大家都看不见 世界就很安全? Security by Obscurity 的资讯安全观无法解释 Windows 僵屍网路的泛滥 By HUNG Chao-Kuei on Saturday, January 15 2011, 21:42 http://blog.ofset.org/ckhung/index.php?post/111c 趋势科技张明正董事长日前接受彭博访问时 表示: Android 因为开放原始码,所以没 有苹果来得安全。这和几年前 李家同校长发表的看法 类似: 「开放型的操作系统虽 然有很多优点, 但极容易被人不法侵入, 而且侵入以後, 常可以通行无阻, 如入无人 之境。」这种 "security by obscurity" 的资讯安全观,不仅挑战着资讯安全专家和 美国白宫的智慧, 也挑战着事实。 资讯安全专家的看法, 与台湾资讯界两位大老正好相反。他们认为: 好的演算法, 应 该摊在阳光下, 让所有资讯专家检验。如果没有专家看得出漏洞, 那麽这个演算法才 比较可能是安全的。这个资讯安全的基本原则, 叫做 Kerckhoffs' principle。我在 「见不得人的 DRM 演算法」 一文当中, 列举过一些电脑高手对於这个议题的观点文 章网址。这里再补充一个: 近年来活跃於密码学舞台的世界知名资讯安全专家 Bruce Schneier 曾经 说过: 身为密码与资安专家, 我一直搞不懂开放原始码议题为什麽会引起这麽大的骚动 。在密码学界, 开放原始码是资讯安全的先决条件; 过去数十年来一直都是如此 。公开的安全当然比私密的安全更安全: 不论是加解密演算法、 安全协订、 资 安原始码皆然。对我们来说, 开放原始码不只是一种商业模式, 它根本就是工程 师应有的聪明态度。 如果资安专家谈的太抽象、太理论, 那就让我们谈谈真实事界所发生的资安问题吧。 资讯界两位大老谈的都是作业系统; 不过对於一般使用者而言, 更需要谨慎守护的第 一道防线, 可能是云端年代最重要的代步工具 -- 浏览器。去年年初 google 中国被 入侵, 台湾多数大学基於其对浏览器的宗教狂热, 一直不敢公开谈论这个资讯安全问 题。到了去年年底, IE 浏览器的零时差攻击, 以及很可能是由它所导致的 行政院遭 中韩溃客恶意攻击事件, 再次突显 IE 浏览器的资安问题。关心资讯安全的两位大老, 只批评「目前仍处於小众的作业系统」的资讯安全; 但对於 IE 所造成的这两个影响 既深且广的资讯安全事件、对於众多强迫用户使用破败旧版 IE 的 自残网站、 对於 至今没有具体因应作为的资讯学界与资讯产业, 却反而没有提出任何建议, 这令人十 分失望。 「还好我的电脑没有被入侵。」那可能是你的感觉。今日最大规模的资安问题 -- botnet 僵屍网路 -- 最可怕的地方,在於被入侵的受害用户仍旧能够继续正常使 用电脑, 因而经常完全不自觉。操作僵屍网路的 溃客 入侵你的电脑, 用意多半不在 你的资料, 而在徵召你的电脑参与大规模的集体攻击。他当然不希望惊动「电脑被徵 召」的受害者, 这样那部电脑才会持续留在线上随时待命 -- 等待他发动攻击金融机 构或政府机关的命令。 僵屍网路的最重要传染途径, 就是 IE。不过, IE 的用户人口最多, 所以光看这个数 字还不足以说明 IE 比较不安全。Firefox 用户的电脑当然也有机会被徵召进僵屍网 路。拿上面连结的数据和 2009 年浏览器市占率对照并相除, 会发现: IE 与 Firefox 的中镖率比值为 5:3。 真的吗? 大家都看不见 IE 的原始码, 所以封闭原始码的 IE 真的就比开放原始码的 firefix 更安全吗? 当然, 挑战 Kerckhoffs 原理的资讯界两位大老, 谈的都是作业系统, 而不是浏览器。 那更好, 就来谈谈作业系统的中镖率吧。