2011年2月27日 星期日

大家都看不見 世界就很安全

作者: DCaty (狹義的和平 廣義的戰爭) 看板: NetSecurity
標題: [文章] 大家都看不見 世界就很安全?(轉錄)
時間: Fri Jan 21 19:14:29 2011

   大家都看不見 世界就很安全?                                              
   Security by Obscurity 的資訊安全觀無法解釋 Windows 僵屍網路的泛濫       
                       By HUNG Chao-Kuei on Saturday, January 15 2011, 21:42
                            http://blog.ofset.org/ckhung/index.php?post/111c

  趨勢科技張明正董事長日前接受彭博訪問時 表示: Android 因為開放原始碼,所以沒
  有蘋果來得安全。這和幾年前 李家同校長發表的看法 類似: 「開放型的操作系統雖
  然有很多優點, 但極容易被人不法侵入, 而且侵入以後, 常可以通行無阻, 如入無人
  之境。」這種 "security by obscurity" 的資訊安全觀,不僅挑戰著資訊安全專家和
  美國白宮的智慧, 也挑戰著事實。

  資訊安全專家的看法, 與臺灣資訊界兩位大老正好相反。他們認為: 好的演算法, 應
  該攤在陽光下, 讓所有資訊專家檢驗。如果沒有專家看得出漏洞, 那麼這個演算法才
  比較可能是安全的。這個資訊安全的基本原則, 叫做 Kerckhoffs' principle。我在
  「見不得人的 DRM 演算法」 一文當中, 列舉過一些電腦高手對於這個議題的觀點文
  章網址。這裡再補充一個: 近年來活躍於密碼學舞臺的世界知名資訊安全專家
  Bruce Schneier 曾經 說過:

    身為密碼與資安專家, 我一直搞不懂開放原始碼議題為什麼會引起這麼大的騷動
    。在密碼學界, 開放原始碼是資訊安全的先決條件; 過去數十年來一直都是如此
    。公開的安全當然比私密的安全更安全: 不論是加解密演算法、 安全協訂、 資
    安原始碼皆然。對我們來說, 開放原始碼不只是一種商業模式, 它根本就是工程
    師應有的聰明態度。

  如果資安專家談的太抽象、太理論, 那就讓我們談談真實事界所發生的資安問題吧。
  資訊界兩位大老談的都是作業系統; 不過對於一般使用者而言, 更需要謹慎守護的第
  一道防線, 可能是雲端年代最重要的代步工具 -- 瀏覽器。去年年初 google 中國被
  入侵, 臺灣多數大學基於其對瀏覽器的宗教狂熱, 一直不敢公開談論這個資訊安全問
  題。到了去年年底, IE 瀏覽器的零時差攻擊, 以及很可能是由它所導致的 行政院遭
  中韓潰客惡意攻擊事件, 再次突顯 IE 瀏覽器的資安問題。關心資訊安全的兩位大老,
  只批評「目前仍處於小眾的作業系統」的資訊安全; 但對於 IE 所造成的這兩個影響
  既深且廣的資訊安全事件、對於眾多強迫用戶使用破敗舊版 IE 的 自殘網站、 對於
  至今沒有具體因應作為的資訊學界與資訊產業, 卻反而沒有提出任何建議, 這令人十
  分失望。

  「還好我的電腦沒有被入侵。」那可能是你的感覺。今日最大規模的資安問題
   -- botnet 僵屍網路 -- 最可怕的地方,在於被入侵的受害用戶仍舊能夠繼續正常使
  用電腦, 因而經常完全不自覺。操作僵屍網路的 潰客 入侵你的電腦, 用意多半不在
  你的資料, 而在徵召你的電腦參與大規模的集體攻擊。他當然不希望驚動「電腦被徵
  召」的受害者, 這樣那部電腦才會持續留在線上隨時待命 -- 等待他發動攻擊金融機
  構或政府機關的命令。

  僵屍網路的最重要傳染途徑, 就是 IE。不過, IE 的用戶人口最多, 所以光看這個數
  字還不足以說明 IE 比較不安全。Firefox 用戶的電腦當然也有機會被徵召進僵屍網
  路。拿上面連結的數據和 2009 年瀏覽器市佔率對照並相除, 會發現: IE 與 Firefox
  的中鏢率比值為 5:3。 真的嗎? 大家都看不見 IE 的原始碼, 所以封閉原始碼的 IE
  真的就比開放原始碼的 firefix 更安全嗎?

