处理敏感数据的大型主机，其实并不安全

大型计算机主机存在的时间已久，早在20世纪60年代时，许多航空公司、银行和政府都开始使用它们来处理敏感事务，至今这些政府、企业和机构仍在使用性能不断提升的大型主机。但事实证明，这些大型机械也拥有和现代社交达人一样的“病症”：在互联网上"过度分享"信息。

安全研究员 Phil Young 表示，他已经发现互联网上大约有400台大型主机，会给那些能够连接上它的人提供了相应的登录界面。在拉斯维加斯举办的 Security BSides 安全大会现场，他讲述了如何发现这些分属美国农业部、国家卫生研究院、埃及航空公司，以及许多大学的管理系统的大型主机。他利用软件将所发现的大型主机登录界面的截图，上传到了个人博客中，感兴趣的读者可以去看看（跳转）。

Young 通过其开发的软件，扫描了互联网上易受攻击的软件和设备，从而发现了这些大型主机。他表示这些发现需要引起人们的关注，因为在过去的50年时间里，虽然大型主机在许多方面都有了显著进步，但是系统缺乏必要的高级安全功能，导致不法分子能够在互联网上自由访问。

大型主机处理的数据十分重要，如银行交易和个人数据，不过人们对此却有安全性上的错觉。多年来我们一直被告知大型主机是足够安全的，但实际上并非如此，只是没有人像关心个人电脑、手机或网站一样关心大型主机罢了。这意味着大型主机很可能已经被突破，并窃取了相关信息。

对企业而言，保持软件安全的最佳做法是公开披露自己产品中新发现的漏洞，并发布软件补丁，就像微软对 Windows 所做的那样。这使 IT 人员可以保持许多产品处于最新的状态。

IBM 在其大型主机的软件上并没有采用这种模式，而它又占据着市场主导地位。IBM 对大型主机软件中的安全漏洞闭口不谈，只会私下接触用户并让它们打补丁，而且不会说究竟为什么。IBM一直称，自己的大型主机具有独特的加密技术，是世界上最安全的计算机系统。

Young 表示：“这种平台的安全性没有得到很好的管理，而且企业和政府都在使用他们的东西，安全性真正关系到我们所有的人，这是一个需要改善的盲区。”

在2014年，瑞典的文件共享服务海盗湾的创始人，因为访问了属于 IT 承包商和包含丹麦政府数据的大型主机而被判有罪，数据中包括了身份证号码和刑事记录。

本周晚些时候，在 DEF CON 黑客大会上，Young 和其合作者 Chad Rikansrud 将介绍几种开源工具来帮助安全研究人员探测大型主机软件可能会被利用的安全漏洞。他们希望能引发一波大型主机的仔细检查浪潮。

via technologyreview

雷峰网原创文章，未经授权禁止转载。详情见转载须知。