黑客已勝？哥倫比亞大學(xué)教授談?dòng)?jì)算機(jī)安全問題

2009年，哥倫比亞大學(xué)計(jì)算機(jī)科學(xué)教授Steven Bellovin說：“任何人……找到解決計(jì)算機(jī)安全問題靈丹妙藥的可能性恰好是零。問題大部分出自有缺陷的代碼，造成缺陷的原因各異、也沒有單一的解決方案。事實(shí)上，我很懷疑會(huì)有真正的解決方案；有缺陷的代碼是計(jì)算機(jī)科學(xué)最古老的未解難題，我認(rèn)為這不會(huì)改變”。

本月出任聯(lián)邦貿(mào)易專署(FTC)首席技術(shù)專家的Bellovin，在IT領(lǐng)域服務(wù)多年，包括在新澤西州Florham Park的美國(guó)電話電報(bào)公司（AT&T）實(shí)驗(yàn)室從事研究二十余年。他在其生平中解釋說：“我研究網(wǎng)絡(luò)和安全，以及二者間的沖突”。

對(duì)計(jì)算機(jī)安全問題，未來會(huì)有徹底的解決方案嗎？《政府技術(shù)》（GT）雜志向Belllovin問了這個(gè)問題和其他問題。他謹(jǐn)慎地指出，這些僅是他個(gè)人的意見，不一定是FTC的意見。

GT: 三年前，您說過有缺陷的代碼是計(jì)算機(jī)科學(xué)最古老的未解難題，并預(yù)期不會(huì)改變。現(xiàn)在您的觀點(diǎn)有無變化？看來，隨著基礎(chǔ)架構(gòu)變得 “更聰明”，我們將成為壞人更大的靶子，而潛在危險(xiǎn)的后果也嚴(yán)重得多。例如，一個(gè)交叉路口的交通燈故障，可以讓車輛堵塞若干公里。

Bellovin: 是的，我的觀點(diǎn)沒有變。到底該做什么仍屬研究領(lǐng)域；即使我有些想法，但都極不成熟。我認(rèn)為我們需要采用不同的架構(gòu)來建立系統(tǒng)，這些架構(gòu)在設(shè)計(jì)時(shí)就考慮到將會(huì)有安全失誤。身份認(rèn)證做不到這一點(diǎn)，在大多數(shù)破壞中，壞人繞過了強(qiáng)身份認(rèn)證、而不是攻破了認(rèn)證。

我自己的實(shí)用哲學(xué)是：程序?qū)⒂邪踩�缺陷，其后果呢？但這是個(gè)研究課題，不是給程序員的指南，更不用說用于最終場(chǎng)合了。您剛才提到交通燈出毛病，您問得太對(duì)了：一個(gè)部件出故障，系統(tǒng)的退路是什么？

GT: 為什么缺陷代碼問題這么棘手呢？

Bellovin: 根本問題在于，智力難以掌控程序的復(fù)雜性。舉例來說，雷鳥（Thunderbird）電子郵件程序。幾年前我檢查時(shí)，該軟件約有六百萬行代碼。（這是很粗的估算值；我只對(duì)準(zhǔn)確到“百萬”有信心，但到底是六百萬、還是三百萬或一千二百萬行，我說不準(zhǔn)）。

假定我想寫些在總結(jié)行里顯示附件數(shù)的代碼。該代碼部分將必須利用極其復(fù)雜的已有代碼部分，來掃描并解析整個(gè)郵件以確定每個(gè)附件開始和結(jié)束的位置。（因?yàn)橐?guī)格說明書特別復(fù)雜，代碼本身復(fù)雜得可怕。）我對(duì)現(xiàn)有代碼的理解不會(huì)錯(cuò)吧？不懂會(huì)闖禍嗎？能有多少個(gè)附件呢？假定我今天讀現(xiàn)有代碼、覺得它不可能處理多于99個(gè)附件，因而用了兩位數(shù)來顯示。爾后，其他人在不了解我那些代碼的情況下修改了代碼以便允許9,999個(gè)附件。我那些代碼就處理不了了，因而產(chǎn)生了一個(gè)缺陷。該缺陷會(huì)被黑客利用嗎？可能會(huì)、也可能不會(huì)，但問題有可能從這里發(fā)生。

更好的設(shè)計(jì)也許是，讓處理附件的代碼有辦法告訴程序的其他部分附件的上限數(shù)；但這意味著大量的前瞻性。有時(shí)，程序員具備足夠的前瞻性，有時(shí)又會(huì)缺乏；或許過去程序員曾有過，但經(jīng)過多年需求已經(jīng)變更了。