  當然, 挑戰 Kerckhoffs 原理的資訊界兩位大老, 談的都是作業系統, 而不是瀏覽器。
  那更好, 就來談談作業系統的中鏢率吧。「IE 助長僵屍網路」那篇文章裡面,沒有作
  業系統相關數據, 無法定量分析。搜尋 linux botnet, 發現 2009 年出現首宗(似乎
  也是唯一的一宗) linux 僵屍網路事件。被入侵的, 並不是一般用戶的電腦。一般
  linux 用戶的電腦, 需要以個案方式手動入侵, 對於經營僵屍網路的潰客來說, 不符
  合經濟效益。被入侵的, 是沒有設定密碼的某些網路分享器。 不管 windows 桌機的
  中鏢率是否真的 高達 25%, 至少可以確定 linux 桌機的中鏢率, 是零。也就是說,
  我在 linux 下生活了十五年, 到目前為止, 我的電腦還沒有榮幸被徵召加入僵屍網
  路 ;-)

  這個例子除了說明使用開放原始碼的 linux 遠比使用封閉原始碼的 windows 安全之
  外, 還提醒我們三件事。第一, 大多數諸如網路分享器之類的裝置, 之所以採用開放
  原始碼的 linux, 而不是採用封閉原始碼的 windows, 資訊安全當然也是重要的考量
  之一。如果 linux 不安全, 資訊廠商當然寧可花錢取得授權, 改用 「比較安全的
  windows」。第二, 系統再怎麼安全, 產品再怎麼優, 如果用戶沒有資訊安全意識
  -- 例如連密碼都沒設定 -- 那麼一樣會曝露在風險當中。 一位負責任的資訊安全專
  家, 會提醒大眾要提高資訊安全意識, 不要仰賴任何產品 -- 防毒軟體也好、 linux
  也好 -- 而不是淡化嚴重的資安問題, 甚至扭曲事實, 找不相關 (甚至正好顛倒是非)
  的藉口來搪塞。第三, 在這個案例裡面, 只有特定型號的分享器受害。這再次驗證了
  資安專家早就提出的建議: 類似生物多樣性的 「作業系統/瀏覽器多元化」, 有助於
  提升網路社會整體的資訊安全。 詳見 Schneier 的專訪 與 O'Donnell 與 Sethu 的
  學術論文摘要。一位真正關心社會整體資訊安全的專家, 必須要關心這個議題。

  李校長的專長是演算法, 而不是資訊安全。當然, 一位學術成就遠低於李校長的部落
  客, 讀者也不需要將他的話照單全收。 問問搜尋引擎吧: 請看看「李家同 演算法」
  和「李家同 資訊安全」, 會搜出什麼樣的天壤之別。 相較於他令人敬佩的學術成就,
  和許多技術文章的高水準, 李校長那篇文章的專業程度, 令向來敬佩他的我訝異得說
  不出話來。以他對於資訊教育界及對於社會整體龐大的影響力, 卻對大眾提出違背事
  實的資訊安全建議, 非但沒有協助自由軟體界讓數位高牆倒下, 反而協助微軟強化數
  位高牆, 令人感到多重的不安與十分的不解。

  至於張董顛倒黑白的動機, 就很容易理解了; 甚至可以得到一點點諒解。張董的任務
  是賺錢, 而不是拯救世界。這不是在指責趨勢科技, 而是要請消費者認清資本主義社
  會的現實 -- 不論你喜不喜歡。 2005 年 Sony 藉由音樂光碟入侵消費者電腦的時候
  (請搜尋 sony rootkit) 部落客於 10 月底揭露其劣行, 一開始主流媒體都不願意報
  導; 而資訊安全界則只有 F-Secure 與 Sysinternals 兩家小的防毒軟體公司積極回
 應。諸如 McAfee 與 Symantec 一開始都不願意真的移除入侵的程式碼;他們甚至還替
  Sony 的行為辯解, 誤導消費者。至於趨勢科技, 則 遲至 2006 年才低調推出反安裝
  工具。難怪 Sneier 這樣評論 這些資訊安全大廠: 「Sony rootkit 事件突顯了什麼
  呢? 說得好聽一點, 這些公司無能; 說得不客氣一點, 那是欠缺專業倫理呀。」回到
  這次張董發言事件, 難怪部落客們會立即反駁, 會調侃張董是資訊不安全專家, 認為
  他可能只是害怕將來 windows 退流行, 就沒生意可做, 才會出此下策。詢問報 (the
  Inquirer) 倒是打趣地指出趨勢科技不用太擔心自由軟體用戶的批評 -- 趨勢科技不
  會 「失去」 這些客戶, 因為他們從來就不需要買防毒軟體 :-)

  但是 sony 事件對我們的啟發還不僅止於此。如果 sony 會在你的電腦設後門, 那麼
  微軟與蘋果會不會? 如果按照張董和李校長的建議, 大家都把頭埋到沙子裡, 反而只
  剩下微軟和蘋果可以看得見一切, 那麼這個社會將會更加安全, 還是更加危險? 這不
  是假設性的問題, 這是發生過很多次, 甚至現在還存在於你的 (以及可能存在於兩位
  資訊大老的) 電腦、 手機、 隨身聽裡面的事實。請搜尋「windows phone home」、
  「windows stealthy update」、「windows 盜版警察」、 「apple secret url」、
  「mobileme secretly」。這裡的重點已經不是潰客入侵。這裡的重點是: 如果 「收
  你錢、 不給你看原始碼、告訴你把頭埋在沙子裡比較安全」 的資訊廠商, 恰恰就是
  入侵你電腦的潰客呢? 封閉原始碼真的比較安全嗎? 到底對誰比較安全呢?

