软件源代码

观察·随着以Linux为代表的开放源码软件的出现,源码公开技术日益受到人们青睐.
但如何看待开源软件的安全性,却有两种截然不同的看法.
一种观点认为.
源代码公开有利于安全等级的检验和控制,有利于网络系统整体安全等级的提高:另外一种观点认为.
源程序面前没有秘密,公开源代码就意味着公开了软件运行的全部机理和技术细节,虽然有人完善,但也会有人破坏.
因此是最不安全的.
孰是孰非源码公开技术对网络安全的影响什么是开放源码软件开放源码(Opensource)软件(简称开源软件)指源代码公开的软件.
例如软件的源代码放在网上公开供人下载或者能以低廉的价格买到.
美国的非赢利软件组织开放源码促进会(Osl)"对开放源码软件的定义是:源码是可以被公众使用的软件并且此软件的使用、修改和分发也不受许可证的限制.
开放源码"这一概念已被该组织注册为认证标记.
开源软件特有的优势是由于源代码公开.
任何地方的任何人都可以参与最终产品的制造.
这样的开发模式赋予了开源软件强大的改锚能力任何隐藏在软件中的锚误都可以被软件的最终使用者发现并纠正,这种类似集市式的开发过程将使终端用户群共同受益.
开放源码的开发方法不同于传统软件.
它是一种协同开发模式通过独立的同行评审(peerrevlew)和源码的快速演变来提高软件的可靠性和质量.
其运作机制是以Internet为支撑平台将志愿开发者聚集到一起每个开发者均可自由地提交软件代码.
但代码是否被采用.
要么以一致同意的方式决定,要么由在项华中科技大学电信系王长强尹申明目群体中具有声望和地位的负责人决定.
遵循的基本原则是早发布、常发布,听取用户的建议.
把用户当作协作开发者和Beta测试人员:鼓励通过公其论坛和邮件列表的非正式公开的技术交流和知识共享等,但是在全球源码公开的浪潮下开源软件的安全性也成为一个深受关注的问题.
下面就开放源码对网络安全的影响进行分析讨论.
开放源码对网络安全的正面影响优点1:从系统安全的实现机制来看开源软件的安全性全部来自于算法、协议及系统本身设计.
而源码封闭程序的安全'胜很大一部分依赖于代码的封闭性.
即依籁于攻击者的无知.
优点2:从密码学的基本原理来看,系统的安全性应当完全来自算法选择.
协议设计等内在机制.
安全性应当依赣于像密码或密钥这样比较精简且容易改变的要素的保密,而不应依赖于攻击者的无知.
早在19世纪荷兰人AKerchhoffs就阐明了密码分析的个基本假设即秘密必须全部寓于密钥之中.
如果个体系的安全强度依籁于攻击者不知道算法的内部机理.
则这个系统注定是失败的.
著名密码学家Bruceschne旧认为聪明的设计者应当对任何有关安全的东西都要求公开源码".
以确保它受到普遍的审核.
而且任何找到的问题都已得到修正.
从这个角度看,开源软件的安全性更加可靠公开的程序代码将保证安全性得到广泛的.
公开的、详细的检验.
优点3:从安全等级的评估来看,开源软件具有明显的优势.
因为其安全等级对于最终的用户完全透明.
用户可以确定该软件是否能真正满足需要.
而封闭代码软件的最终用户却难以评估整个系统的安全等级.
它本身的安全等级只能通过测试来间接体现.
由于实际的网络系统是复杂多变的.
有限的测试将难以保证一个该系统能够应对所有可能面临的情况.
而设计的错误、编码的疏忽、测试的不足都会隐藏在软件中没有人知道这些定时炸弹什么时候将被引爆.
例如有些安全产品常常是这样实现的设计者读了一本有关安全的书从中挑出几个算法和协议.
经编码之后发现系统是能工作的,于是便认为这个系统安全了.
但事实上系统能工作并不意味着质量高Mlms.
.
m∞.
¨21观察撼考这样的安全系统将永远隐藏着安全漏洞.
封闭源码软件虽然隐藏了其内在运行机制.
但也隐藏了软件内在的错误和问题.
对于一般系统来说.
通过比较其功能和性能就很容易判断系统的质量但对安全系统来说由于其自身的特殊性.
我们很难采恨上述方法来判断.
例如好的加密算法和坏的加密算法都同样产生不可读数据,好的防火墙和坏的防火墙都能挡住大量攻击.
它们的差别隐藏在技术细节内部.
优点4:杜绝人为的安全隐患一后门.
有的加密系统看上去能够抵御各种攻击但只要攻击者得到一个秘密信息.
就能轻易攻破该系统.
我们称这样的秘密信息为该软件的后门.
