Check Point CEO--当复杂变为更复杂

network

你可以把Gil Shwed称作一位积极乐观的悲观论者，下面这篇访谈将带你了解他对于当前网络与安全的见解。 　　 Check Point安全软件技术公司的首席执行官Gil Shwed相信那些黑客和病毒作者的技术水平与能力一直都在进步提高，但他并不特别担心Internet抵挡攻击的能力 　　“作为安全软件提供商我当然希望人们购买更多的安全软件产品，不过大家应该意识到，Internet的总体情况还算好，没那么糟糕。“ 他说。 　　可以肯定的是，客户并未停止购买Check Point的安全产品。这个星期早些时候，该公司公布了第三季度的盈利情况，结果是比预期的要好，因此他们也提高了对今年一整年销售情况的期望。公司持续不断地收到大量购买其虚拟专用网(VPN)和安全及管理软件的定单。 　　但是，Shwed领导的公司也走到了一个至关重要的十字路口。Check Point现在面临着全方位的竞争。 　　一方面，实力强大的Cisco系统和Juniper网络是他们的直接竞争对手，挑战相当严峻；另一方面，它也必须小心对付来自像Symantec这种稍小的安全公司的威胁。Shwed最近作客CNET News.com位于旧金山的办公室，向记者和编辑们谈论了大家所关心的安全问题。 　　现在提供安全软件服务是否变得越来越容易了？ 　　不，我不这么认为。恰恰相反，我想事情正在变得更加复杂。 　　为什么？是因为产品的最终用户还是没能做到所他们该做的吗？还是因为那些爱搞入侵破坏的坏家伙本事越来越大了？ 　　两方面的原因都有，另外也是因为我们对网络的依赖性越来越高了。想想看：十年前，如果有人攻击了你的网络，这甚至可能都不会引起你的注意，因为你的网络绝大部分是通过Novell网连起来的。如果仅有少数计算机连到IP网络或连到Internet不是什么坏事。现如今，如果你的网络或连接遭到一点小小的破坏，它就会影响到整个公司机构。攻击的传播速度非常快。 　　那么今年剩下的时间直到2005年，你最大的挑战是什么？斗争的前沿阵地在哪里？ 　　我想有多个斗争前线。最主要的是，现在许多攻击鉴定起来并不是很容易的事。 　　这是否和网络管理员直接相关？是否因为管理员在升级系统方面做地不够认真仔细和及时，从而把自己暴露在他们的攻击之下？ 　　不是这个原因。我以前也是网络管理员，当我下载软件到我的系统时，我仍然无法确定它们是否安全。举个例子，如果想使用Download.com，我首先不得不相信CNET. 　　你所拦截的攻击中，有哪些来自外部，又有哪些是来自内部计算机？ 　　攻击来自各个方面。只要一台机器受到攻击就足以影响整个网络。另一件事我们要记得的是，这里面很大一部分牵涉到公司的政策。公司会说“只要我们买了足够多的技术和软件，它就能保护我们”，但其实这还远远不够。 　　自从2001年以来，Internet上发生了几次大型攻击。有人认为这样下去，Internet由于攻击而整体崩溃的这种灾难迟早要发生。对此你持怎样的观点？ 　　万事皆有可能。不过我认为Internet的整个体系结构很有弹性，具有足够的抗击打能力和恢复能力。 　　Internet并不由某个机构全权控制可以说是个坏事，因为像攻击等这类事情传播起来非常迅速。但它同时也是个好事，因为没人有能力把它整个关闭，一只蠕虫没这个能力，管理层的一个决定同样没有办法，他也许会说“有坏东西正在传播，让我们关闭Internet，然后修复它“，可是他做不到的。 　　作为安全软件提供商我当然希望人们购买更多的安全软件产品，不过大家应该看到，Internet的总体情况还算好，没那么糟糕。Internet上有众多的用户，公司也离不开它，他们公司网站的运行时间一般都相当长。 　　你怎么看待微软前不久发布的Service Pack 2？你认为它能增强个人计算机的安全性吗？ 　　SP2的到来当然是好事情，但我不认为它显著地改善了任何东西。 　　