  最後, 提醒消費大眾幾件事。第一, 請不要為了合理化自己的「選擇」, 而強迫自己
  「相信」謊言。我選擇使用 ubuntu, slax, 與 SimplyMepis,是因為這些版本的linux
  方便性等等諸多考量; 但並不會因此而天真地認為我的選擇, 就一定也比其他版本的
  linux 或比 BSD 更安全。 盲目的品牌忠誠, 只會讓你變成任人宰割的肥羊。「我可
  以繼續使用封閉原始碼的 windows 嗎?」如果因為環境的現實因素不配合, 身旁找不
  到熱心的小學三年級 Linux 玩家可以幫忙你解決問題, 那當然也只好繼續用windows。
  哦, 要記得安裝防毒軟體。如果我必須用 windows, 會比較相信開放原始碼的ClamWin;
   但是請不要因為繼續用 windows, 就跟著催眠自己相信那些「自身利益與社會利益」
  衝突的公司。「提出有利於社會整體資訊安全的建議 -- 例如丟棄 IE -- 會不會與
  我自身的利益衝突呢?」一家以營利為目的的公司會怎麼做? 消費者應該要有智慧判
  斷。如果我是防毒軟體公司的董事長, 我也不敢保證我的表現會比張董事長展現更高
  的道德良知與社會責任。第二, 沒有任何「產品」是完全安全的; 重點是「態度與習
  慣」。(Schneier 的原文是: Security is a process, not a product. 不過在此處,
  「態度與習慣」可能比較能夠抓住其原意。) 第三, 請不要盡信主流媒體 -- 特別是
  臺灣的資訊媒體。當然, 部落客也可能有自己的偏見、利害關係、 甚至被收買(請搜
  尋「國光 部落客」); 不過, 至少從很多部落客的不同意見裡面, 你可以看到比較全
  面的、未經言論管制的多元觀點。這個年代, 網路搜尋的能力很重要。請搜尋比較「
  白宮 drupal」和「white house drupal」、請新聞搜尋比較「俄國 linux」和
  「russia linux」、你不僅會看到外國改用開放原始碼的自由軟體的趨勢, 也會同時
  看到臺灣多數主流資訊媒體對於這一塊重要趨勢的噤聲。

  美國許多政府部門諸如國防部、能源部、健康部、國安部、交通部等等單位改用自由
  軟體的趨勢是否值得學習? Arm 與 linux 是否真的將 終結 微軟與 Intel 的壟斷?
  Android 會不會就是未來的大勢所趨? 微軟真的就要潰堤了嗎? 不論這些問題的答案
  是肯定或否定的, 至少在看過這些文章以及用您自己智慧搜尋到的結果之後, 你會更
  清楚地確認: 眾人 - 包含具有實戰經驗的真正資安專家 - 的智慧認為: 採用看得見
  原始碼的自由軟體, 比較有利於資訊安全。Security by obscurity is no security.

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.160.246.16

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.115.5.210
推 asimon:李教授雖然不是做資安的, 但是他做資安的徒子徒孫可有一大   01/30 23:37
→ asimon:票呢... - -; 關鍵字: ccc                                 01/30 23:37
→ lgd1008:source code公佈出來給人review, 就算是99%的漏洞都被堵住  01/31 12:35
→ lgd1008:但只要有0.01%的漏洞,沒被發現沒被堵住,令有心人有機可趁,  01/31 12:37
→ ggg12345:安全涉及廣範,顯然人多勢眾的派系與開源軟體未能和衷共濟  01/31 12:37
→ lgd1008:那麼前面堵住99%漏洞的努力都是徒勞無功...                01/31 12:37
→ ggg12345:怕的是被攻破埋入後門還不知道,客廳與保險庫畢竟層次不同  01/31 12:43
→ ggg12345:客廳被攻破,只要能迅速修補就能防住.不被欺矇躲藏是重點   01/31 12:47

沒有留言:

張貼留言

您好.本資料庫並非第一手資料.如果你有對文章作者的詢問,意見與需求,請自行找尋文章作者並提供意見,謝謝.