显然开源软件中难以被刻意加人后门因为任何代码将提交给大量用户测试、检验、使用.
任何的错误包括后门将被发现.
没有人会以自己的名誉冒险在公开使用的源码中放置一个后门让别人去发现.
反之,人们无法判断封闭软件中是否存在后门.
这不由得令人担忧.
例如DEs对称加密算法曾作为ANsl的数据加密算法而成为标准尽管该算法的内部机制完全公开然而在其作为加密标准推出时.
还是有许多密码学者对于开发者之一N'A(美国国家安全局)在开发该算法时看不见的手很警惕.
他们担心NsA修改算法安装陷门抱怨NsA将密码长度从原来的112位减少到56位并对算法的内部操作产生质疑运算机制公开的加密算法尚存在这样的问题那么代码封闭的软件更无法回避可能存在的后门¨题当然不同的用户群对于后f】f7蔓忍程度是不同的普通电脑用,屯嵩与虑太多的后门问题毕竟22.
.
.
.
….
这个后门仅仅掌握在极少数人手中并非任何人都有能力利用隐藏在程序中的后门来进行攻击.
但是.
对于国家机关、军事单位、银行金融等需要高安全等级的部门.
任何安全后门带来的损失将不堪设想,优点5:源码公开将具有更好的扩展性.
虽然O引要求用户将修改后的软件按原软件同样的许可证条款发布.
但事实上.
如果修改后的软件不用于产品发布和商业运作.
仅供自己使用的话则可以不公开它的源码.
这样做的好处是一方面软件内部的具体实现细节将被隐藏起来给攻击者带来困难.
另一方面.
软件开发者能够对软件进行具体而全面的配置.
以使它满足用户特定的安全要求.
严格的说这种软件已不属开源软件但它的确是建立在开源软件基础上的.
正是开源软件提供了最初的基本代码,反之,封闭软件在适应用户不同要求方面的灵活性将远远不及开源软件.
成熟产品仅仅用于固定用户群而难以兼顾不同的用户对象.
优点6:反编译技术的发展将给源码封闭技术带来更大威胁,通过隐藏代码的手段来实现安全性已渐显局限性,例如目前wlndows操作系统下各种语言程序的反编译已经做得不锚虽然无法反编译到源码层次.
但反编译出来的代码有些可读性已经很强,即使算法改用硬件来实现,要拆开程序恢复算法也不是不可能的事情.
开放源码对网络安全的负面影响缺点1:开放源码后软件系统的安全漏洞会更轻而易举地被发现.
事实上.
s0L、JE、lls等大型软件系统客观上存在众多的安命漏洞和隐患但是被发现直至被利用的只是少数.
如果这些软件的源代码公开了发现漏洞的门槛将大大降低、缺点2:公开源代码,等于公开了软件的全部机理甚至是每一个实现细节.
这就为密码破解、密钥非法获取打开了方便之门.
比如.
数据的加密算法或密钥的存取和传输在公开源代码后.
这些本来认为是无懈可击的算法.
成为了破解的重要依据.
.
缺点3.
个流行软件的源代码被广泛散播后,必然被多个后续作者开发出多个分支难免会有个别人在自己开发的分支中加入后门这将给网络安全带来新的、复杂的难题缺点4:开发阶段通常不会在安全'眭上投入太大精力(除非是专门的安全软件).
事实上并不是每个软件开发者都对安全'性有所了解,只有当确实需要一个安全模块的时候.
他们才会说我们加一个软件包吧.
许多开发人员除了避免几个他们所知的危险调用之外对避免其它问题一无所知.
常见的情形有.
开发人员都普遍使用密码技术却以破坏系统安全的方式滥用它.
或者使用加密技术.
但这些加密技术又太薄弱,很容易被破坏,开发人员尝试使用公用的密码原语来实施他们自己的协议.
却没有完全理解密码协议,结果通常比他们料想的更复杂和更容易出错.
缺点5:开源软件的检查机制难以严格执行.
虽说原则上任何人都可以检查所有的软件代码但实际上.
精力和能力限制了人们的检查,经过专业安全检查的软件只是少数、因为大多数程序员查看源代码是出于他们自己的利益.
而不是出于无私的动机.
他们常常无暇检查与工作无关的代码.
例如L-nux下GNu邮件列表管理程序Mallman的程序设计者JohnVIega透露尽管Ma·Iman一直有几个明显的安全'14代码问题但是至今没人捕捉或报告这些错误.
Vlega说,显然.
每个使用Mallman的人都假设别人已经对Ma}lman进行了正确的安全性审查而事实上是根本没有人这样做过.
缺点6:检查者的技能并不总是很高.
或者说.
我们无法期待代码检查者的技能会高过代码编写者.
