保护电脑的“安全套”201009

保护电脑的“安全套” --------------------------------------------- 许多人试图突破InZero公司的电脑保护层，但尚无一人取得成功 当谷歌都已沦为黑客的牺牲品之时，传统的电脑安全软件显然已经对此无能为力。黑客、罪犯和间谍闯入了成千上万家企业、政府部门和机构的计算机系统。信息安全研究公司Ponemon Institute的数据显示，在过去一年，80%的被调查企业和机构的计算机系统都遭遇过攻击以及数据泄露问题，其中约1/4与黑客有关。每年的损失超过1万亿美元。AT&T实验室的安全专家威廉·切思维克（William R. Cheswick）说：“这些坏家伙的本事越来越大，我的钱都用来对付这些坏家伙了。” 在形势越来越糟糕的大背景下，一家位于弗吉尼亚州赫恩登市的小型初创企业InZero系统公司却声称开发出了一种基于硬件的黑客防御系统。一些专家认为这种大话无异于痴人说梦。英国电信业巨头英国电信公司（BT）的首席安全技术官布鲁斯·施奈尔（Bruce Schneier）警告说，一般来说，任何声称能够屏蔽所有入侵者的公司“都是不知天高地厚的傻瓜”。 不过，说这话的时候施奈尔还没有评估过InZero的技术。许多见识过这一技术的人都对其赞叹不已。InZero公司的技术经过了美国军方国防高级研究局（Defense Advanced Research Projects Agency）以及数家专门寻找电脑安全漏洞的公司的测试，没有人能够突破其屏障。美国国防高级研究计划局前任局长安东尼·特瑟（Anthony J. Tether）在2009年初卸任之前购买了10套InZero公司的设备用以测试，他表示：“这种技术十分保险，但其用户友好性令我们担心。”罗纳德·多尔曼（Ronald J. Dorman）是电脑和网络安全公司Telos的副总裁，该公司受雇于InZero对该系统的性能进行评估，多尔曼指出：“一点不夸张地说，没有人能绕开这道屏障。” InZero的技术理念是奥莱克休·舍甫琴科（Oleksiy Shevchenko）在2002年酝酿出来的。当时他是乌克兰的一名电脑工程师，正试图帮助一位警察朋友解决网络安全问题。传统的电脑安全战略一般是利用软件来监视新病毒以及入侵者，然后找出各个击破。但是恶意软件有众多伪装形式，传统做法会让电脑网络在新攻击发起之初就暴露于风险之中。舍甫琴科摒弃了传统的，他建立起能够充当电脑替身的硬件（电脑极客将其称为“沙盒”），这套硬件可将易遭受攻击的电脑和网络隔离开来。 当你在网络上浏览的时候，你觉得使用的是自己的电脑，但其实已身处InZero的“沙盒”之中。你可以发送电子邮件、深入网络空间的任意角落，即使是那些藏有黑客和病毒的网站也可以放心浏览。密码学专家菲力·齐默尔曼（Phil Zimmermann）受InZero之邀对此技术进行评估，他说，“沙盒”的效果就类似你在自己的电脑上安装了一个对准了替身电脑屏幕的网络摄像机。这两套系统之间存在一道屏障，可以防止任何不好的东西进入你的电脑。 由于InZero沙盒上的操作系统和内存都是只读的，它们不会被病毒改写，黑客们也就无法侵占你的电脑了。齐默尔曼称：“无论替身电脑遭受多大的破坏，你的电脑都会安然无恙。”他说他想不出什么办法可以攻破这个堡垒。InZero的首席执行官路易斯·休斯（Louis R. Hughes）打了另外一个比方：就像是患了未知疾病的病人被隔离在玻璃墙后。他指出：“我们的产品就相当于玻璃墙。” 深入考察 用另外一套设备充当屏障的想法并不新鲜。