(这条文章已经被阅读了 222 次) 时间:2000-09-02 10:51:01 来源:蓝鸟 (bluejay) 原创-IT
8月下旬,北京当代商城门前赫然竖立起了海信的一块广告牌,这块广告牌不同于中关村路旁林林总总的其他广告牌,海信在此广告牌上打起民族防火墙的旗帜,悬赏50万人民币,公然挑战全球黑客。
很快就出现了一则令海信措手不及的事情:8月24日,海信公司网站主页被一署名为黑妹的黑客篡改。
29日,海信网站主页又一次被篡改。
很显然,这是对海信挑战全球黑客活动的莫大讽刺和嘲笑:假如海信网站处于其防火墙的保护之下,那就说明海信的防火墙在正常使用的情况下无法阻挡外来的入侵;假如海信的网站没有施加防火墙的保护,那么海信在说自己防火墙坚不可摧的同时,却还把自己的网站”赤裸裸”地暴露于黑客的视野之中,这本身说明海信要么是没有网络安全意识,要么就是它的防火墙只是一种试验产品而没有实用价值(因为连它自己都还不用)。
有两件事实应该引起人们的注意:第一,海信公布的防火墙IP地址为210.12.114.58,而海信Web服务器的IP地址为202.102.161.195。海信的Web服务器和抗攻击的防火墙显然不在同一个网段,这说明被黑的Web服务器并没有处于迎接黑客挑战的那台防火墙的保护之下,至于它是不是还有其他防火墙的保护,我们就无法知道了。第二,海信迎接挑战的防火墙曾经一度无法Ping通。当然,有可能是相关负责人员关闭了ICMP的响应,但这却很容易让人怀疑在测试期间海信是不是关闭了其防火墙的运行,毕竟,挑战者又不是能亲眼看见海信防火墙放在某个人人都能看得见的地方,通过网络判断其连通状况只能使用Ping或者Traceroute等命令,但是,让挑战者倍感遭愚弄的是,那台迎接挑战的防火墙连Ping都Ping不通。海信这样做降低了其开放某些服务带来的安全风险,但却很容易让人觉得海信有玩”猫儿腻”的嫌疑,即使那台防火墙的其他网络服务都是正常开放的。
挑战黑客不成反被黑客耍弄,按照正常情况考虑,海信高层对这次意外事件应该做出很尴尬的反应才对,但令人料想不到的是:海信副总裁王培松居然认为此黑客干的好。
本来,摆设擂台挑战黑客这种活动就很容易让人觉得有炒作的嫌疑,海信副总的这番讲话就更坚定了人们的这股想法。再想想今年3月份国内几家电子商务网站玩”我被黑,我光荣”的炒作游戏,怎么看都感觉海信此举的用意跟他们同出一辙。
透过海信防火墙挑战黑客事件,我想起了去年深圳桑达公司策划的一次路由器抗攻击测试活动,那次,桑达公司在人民大会堂召开新闻发布会,曾受到中央电视台的采访,成为其他网站和媒体的热点自然更不在话下,当时,桑达也是悬赏重金,公然挑战天下黑客,但却在测试期间关闭了几乎所有服务,连telnet、RIP和OSPF这些路由器本应具有的最基本服务都关闭了,使得自己”固若金汤,坚不可摧”,到最后,自然是无人能攻破此路由器,负责人员得意洋洋地打道回府向总部请功,但在网上却招来骂声一片。很显然,路由器的抗攻击能力应该在实际应用中去接受测试(估计没有哪个实际使用中的路由器连telnet、RIP和OSPF服务都不开吧),或者至少应由第三方进行评估,充分体现公正与合理。
笔者想给那些摆设擂台的台主们出个”狠毒的损招”:干脆就让他们在自己的网站上使用自己的安全测试产品,在保证网站的正常访问和事务处理的情况下,再迎接黑客的挑战,看他们干不干?!如果在那种情况下谁的安全产品能抵挡住数以百万次的攻击,并且还能使网站几乎不受任何影响地工作,我就彻底服他了,并且我相信任何人都对他服的五体投地。
在正常使用的情况下,恐怕没有哪个网站会出于安全起见而把路由器的telnet、RIP和OSPF等最基本的服务功能都关闭,恐怕也没有哪个网站会把防火墙的ICMP响应关掉。所以,即便这些安全产品在这种特殊的测试条件下顶住了攻击,也不能说明它在正常使用的情况下仍是足够安全的。
此外,海信公布的攻破条件为修改其防火墙后的文件,这个规则的制定显然欠合理。我们知道,黑客攻击有很多种手法,并不一定是篡改某个文件,我就不相信海信防火墙保护下的网站能顶得住内存溢出、DDOS等拒绝服务攻击,那种情况下攻击者并没有能篡改网站的数据,但却照样能使防火墙保护下的网站无法正常工作。
再说了,网站选用安全产品也并非全部基于产品的抗攻击能力,因为,对于一个安全产品而言,增强安全性往往是以牺牲性能作为代价的,即便海信的防火墙在正常使用情况下是足够安全的,但假如它会造成系统性能的极大降低,照样不会有哪个厂家买它的帐。
所以,从最本质的层面来看,摆设擂台挑战黑客以证实自己产品的安全性,这种做法只能归于一种变相的炒作手法。
写出上面这些话并不是说我对国内安全厂商的技术和市场能力的恶意挑剔,我不是一个民族虚无主义分子,我也衷心希望国产的防火墙和路由器能做的更好、更快、更强,但我讨厌虚妄的炒作和不切实际的鼓噪,我更不希望看到国内知名的IT企业以变相的炒作误导用户、葬送自己的前途。在用户心中:诚信至上,应用永远是第一,!
适当的宣传,对厂家形象的提升和产品的促销,是很有效也很有必要的;但虚张声势的炒作会让人心烦,心烦就会生厌,甚至带来抵制的恶感,而夸张的、不切实际的炒作非但不能增加自己的美誉度,反而会降低自己在用户心目中的形象。
炒作是能够带来丰厚回报的,但炒作也是需要付钱的,如果炒作不当,可能还会付出惨痛的代价,有时这个代价甚至就是毁坏自己的名誉和形象,断送自己的前途和命运!
炒作是一把双刃剑,适当的、合理的、能打动人心的炒作,再炒到正点上,就能把一家公司送上神坛;而热衷于”空中楼阁”式炒作的企业,最终只能被炒作打入地狱的冷宫。
针对当前”注意力经济时代”众多的恶意炒作,我想给中国的IT企业提一个建议,也是殷切的希望:多一份思考的冷静和理智,长一股做实事的踏实和自信,少一些炒作的狂热和浮躁。
海信挑战黑客与新浪路由器不断出错说明安全问题路漫漫 - sz1961sy - 2000-09-02 16:29:32
国内厂家路还长,吵作都是自欺欺人之作! 市埸竞争,能似华为那样能拉电讯入伙的机会不多,敢与国外同类产品挑战才是真功夫!