開源軟件是否真的如我們想象中的那樣安全?
在兩年前開始接觸信息安全的時候,從開源的GNU,到各種網上各種開源工具,我一直認為,開源即相當安全,可是開源是否真的如我們所愿的那么安全么?
開源軟件安全現狀
上上月的心臟出血,給了我們當頭一捧!
在目前的個人和商業領域,開源軟件得到了更為廣泛的應用,隨之其安全問題也得到了更為廣泛的關注,有關開源與閉源軟件誰更安全的問題也爭論不休。其實安全都是相對的,沒有絕對的安全,閉源如此,開源也如此。
從軟件產業的誕生到現在,時間并不是很長,與其他在我們眼中被視作“傳統行業”的產業比較起來更是顯得年輕,但它卻發展得非常迅速,對我們的工作和生活的影響也越來越大。
總體而言,現在的軟件可以按照源代碼是否公開分為“開源”(Open Source)和“閉源”(Closed Source)兩大類,而前者對目前整個軟件業的影響正在以“星火燎原”的態式發展。開源軟件正在從我們計算機愛好者手中的摯愛變成企業應用中不可忽視、 舉足輕重的一個考慮對象。
有關開源軟件的一些問題也成為討論話題中的熱點,“開源軟件安全”這個問題的爭論也由來已久,在開源運動比較成熟的國家對其認識的更加深刻,大家已經用行動證明其“安全可靠”,而在國內,似乎我們的開源運動還沒有真正的到來,還需要“討論、討論”。
在討論“開源軟件安全”這個話題之前,有必要仔細地考慮一下在使用軟件時所關心的一些問題,這些問題是在成本允許的條件下:
- 軟件是否能夠滿足自己的功能需要;
- 軟件的功能特點是否安全;
- 軟件的后期維護和支持是否到位。
雖然上面三點不是全部都應當考慮的問題,但是已經算抽象意義上比較突出的幾個問題。可以看出,在這三點中,第二點就是安全問題,似乎很多企業沒有意識到這個問題,或者說對這個問題認識不夠深刻。
產生這種現象的原因很多,一方面是安全意識淡薄,很多公司和企業使用的軟件授權還沒有徹底解決,而且總覺得夠用就行,忽視了軟件安全方面的 問題;另一方面把安全交給所謂的殺毒軟件和防火墻,這并沒有從根本上解決安全問題,要知道所謂的病毒和木馬,之所以存在或者說危害著軟件使用者,本身就是 所使用的軟件自身存在安全漏洞和Bug。
那么如何才能最大程度上保證軟件的安全性呢,或者如何才能盡快地發現軟件中的問題,并把問題解決掉呢?在軟件開發中有一些共識:
- 設計要盡可能完善;
- 測試要盡量全面;
- 維護和跟蹤及時持續;
- 問題解決要快速;
- 信息發布要及時透明。
在這幾個方面,開源軟件做得都非常不錯,下面就分別說一下以上這幾個問題。
開源軟件文檔缺乏
很多人詬病開源軟件缺少文檔,更沒有什么設計資料,特別是國內的一些人士,由此就覺得開源軟件多么不可靠。這個問題看上去似乎成立,但如果 我們深入的了解一下就不會有這種片面的看法,事實上這些問題也許是開源軟件早期存在的一些問題,因為畢竟這時候開源軟件的目的和影響很小,而現在卻在發生 著根本的改變。一方面是開源軟件開發模式的日漸成熟,開發人員也越來越專業化,另一方面伴隨著整個軟件業的成熟,開源軟件也在不斷的成熟。
現在成熟的開源軟件基本上都有自己的網站和在線(離線)文檔,也有不斷完善的Wiki系統,方便了大家的學習和反饋,可以說是一種構建型應用和推廣的典范,當然現在還是以英文材料為主。
嚴格意義而言,我們的政府應當撥款并成立相關部門解決這個問題,國內不同于國外,社區的推動模式在國內還存在很多問題,需要尋找不同的解決方案。盡 管一些大項目的漢化工作有了一定的進展,比如說Linux操作系統的幾個不同發行版,還有就是知名開源軟件的漢化,但是我們會發現做出貢獻的人未必是這個 領域的專家,所以從專業性上還未達到專業的要求。
我們從計算機圖書的出版也可以看到開源運動的影響和進展,從某種意義上而言,這些書籍成為開源軟件的設計說明和開發參考手冊,而且開源書籍 的出版劃分越來越詳細,甚至有的公司專門以開源書籍做為自己的主要經營業務。當然,國內在這一方面做的還不夠,所以我們應當學習國外成功的經驗和模式,在 開源運動中爭取雙贏或多贏。
安全從測試開始
測試作為軟件發布前重要的一步工作,肩負著軟件的可用性和安全性等諸多任務,所以也決定著軟件的質量,這是一個非常關鍵的指標。我們很熟悉閉源軟件的測試過程,正規的軟件都有正式的測試文檔,可以說對軟件的測試已經非常到位。
測試可分為白盒測試和黑盒測試,這是一個人們比較熟知的分類方法,在軟件公司內部可以進行這些測試,另一個模式就是把測試工作外包給專業的 測試公司,但是這些工作還是無法保障軟件的安全性。很重要的一點是由于我們自身的局限,我們很難寫出一個毫無遺漏的完整的測試用例,畢竟我們每個人的大腦 是有限的,而且有些問題也很難被考慮全面。