安全专家们经常利用缓冲型计算机与外界进行互动，一旦这台电脑遭受感染，他们只要将病毒清除干净、重装软件就行了。AT&T的切思维克说，许多研究人员过去一直在苦苦钻研“软件沙盒”理念，“软件沙盒”也被称为虚拟电脑，它就安装在电脑内部。InZero技术的不同之处在于，它能够提供一个真实的电脑替身，而不必不停地清理软件。完成这项任务的装置只有普通平装书大小。Telos的多尔曼说：“硬件行业还没有其他人提出过这样的解决方法。” 舍甫琴科给这种技术起了个别名叫XB，XB是俄语“中指礼”的意思。他在乌克兰找到了一位天使投资人亚历山大·杜布罗夫（Alexander N. Dubrov），杜布罗夫也给这种技术起了一个外号：“网络安全套”。舍甫琴科申请专利并开发了3个工作原型机。然后，他举办了一场黑客大赛，只要能够突破这一系统就能得到一辆哈雷戴维森摩托车作为奖励。但是没有人能够成功。 曾是前苏联政府技术创新高级官员的企业家亚历山大·派蒂科夫（Alexander V. Pyntikov）听到了有关这一突破性技术的消息。派蒂科夫将舍甫琴科引见给了休斯，休斯曾担任过通用汽车公司国际运营业务总裁和洛克希德-马丁公司（Lockheed Martin）的总裁。休斯回忆说：“一位年轻人对我说，他发明了能够完全不受黑客攻击的电脑，当时我非常怀疑。” 2003年，休斯在英国电信的Ipswich实验室对这一技术进行了测试，结果是英国电信的计算机科学家们无一人能够成功闯入，这次测试后休斯成了这项技术的笃信者。他把舍甫琴科带到了美国，拿出数百万美元的自有资金投资创立了新公司InZero，并亲自担任首席执行官，派蒂科夫担任公司首席运营官，舍甫琴科为公司首席技术官。（公司取名InZero，意即没有任何进攻者能够闯入。）此后，公司又申请了另外一些专利，花费数年时间来简化用户的操作步骤。现在的版本有4个处理器、6000万行软件代码。“它是个复杂的小盒子，”休斯说。 在其办公室里，身材魁梧的舍甫琴科向我们展示了病毒是如何轻而易举地渗透进入安装有最新版杀毒软件的电脑并发送回信用卡数据等信息的。而面对安装了InZero产品的电脑，同样的病毒却完全无能为力。即便如此，他还是主动指出：“我们的方法也不是万能药。” 它无法保护电脑免受所谓的拒绝服务攻击（denial-of-service attack）的侵扰，在这种攻击下，大批计算机会被能够通过协同攻击致使网站瘫痪的程序所感染。除此之外，无论是对付病毒还是间谍，InZero都自信自己的技术将改变市场。 网络安全公司Escrypt位于密歇根州安阿伯，迄今为止对InZero技术的最详尽评估就是在和该公司签订的协议下完成的。Escrypt的首席执行官安德烈·魏默斯科奇（André Weimerskirch）说，自己的公司要通过寻找安全弱点并提出解决来招揽新业务，所以，当一个4人小组持续攻击了InZero系统两个星期却未发现任何破绽之时，他感到大为失望和意外。 虽然测试非常成功，但InZero仍面临着一些发展阻碍。这家公司必须向美国政府证明，它的工程师（大多都在乌克兰基辅市工作）没有为间谍活动开后门。派蒂科夫说：“我们必须证明不会有任何情报泄露给普京。” 让他放心不下的还有成本和操作复杂性的问题。公司希望能向市场推出一系列产品，分别针对个人电脑、服务器和整个网络，最低价格为几百美元。派蒂科夫称，两三年后，这套硬件可能会被安装在笔记本上，而硬件成本仅仅增加25美元。如果企业和个人消费者愿意购买并安装这种设备的话，也许我们终于能够看到黑客们无法攻破的大门了。