除此之外，還有粗心大意。我想回顧一件35年前的事，那時(shí)我在研究院、教一門編程入門課。出于復(fù)雜但可以理解的原因，某學(xué)生在操作系統(tǒng)指令中用了一個(gè)分號(hào)。（用的是IBM主機(jī)、那是打孔卡片時(shí)代。）

分號(hào)在程序里是必須的，但在命令行語言中則是禁止的。然而，負(fù)責(zé)命令行部分的程序員沒有預(yù)見到分號(hào)，結(jié)果在處理該指令時(shí)（即每當(dāng)系統(tǒng)試圖運(yùn)行該學(xué)生的那組卡片時(shí)），整臺(tái)主機(jī)崩潰。學(xué)生遭人白眼，但實(shí)際上應(yīng)歸咎于程序員，因?yàn)樗�理�?yīng)把代碼寫得更好：當(dāng)有人提交分號(hào)等垃圾時(shí)系統(tǒng)不至于崩潰。

當(dāng)今的程序改善了很多，但離完美還很遠(yuǎn)。您也許聽說過“SQL注入攻擊”，問題的發(fā)生，在于程序員未曾處理意想不到的輸入。（這一點(diǎn)，http://xkcd.com/327/ 有幽默闡述。）

困難在于，除了“把代碼寫得更好”（Write Better Code）之外，對(duì)復(fù)雜性難題我們沒有什么好辦法。（“我忘記了”是相對(duì)容易解決的。）如今，“把代碼寫得更好”可能極有幫助。微軟公司過去十年里在此方面大筆投資，用于程序員教育、自動(dòng)檢查工具、代碼復(fù)審團(tuán)隊(duì)等。確實(shí)有幫助，可謂獲益良多，然而，從微軟公司的關(guān)鍵缺陷修復(fù)率來看，這與他們的目標(biāo)距離還很遠(yuǎn)。也有很多“把代碼寫得更好”的想法，從上世紀(jì)七十年代初起，我一直在關(guān)注著各種百靈藥上市。不用說，問題尚未解決。

GT: 新一代互聯(lián)網(wǎng)標(biāo)準(zhǔn)IPv6是不是弱點(diǎn)少一些呢？

Bellovin: 它有一些小改進(jìn)，但沒有根本性的。當(dāng)初設(shè)計(jì)該標(biāo)準(zhǔn)時(shí)，我們?cè)�寄予厚望。�?shí)際上，在1994年前后，有人曾宣稱它會(huì)更安全。不幸的是，如他們所說，該聲明是“無效的”，有幾個(gè)原因：首先，我們所說的“更安全”實(shí)際上是“內(nèi)置了加密”，即現(xiàn)在被稱作IPsec的虛擬專用網(wǎng)（VPN）協(xié)議。

這有幾個(gè)問題。其一，如今我們對(duì)不安全性有了更深刻的理解。密碼學(xué)是好東西，但解決不了缺陷代碼問題。（1998年，作為National Academies研究的一部分，我分析了當(dāng)時(shí)已經(jīng)發(fā)出的每條CERT建議，85%描述的都是加密無法解決的問題：代碼問題、配置錯(cuò)誤等等。）其次，我們當(dāng)時(shí)假定IPv6會(huì)很快得到實(shí)行，但事實(shí)并不如愿。在過渡期間，每個(gè)推出的操作系統(tǒng)都在IPv4代碼中加入IPsec支持。這沖淡了IPv6原有的優(yōu)勢(shì)。

但I(xiàn)Pv6仍有一些好東西，例如增強(qiáng)私密地址（privacy-enhanced addressing）、純v6網(wǎng)對(duì)掃描蠕蟲（那些通過在某個(gè)IP地址范圍找到所有宿主傳播的惡意軟件）的相對(duì)免疫性等。但這些不過是小優(yōu)點(diǎn)，需要與互聯(lián)網(wǎng)服務(wù)供應(yīng)商及其網(wǎng)管對(duì)IPv6運(yùn)行與跟蹤經(jīng)驗(yàn)相對(duì)不足來綜合考量。（跟蹤是指當(dāng)機(jī)器使用增強(qiáng)私密地址、需要其他措施才能辨別時(shí)，回答“哪臺(tái)機(jī)器干了那件壞事？”的問題。）

GT: 那么，假如缺陷代碼和您提到的問題繼續(xù)存在，我們?cè)摵稳ズ螐模?/strong>