实际中大多数锚误都是在程序已经编译、测试并分发后才被发现、在实际使用中才暴露出来的.
开放源码的程序通常依赖于用户报告和公共论坛来发现弱点而不是派人提前坐下来查看代码的漏洞.
缺点7:更糟糕的是即使代码已通过检查也无法说明软件是否安全.
参加过软件开发的程序员都清楚最挑剔的眼睛也不可能发现一个大型软件中的所有问题.
软件的安全性必须通过大量的实际测试来体现.
没有实际测试的安全系统将永远隐藏着安全漏洞.
在这一点上开源软件和封闭软件相比没有任何优越性.
缺点8:软件维护成难题.
从商业运作上看,用户购买了传统软件商的软件有问题可以找这些供应商.
例如你若发现安装的MⅢoson(r)公司的软件有任何安全问题.
可以要求他们的工程师必须在最短的时间之内帮你解决问题.
而Lmux软件却做不到.
因为Llnu*的核心发布与打包发行由不同的群体完成.
核心发布完全是免费的发行商目前发行的版本也只是收取发行成本费而不是许可证费.
现在若把应用软件放在Llnu*平台上.
一旦出了问题,用户该找核心开发者还是打包发行商7即使你能找到软件的开发者也无法保证能尽快解决安全问题.
因为开发者并没困开发该软件而受益.
他们没有义务为你服务.
当然专业的Lmux发行商将提供技术支持,培训、维护等服务但他们也不总能解决具体的技术问题.
缺点9:系统的安全性依赖于系统的具体实现.
从理论上讲系统的安全'性应该仅仅依赖少数短小的秘密信息如密钥口令用户PlN值等.
而不应依赖于具体系统.
,但在计算机中实现时.
由于受到电脑计算资源和运行规律的束缚事实上不可能完美的实现算法的所有细节.
在设计安全系统时我们总是假设可以产生完全意义上的随机数.
可以保持某些数值存在而不被公开、可以存储运算足够长的数等等.
但实际上.
计算机至今还没有能力产生那样的随机数,计算机上的数据总是存储在内存或者硬盘中计算机的字长限制了存储运算的数字的长度.
简言之开源软件的安全'性完全来自那些抽象的数学模型的不可破译性但计算机无法完美实现这些模型、人侵者通过分析代码能够清楚地知道这些缺陷的所在进而八侵.
而对于封闭软件系统.
入侵者无法得知系统的实现细节就无法展开类似的人侵.
开放源码软件的新动态随着网络八侵和反入侵的不断升级,开放源码的已不仅仅是安全软件,一部分病毒、嗅探器和木马的软件源码也已公开出现,这便给网络安全带来了新的威胁.
这些源码的公开一方面使得在其基础上可能有大量的改进衍生出来产生变种,这不仅增加了网络的复杂程度.
给分析网络状况增加了难度,同时也使得新攻击手段、新攻击方式更频繁地问世.
另一方面,攻击者可以通过这些公开的源码更深八地了解攻击方式,不断提高攻击水平,进一步增加了我们的防范难度.
但任何事物都是一分为二的、攻击型软件源码的公开也可以为我们所用例如,作为安全工作者.
我们同样可以通过典型代码的分析研究找出这些软件共同的、带有规律一畦的部分.
从而采用更有针对性的防范措施.
正可谓道高尺,魔高一丈.
在源码公开的世界里攻击和防范的这种相互较量将会长远相持下去.
几点思考源码公开技术虽然给网络安全赋予了新的手段,但它自身的发展也存在诸多问题,值得我们冷静思考.
从本质上讲安全系统不应当依赖于源码封闭仅仅通过隐藏是很难做到绝对安全的,因为那些入侵者在这方面更有激情和耐心.
虽说无论源码开放还是封闭他们总会发现漏洞.
但相对而言开放源码的操作系统和应用程序在技术上会安全些同时不会引人一些人为的安全隐患如预留"后门"等.
从国家安全角度出发.
在政府的计算机系统中采用一家外国封闭代码的软件是不合适的.
因为我们无法预知其安全程度公众会觉得信息安全没有保障.
建议采用Lmux并在Lmu*的基础上做工作以进一步提高其安全性.
而若采用wmdows系统就只能依赖微软但是单纯的开放源码也不是解决安全问题的万灵药,必须有许多合格人员来研究和测试代码的安全性问题并在出现安全漏洞时迅速予以修复.
遗憾的是并非所有的开放源码系统都具备这些条件,从目前情况看人们似乎大大高估了开放源码在安全性方面所提供的好处,而实际上.
高质量的审查并没有像人们认为的那样多.
而且许多安全性问题的查找也比人们想象的要困难许多.
所以在现况下为安全起见.
还是不能轻易公开有关软件的源代码.
.
.
.
.
:…23