现今众多企业对无线安全关注不足

  由于美国华盛顿的美国商务部礼堂早上8点30分在音响设备中播放美国乡村独唱歌手Lee Greenwood演唱的“光荣,光荣,哈利路亚”和“上帝保佑美利坚”等爱国歌曲,人们思考7月20日的会议是可以谅解的。这次主题为“Pharmers和Spimmers、黑客和无线攻击者:抗击无线安全威胁”的会议在国家处于紧急状态期间召开了。
  
  演讲者谴责了美国企业对于无线局域网和企业系统安全威胁的关心不够。另一方面,这种威胁到目前为止似乎还没有达到最高的水平。美国CERT(计算机应急准备小组)的高级分析师Mark Henderson说,美国CERT目前还没有接到有关无线网络攻击的报告。他补充说:“这可能是因为机构没有向我们报告这些攻击事件,尽管按照规定机构是应该向我们报告的。”
  
  Gartner Research公司负责互联网安全的副总裁John Pescatore在开幕式的演讲中争论说,安全行业曾经“过分宣传”了有线系统的安全危险,现在他们又对无线系统做同样的事情。“强风”(Slammer)和“冲击波”(Blaster)等蠕虫过去的攻击之所以会取得成功是因为计算机用户没有修复已经公开的安全漏洞。这种错误以及错误配置企业网络等典型的错误是很容易采取措施克服的,很容易防御这种入侵。
  
  Pescatore对无线设备厂商提出了指责。这些厂商的产品在安装完毕之后都在屏幕上显示一条信息。这个信息说:“如果你要打开安全功能,就会出现麻烦。”
  
  Pescatore说,企业不是对无线局域网采取简单的安全措施,而是采取“只说不”的措施。企业拒绝开发无线网络,因为这些企业担心他们永远也不会安全,这是一种有勇无谋的反应。无线网络不容易保证安全还因为企业雇员将在零售商CompUSA那里购买廉价的无线接入点,然后安装到工作场所为自己提供方便。
  
  大多数演讲者一致认为,今后两年左右的时间是关键的时期。系统管理员必须更认真地考虑建立安全政策。Henderson提到了美国政府审计署最近发表的一篇报告。这篇报告的结论称,人们认为联邦政府对安全问题比企业更加敏感。然而,美国联邦政府机构没有全面实施关键的管理政策,如采用能够使这些机构安全使用无线网络的政策、做法和工具。美国审计署检查了6个联邦政府机构并且在这所有的6个机构都发现了“信号泄漏”。在一个机构中,有90台笔记本电脑的配置不正确。而且,这些机构的无线网络中都有非法的无线通信活动,而它们的监视程序都没有检测出来。
  
  Henderson说,美国CERT担心第二种类型的泄漏。当联邦政府官员离开他们的工作时,他们通常把Blackberry等移动设备退还给零售商以便得到一些折扣。政府用户或者没有全部删除Blackberry中存储的内容或者删除的不彻底。这样,当销售商把这种设备销售给第二个用户的时候,
  
  Blackberry中仍存储着秘密的信息。Henderson说,他预计美国国家标准和技术研究所将发布一个檫除信息的标准。
  
  美国Visa公司负责公共政策的高级副总裁Mark MacCarthy举例说,如果企业不能保证其无线连接的安全,就会遇到严重的问题。BJ批发会员店(BJ’s Wholesale Club)就是一个例子。黑客从BJ批发会员店与信用卡公司之间不安全的无线连接中获取了用户的信用卡信息,然后用这些偷窃来的信用卡进行了价值数百万美元的采购。美国联邦贸易委员会提出的两项指控称,BJ批发会员店没有使用可用的安全措施阻止黑客非法接入其无线网络,BJ批发会员店没有使用足够的措施检测非法访问其网络的行为或者进行安全检查。BJ批发会员店和美国联邦贸易委员会在6月16日签署了一项同意判决书(Consent Decree)。
  
  一个接一个的演讲者指出企业对于无线安全关注得太少了。值得注意的是演讲的礼堂中听众极少。也许是由于7月中旬是放假的高峰期。这个礼堂的30排座位只有10排有听众,而且还坐的比较分散。