「IE 助长僵屍网路」那篇文章里面,没有作 业系统相关数据, 无法定量分析。搜寻 linux botnet, 发现 2009 年出现首宗(似乎 也是唯一的一宗) linux 僵屍网路事件。被入侵的, 并不是一般用户的电脑。一般 linux 用户的电脑, 需要以个案方式手动入侵, 对於经营僵屍网路的溃客来说, 不符 合经济效益。被入侵的, 是没有设定密码的某些网路分享器。 不管 windows 桌机的 中镖率是否真的 高达 25%, 至少可以确定 linux 桌机的中镖率, 是零。也就是说, 我在 linux 下生活了十五年, 到目前为止, 我的电脑还没有荣幸被徵召加入僵屍网 路 ;-) 这个例子除了说明使用开放原始码的 linux 远比使用封闭原始码的 windows 安全之 外, 还提醒我们三件事。第一, 大多数诸如网路分享器之类的装置, 之所以采用开放 原始码的 linux, 而不是采用封闭原始码的 windows, 资讯安全当然也是重要的考量 之一。如果 linux 不安全, 资讯厂商当然宁可花钱取得授权, 改用 「比较安全的 windows」。第二, 系统再怎麽安全, 产品再怎麽优, 如果用户没有资讯安全意识 -- 例如连密码都没设定 -- 那麽一样会曝露在风险当中。 一位负责任的资讯安全专 家, 会提醒大众要提高资讯安全意识, 不要仰赖任何产品 -- 防毒软体也好、 linux 也好 -- 而不是淡化严重的资安问题, 甚至扭曲事实, 找不相关 (甚至正好颠倒是非) 的藉口来搪塞。第三, 在这个案例里面, 只有特定型号的分享器受害。这再次验证了 资安专家早就提出的建议: 类似生物多样性的 「作业系统/浏览器多元化」, 有助於 提升网路社会整体的资讯安全。 详见 Schneier 的专访 与 O'Donnell 与 Sethu 的 学术论文摘要。一位真正关心社会整体资讯安全的专家, 必须要关心这个议题。 李校长的专长是演算法, 而不是资讯安全。当然, 一位学术成就远低於李校长的部落 客, 读者也不需要将他的话照单全收。 问问搜寻引擎吧: 请看看「李家同 演算法」 和「李家同 资讯安全」, 会搜出什麽样的天壤之别。 相较於他令人敬佩的学术成就, 和许多技术文章的高水准, 李校长那篇文章的专业程度, 令向来敬佩他的我讶异得说 不出话来。以他对於资讯教育界及对於社会整体庞大的影响力, 却对大众提出违背事 实的资讯安全建议, 非但没有协助自由软体界让数位高墙倒下, 反而协助微软强化数 位高墙, 令人感到多重的不安与十分的不解。 至於张董颠倒黑白的动机, 就很容易理解了; 甚至可以得到一点点谅解。张董的任务 是赚钱, 而不是拯救世界。这不是在指责趋势科技, 而是要请消费者认清资本主义社 会的现实 -- 不论你喜不喜欢。 2005 年 Sony 藉由音乐光碟入侵消费者电脑的时候 (请搜寻 sony rootkit) 部落客於 10 月底揭露其劣行, 一开始主流媒体都不愿意报 导; 而资讯安全界则只有 F-Secure 与 Sysinternals 两家小的防毒软体公司积极回 应。诸如 McAfee 与 Symantec 一开始都不愿意真的移除入侵的程式码;他们甚至还替 Sony 的行为辩解, 误导消费者。至於趋势科技, 则 迟至 2006 年才低调推出反安装 工具。难怪 Sneier 这样评论 这些资讯安全大厂: 「Sony rootkit 事件突显了什麽 呢? 说得好听一点, 这些公司无能; 说得不客气一点, 那是欠缺专业伦理呀。」回到 这次张董发言事件, 难怪部落客们会立即反驳, 会调侃张董是资讯不安全专家, 认为 他可能只是害怕将来 windows 退流行, 就没生意可做, 才会出此下策。询问报 (the Inquirer) 倒是打趣地指出趋势科技不用太担心自由软体用户的批评 -- 趋势科技不 会 「失去」 这些客户, 因为他们从来就不需要买防毒软体 :-) 但是 sony 事件对我们的启发还不仅止於此。