评论：Google的成功召来了安全问题

　　文/王金元

　　微软Windows和IE的安全漏洞成为广大用户众矢之的的对象。现在，Google的安全问题正在步微软后尘，变本加厉地向我们袭来。随着Google安全危险加大，宣称"不作恶"的这一搜索明星形象大损，宣扬开放源代码的Google成为用户身边的一颗定时炸弹。Google是搜索还是攻击？已经成为大家所密切关注又难以解答的致命话题。然而，处处与微软作对的 Google毕竟不愿趋同于自己的死敌，成为大们打骂的对象。那么，Google这一搜索巨头如何做好自己的安全工作，以保证用户的安全呢？

　　安全问题＝成功代价

　　最近爆发的Santy蠕虫病毒就是利用Google搜索功能来搜索更多存在漏洞的受害者，给Google带来严重的安全信任危机。事实上，随着桌面搜索工具和Gmail电子邮件服务的发布，Google的安全问题就倍受业界的关注，成为安全专家研究的重点。

　　在过去的数个月中，安全研究人员已经在Google的产品中发现的安全漏洞越来越多，警报不断。最近，一所大学的研究人员公布了在Google的桌面搜索工具中发现了一处可能使用户受到攻击的安全漏洞；而另一名研究人员在Google的Groups服务中也发现了一处安全漏洞；还发现2处网络钓鱼(Phishing)能利用的漏洞，等等。为此，一些研究机构已经或正在开发利用Google的数据库查找其漏洞的工具。最近，McAfee发布了一款安全工具的升级版本，该安全工具能够利用Google自动地发现网站上的安全漏洞，还有一些机构也开发了类似的工具。

　　当Google成为安全专家研究的重点时，也成为了黑客眼中颇有利用价值的工具。黑客利用Google查找存在最新缺陷的网站，来窃取别人的机密资料。当然，利用Google的还不仅仅是黑客，恶意编程人员也使他们的杰作能够自动地使用Google的搜索引擎。Santy蠕虫病毒通过Google发现运行有存在缺陷的phpBB软件的网站；MyDoom病毒的一个变种也试图利用Google和其它搜索引擎发现电子邮件地址，等等。

　　总之，这些安全问题对Google形象产生了很大的负面影响，且愈演愈烈。业界将此形象地称为Google成功的代价。以微软的话来说，就是市场领先地位是一把双刃剑，它意味着你需要承担更大的责任，因为你已经成为了高价值的攻击目标。Google也表示，因为我们发布的产品越来越多，而且知名度也在不断提高，越来越多的人在从安全的角度审视我们。

　　搜索还是攻击？

　　被称作"Google攻击"的这类搜索能够很容易地发现网站上可被利用的缺陷和机密信息，其中包括信用卡号码、用户帐户资料。早些时候，安全研究人员就提出了有关病毒利用Google搜索引擎的警告，Google应当已经做好了准备。但是，Google安全领域的知名专家居然没有对这些威胁做出应有的反应。专家表示，这不能全怪安全人员。尽管Google已经对拒绝服务攻击有很高的警惕，但其搜索引擎成为一种蠕虫病毒的核心组件却还是"新生事物"。因此，Google的安全响应小组"失手"了，给了Santy蠕虫病毒可乘之机。

　　Santy蠕虫病毒给Google敲响了一记警钟。Google表示，公司应当知道把安全工作当成重点。为此，Google内部对其产品进行了严格的测试，发现了产品的许多缺陷，并积极加以修补。当桌面搜索工具中被发现存在有缺陷后，Google吸取微软的经验，像Windows XP SP2安全补丁一样，不再征询用户的同意便可自动为用户进行软件的安全升级。此外，Google与微软一样也在积极招募安全奇才，并在其网站上发布了十多个软件安全工程师职位的招聘信息，以着手解决他人利用搜索工具"作案"。

　　不过，专家认为，对于Google而言，在向用户提供信息和向黑客提供信息之间很难找到一个平衡点。很多情况下，搜索与攻击没有什么二样，安全管理员无法知道哪些搜索是恶意的，哪些搜索是善意的。是搜索还是攻击？的确令人难解。

　　尽管如此，Google也不能放弃安全的保卫。Google表示，要提高信息的可访问性，你需要确保以一种安全的方式来完成这一切，这使得安全成为了我们必须提前完成的任务。

　　堵住漏洞和开放代码

　　尽管有安全机构帮着替Google出谋划策，尽管Google从微软和其它公司吸取了许多经验教训，但这场安全保卫战还只是刚刚开始。Google如何赢得这场战争？能否赢得这场战争，目前仍然是一个未知数。

　　面对这一难题，安全专家们不断寻求破解之法。在研究Google安全问题的过程中，他们越来越想知道Google的代码是如何运作的。为此，他们提出了一个安全方案：堵住漏洞和开放代码并用。

　　的确，Google是一个知名的开放源代码使用者和提倡者，实际上就是利用Linux和开放源代码的优势起家的一个典型例子。如同一些已知的Linux使用者，如Apache、MySQL、PostgreSQL、PHP、Perl和Python以及其它开放源代码软件一样，毫无疑问都受益于开放源代码。而且，使用开放源代码被认为是完全放开、绝对安全的路子。

　　可是，Google并不是按照这样的路子走的，其实它是个十足隐秘的开放源代码软件。比如，众所周知的搜索引擎Google，其运算法则及其相关代码仍旧是个秘密，同微软先前的软件没有两样。而且，同微软一样，Google也非常在意自己的版权和专利，惟恐落入他人之手。IDC安全专家费德曼说："那是他们的特别机密。"同样，业界对其开放源代码的贡献也表示了怀疑。有些人表示，Google只从开放源代码捞取好处，而没有任何回报。由此所爆发出来的安全问题是Google咎由自取，就像微软一样，Google在开放源代码上的错误应用使公司得到了应有的恶报。还有人表示，Google对于网络安全漏洞并不在乎，而仅在乎漏洞暴露于大众面前。

　　话虽然有些过激，但最近的安全攻击和Google的应对无能无疑证明了Google的搜索引擎软件在开放道路上越走越黑，存在着让人感到担忧的"黑洞"。对于Google桌面搜索中的"黑洞"，科学家称之为"复合漏洞"，即当各种元素组合起来时就会出现安全漏洞。这些"黑洞"有多少？在哪里？没人知道。

　　正因为如此，目前安全机构可以采取的一个预防措施只能是通风报信，即他们可以利用Google搜索出可能受到攻击的网站，并向网站管理员通报受到攻击的风险。如何阻止这些攻击，专家们往往爱莫能助。

　　Netcraft公司表示，当他们发现一处应用错误相对应的源代码片段、文件构架和应用逻辑威胁到搜索巨头的要害机密时，他们及时报告给了Google。乍一看，这一web应用轨迹能否立刻被进攻者利用还不好说，但这一点可以大大地反应Google一定是Python编程语言的使用者。

　　面对目前的局势，安全专家警告，搜索引擎会越来越多地遭受攻击和被进攻者利用。他们表示，进攻者会以更加先进的办法来进攻电脑和软件，还会利用Google搜索软件上暴露的封闭代码来"作案"。搜索公司应该保证其服务的安全性，负责好自己的服务是正当的使用而不是为坏人所滥用。