從程序本身而言,至今也沒有一套完整的理論和工具證明程序本身的正確性,這是安全性本質上的硬傷,但是如果不考慮這個因素,那么軟件的安全 性就要通過測試保證。由于閉源軟件存在開發周期、成本和代碼保密等缺點,使得測試的完整性不能得到很好的保證,也就是說閉源軟件最終得到的軟件是通過他們 自己設計的測試方案的軟件,這樣方案的完備性就存在自身的缺陷和不完備性。
開源軟件對每個人都開放源代碼,每個感興趣的用戶,無論是個人還是企業,都可以下載源代碼,可以說是完全徹底的白盒,當然進行黑盒測試更不是什么問題。這樣就保證了測試的最大化,相比閉源軟件,這樣更容易發現程序中存在的問題,更容易進行全面的測試。
還有就是現在的一些組織機構委托大學和一些商業公司做開源軟件的測試,包括安全性測試。美國政府有這樣的專項撥款,澳大利亞政府也有這樣的部門評估,新西蘭政府還安排專人作評估報告。
在南非,開源軟件大踏步的前進,最為大家熟知的就是Ubuntu的發起人Mark在那里所做出的貢獻,一句“Linux for Human Being”就是很好的注釋。
在歐洲對開源的關注和評估更是如火如荼,用Google Map搜索一下開源軟件公司就會發現在歐洲這個版圖上有很多的公司,可以說是密度居世界第一,而且有的公司業務就是做開源軟件安全性評估和測試的,他們提 供專業的服務,這點也最大程度地保證了開源軟件的安全性。
軟件升級需主動
在軟件的跟蹤維護方面,閉源軟件都是商業公司的產品,他們有資金和能力成立專門的部門做好這些事情,給客戶很好的保障,而開源軟件卻不能。其實這種觀點是片面的,因為開源軟件與之相比,無論在問題發現和解決速度上都毫不遜色于閉源軟件。
一個成熟的開源軟件有成千上萬的用戶在使用,而且很大一部分就是商業用戶和政府組織,他們發現的問題會及時的發布出來,而且還會將解決方案和建議一起提交,這對軟件的維護跟蹤、問題解決和信息發布都是十分有利的。
相對而言,閉源軟件當內部人員發現問題,但還沒有解決掉問題之時,一般不會發布公告。當外部用戶發現問題,由于自己手中沒有源代碼,就算有能力解決,或者計劃想辦法解決都不可以,只能夠等待軟件提供商解決,在補丁發布之前,除了等待毫無選擇。
軟件的升級一般有兩層意思:一層是功能上的增加和提升;另一層是對原有軟件的安全性,也就是發現的漏洞和問題的修正。
在這個問題上我們要探討升級的主動性和被動性,對“生產”閉源軟件的商業軟件提供商而言,對升級的問題不是很主動;而在軟件發布后的安全問題上,更是以被動為主,都是根據市場反饋和用戶投訴解決問題,不能夠從公司內部積極的查找問題,修正錯誤。
一個例外就是軟件由于發布時間期限的壓力,一些內部知道的安全問題本身就隨著軟件一起發布,但是暫時不為人知,商業公司會繼續投入人員進行解決,然后以“升級”的名義對其進行修正。
而開源軟件卻是另外一種情況,從開發團隊核心到外圍的普通用戶,大家都努力將軟件打造的盡可能安全,這種對軟件中問題的一致情緒源于大家的 責任心和對開源軟件精神的認同,當然也有少數的個人英雄主義人士的存在,但是這一切都是主動的,而不是被動的,這種主動性讓開源軟件的安全性有了可以站立 的基石,使得開源軟件愈發安全。
開源軟件存在安全問題
在2006年的LinuxWorld大會上,Linux內核維護人考克斯強調,有相當數量的資金被用來攻擊開放源代碼系統。他警告說,許多 開放源代碼項目遠談不上安全,許多資金都被用來破壞開放源代碼系統的安全。媒體上經常有這樣的字眼:開放源代碼軟件更安全、更可靠,缺陷也更少。這是一種 危險的觀點。
考克斯表示,許多分析都只關注知名度很高的項目。對SourceForge上150個項目的分析顯示,它們在安全方面的表現不如Linux,只有部分項目的“高質量”是名符其實的。
開源安全工具
Nmap是一款開源的網絡探測和安全掃描程序,系統管理者和個人可以使用這個軟件掃描大型的網絡,獲取那臺主機正在運行以及提供什么服務等 信息。Nmap支持很多掃描技術,例如:UDP、TCP connect()、TCP SYN(半開掃描)、ftp代理(bounce攻擊)、反向標志、ICMP、FIN、ACK掃描、圣誕樹(Xmas Tree)、SYN掃描和null掃描等。
在未來也許需要那么一個專門部門來做代碼審計,也許開源才能做到真正的相對開源!而這個部門也許就靠市場來推動了。