如果 sony 会在你的电脑设後门, 那麽 微软与苹果会不会? 如果按照张董和李校长的建议, 大家都把头埋到沙子里, 反而只 剩下微软和苹果可以看得见一切, 那麽这个社会将会更加安全, 还是更加危险? 这不 是假设性的问题, 这是发生过很多次, 甚至现在还存在於你的 (以及可能存在於两位 资讯大老的) 电脑、 手机、 随身听里面的事实。请搜寻「windows phone home」、 「windows stealthy update」、「windows 盗版警察」、 「apple secret url」、 「mobileme secretly」。这里的重点已经不是溃客入侵。这里的重点是: 如果 「收 你钱、 不给你看原始码、告诉你把头埋在沙子里比较安全」 的资讯厂商, 恰恰就是 入侵你电脑的溃客呢? 封闭原始码真的比较安全吗? 到底对谁比较安全呢? 最後, 提醒消费大众几件事。第一, 请不要为了合理化自己的「选择」, 而强迫自己 「相信」谎言。我选择使用 ubuntu, slax, 与 SimplyMepis,是因为这些版本的linux 方便性等等诸多考量; 但并不会因此而天真地认为我的选择, 就一定也比其他版本的 linux 或比 BSD 更安全。 盲目的品牌忠诚, 只会让你变成任人宰割的肥羊。「我可 以继续使用封闭原始码的 windows 吗?」如果因为环境的现实因素不配合, 身旁找不 到热心的小学三年级 Linux 玩家可以帮忙你解决问题, 那当然也只好继续用windows。 哦, 要记得安装防毒软体。如果我必须用 windows, 会比较相信开放原始码的ClamWin; 但是请不要因为继续用 windows, 就跟着催眠自己相信那些「自身利益与社会利益」 冲突的公司。「提出有利於社会整体资讯安全的建议 -- 例如丢弃 IE -- 会不会与 我自身的利益冲突呢?」一家以营利为目的的公司会怎麽做? 消费者应该要有智慧判 断。如果我是防毒软体公司的董事长, 我也不敢保证我的表现会比张董事长展现更高 的道德良知与社会责任。第二, 没有任何「产品」是完全安全的; 重点是「态度与习 惯」。(Schneier 的原文是: Security is a process, not a product. 不过在此处, 「态度与习惯」可能比较能够抓住其原意。) 第三, 请不要尽信主流媒体 -- 特别是 台湾的资讯媒体。当然, 部落客也可能有自己的偏见、利害关系、 甚至被收买(请搜 寻「国光 部落客」); 不过, 至少从很多部落客的不同意见里面, 你可以看到比较全 面的、未经言论管制的多元观点。这个年代, 网路搜寻的能力很重要。请搜寻比较「 白宫 drupal」和「white house drupal」、请新闻搜寻比较「俄国 linux」和 「russia linux」、你不仅会看到外国改用开放原始码的自由软体的趋势, 也会同时 看到台湾多数主流资讯媒体对於这一块重要趋势的噤声。 美国许多政府部门诸如国防部、能源部、健康部、国安部、交通部等等单位改用自由 软体的趋势是否值得学习? Arm 与 linux 是否真的将 终结 微软与 Intel 的垄断? Android 会不会就是未来的大势所趋? 微软真的就要溃堤了吗? 不论这些问题的答案 是肯定或否定的, 至少在看过这些文章以及用您自己智慧搜寻到的结果之後, 你会更 清楚地确认: 众人 - 包含具有实战经验的真正资安专家 - 的智慧认为: 采用看得见 原始码的自由软体, 比较有利於资讯安全。Security by obscurity is no security. --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.160.246.16