工作，因出版一本关于Java安全问题的专著而享誉世界计算机安全界。最近，他接受了一些网络媒体的采访，就计算机软件与计算机安全问题阐述了看法。下面是此次访谈的实录。

　　问：您认为计算机安全隐患的关键在于软件开发存在种种问题。怎么会这样呢？

　　答：在三个方面的原因。第一：现在的软件比过去要复杂得多。Windows 3.1只有250万行代码，Windows XP代码有4000万行。要看一个软件可能会发生多少问题，最好的办法是数一数程序代码的行数。一个很简单的道理是：行数越多，设计缺陷就越多。第二：互联网无所不在，今天的每一行代码都存在于网络之中。第三：系统可扩展性。由于系统存在这样的性能，说不定哪一天就会从某个地方冒出程序代码，修改了系统环境。

　　问：能举个例子吗？

　　答：网络浏览器中的Java虚拟机(Java Virtual Machine)就是一个最好的例子。再比如.Net虚拟机，电话和PDA中内置的J2ME微型虚拟机。这些系统都具备可扩展性。Jave和.Net构成基础系统，各种扩展功能从网络中传输过来，在基础系统中进行组合和发挥作用。移动代码的特点不正是这样？

　　其设计思想是，用户无法预见到需要在手机上运行的所有程序，因此便将其设计成具有可扩展性能的系统，使其能够接受它所需要的代码。这种设计非常经济，确实不错，但是也可能导致一些令人感到可怕的后果。

　　答：编制好的程序是一件极其细致的工作。有许多问题需要了解，开发安全稳定的程序的好方法并不是很多。开发人员所能够使用的工具不好。编程是一件很困难的工作。从安全的角度看，流行的计算机语言，如C，C＋＋都是十分糟糕的。当然，应当说出现各种安全问题是多种因素共同作用的结果。

　　问：谁还应当对这个问题负有责任？

　　答：如果你看看今天从事计算机安全工作的是哪些人，你会发现基本上都是与网络有关、懂得网络知识的人，IT专业人士。那么，开发软件的又是谁呢？软件设计师和开发人员。这些人一般不和计算机安全人员或网络管理人员来往。他们甚至都不在一个部门。另外，互联网早已不是什么新生事物了，但是许多软件仍然是在一个非网络的环境里开发出来的，大多数程序员根本不去了解安全方面的问题，这就造成了同一类型的问题重复出现的现象，比如缓冲器溢出。

　　问：您曾经多次指出计算机界缺乏安全教育。应当如何弥补这方面的缺陷呢？

　　答：一些大学开设了计算机安全和软件安全方面的课程，如加州大学戴维斯分校、伏吉尼亚大学、普渡大学和普林斯顿大学。但是，世界是在发展的。如果我们希望在计算机安全问题上看得更远一些，就必须对软件安全问题加强注意。

　　问：如果说过去对软件安全问题注意得不够，那么注意力都放到哪儿去了呢？

　　答：防火墙。

　　问：防火墙不是软件吗？

　　答：是软件，但是这类软件只是为部分解决安全问题而设计的。上网时各个端口都打开了，安装防火墙软件是为了加强对端口的保护。许多人以为电脑装了防火墙软件后，就可安枕无忧了。大错特错。安装防火墙软件只能算是个良好的开端，应当注意的是防火墙软件本身也可能带有漏洞。人们实际上知道计算机安全问题的产生与软件的缺陷有关，如(微软的)IIS网络服务器软件，但是他们采取的防范措施并不正确，比如安装防火墙和使用加密软件。

　　加密软件的问题在于一方面它确实是很好的安全工具，另一方面它又不能彻底地解决问题。它没有解决软件不安全的问题，而只是解决了通信渠道的安全问题。实际上，据一些学者的研究，使用加密手段只能解决15％的严重问题。

　　你要问电脑用户如何加强安全防范，他会说出三样内容：防火墙、加密程序和杀病毒软件。即使三样东西全安装在电脑里，也不能解决全部的问题。

　　问：那问题的根子何在？

　　答：软件质量不高。BIND(伯克利分校互联网域名系统)为什么会被黑客攻陷？不就是因为设计太差吗？！当初程序员在设计这套系统时，只是想要让它胜任各种很“酷”的任务，却很少考虑安全方面的问题。这反映出现在软件设计的一个趋向，大家关心软件的功能胜过其安全性能。无论是微软还是Linux，莫不如此。对卖软件的人来说，什么东西好卖？自然是功能越多越好卖。