那么在你看来，为什么对微软来说安全性问题是这么大的一个难题呢？ 　　作为技术人员，我的观点非常简单。让我们回到二十年前，看看那时的*作系统。那时有Unix和VMS。Unix极为简单而强大，掌握起来也很容易。你可以直接深入Unix核心，进行修改，引入新的功能和应用。每个Unix程序员都知道它的API(应用编程接口)，就是因为它们非常简单。 　　VMS则恰恰相反。你想做的每件事也都可以做，它也非常非常强大，但是极为复杂。每件事看起来都有点“官僚”，当你想做一件事时，你也许需要读上50到100页的手册才能学会该怎么去做。历史上微软选择了走VMS这条路。微软实际上雇佣了当初负责VMS开发的那一批人员。 　　是指Dave Cutler? 　　没错，他们做了一套相当复杂的系统。 　　如果你的系统太过复杂，你做的每个小改动都可能影响到千百个地方。仅靠一个程序员是无法跟踪代码把问题分离出来的。当你有几百兆的代码时，就很可能有非常多的bug，事实证明，确实是这样。 　　在把个人计算机带给千家万户这点上微软做出了巨大贡献，从外部看，他们的系统很棒，但是从内部看就完全是另外一回事，这就是为什么他们的系统这么容易受到病毒攻击。 　　那么你认为Linux由于基于Unix，所以从一开始就更加安全吗？ 　　一般来说，确实这样。 　　Unix也有一段时期累积了大量的复杂的东西。 　　确实，它变得比以前复杂了。 　　Linux也不例外，也变得相当复杂了，不是吗？ 　　没错。我并不认为Linux或Unix是一点问题都没有。但如果你比较一下他们和Windows的发展程度，我仍然认为在复杂性上，Unix和Linux还是比Windows更简单。 　　当我们研究安全问题时会发现，病毒能够生存的一个典型方式就是它们发现了还未被监视的新渠道。目前相对脆弱的渠道都是哪些？ 　　我想黑客们会试着去找遍所有可能的渠道，就好像我们最近发现的JPEG文件漏洞一样。 　　一些协议设计地相当好，处理起来相对容易。而有些则相当差劲--例如所有VoIP的东西都很差劲--这是个非常复杂的设计，要想监视都发生了哪些事情是非常困难的。 　　你认为是否应该更加严厉地对那些病毒的作者进行犯罪惩罚？ 　　我想对所有技术人员来说，进监狱或被限制活动--不管是一个月还是两年--都是很不好的记录，至少在西方国家是这样。 　　我想主要问题不是惩罚的力度，而是是否有真正进行惩罚。法律制裁已尽其所能覆盖到所有的人了，最大的问题是太多的人认为制造病毒进行攻击并不属于犯罪范畴。 　　那么问题是否在于我们没能创造足够强大的威慑力？ 　　有这方面的原因。另外一个问题是Internet是全球性的。如果有人闯入了当地办公场所，当地警察是有能力处理它的。但当事情扩大到全球范围，如何处理它可能就无法可依了。当初法律的制定并未考虑到如何处理Internet。 　　如果想要抓住那些进行电子犯罪的人，那么时间极为宝贵，你必须在最短的时间内处理。警察调查一件谋杀案也许会持续两年时间，但如果你花两年时间去调查一宗计算机犯罪案件，那么你很可能一无所获。即使你记录下了两年中大部分的数据，也没人能告诉你哪个IP前天晚上是属于哪个人的。 　　IPv6是否能使追踪变得容易些？ 　　不，我想它会使事情变得更糟糕。我们的产品支持IPv6，但它是个复杂得多的系统。Internet之所以能够成功，就是因为它被设计地足够简单。事情做地越复杂就越难以进行大范围部署。越强大性能越高，问题就会越多--IPv6就太复杂了。从最初开始部署IPv6到现在已经有八到九个年头了，但它普及的程度还是非常低。 　　你是否认为IPv6会使得网络更加脆弱，更易受攻击，或者仅仅是更容易出现随机错误。 　　如果你看过现在的IP包，你会发现他非常非常简单，但即使这样人们也能发现上百个可能引起攻击的问题。再看看IPv6的数据包，起码又复杂了100倍，所以能引起bug和出现漏洞的地方自然就会更多。如果建立我们现在所拥有的网络花了20年的时间，那么无疑IPv6网络的建立将需要更长的时间。