黑客已勝？哥倫比亞大學(xué)教授談計算機安全問題

2009年，哥倫比亞大學(xué)計算機科學(xué)教授Steven Bellovin說：“任何人……找到解決計算機安全問題靈丹妙藥的可能性恰好是零。問題大部分出自有缺陷的代碼，造成缺陷的原因各異、也沒有單一的解決方案。事實上，我很懷疑會有真正的解決方案；有缺陷的代碼是計算機科學(xué)最古老的未解難題，我認為這不會改變”。

本月出任聯(lián)邦貿(mào)易專署(FTC)首席技術(shù)專家的Bellovin，在IT領(lǐng)域服務(wù)多年，包括在新澤西州Florham Park的美國電話電報公司（AT&T）實驗室從事研究二十余年。他在其生平中解釋說：“我研究網(wǎng)絡(luò)和安全，以及二者間的沖突”。

對計算機安全問題，未來會有徹底的解決方案嗎？《政府技術(shù)》（GT）雜志向Belllovin問了這個問題和其他問題。他謹慎地指出，這些僅是他個人的意見，不一定是FTC的意見。

GT: 三年前，您說過有缺陷的代碼是計算機科學(xué)最古老的未解難題，并預(yù)期不會改變�，F(xiàn)在您的觀點有無變化？看來，隨著基礎(chǔ)架構(gòu)變得 “更聰明”，我們將成為壞人更大的靶子，而潛在危險的后果也嚴(yán)重得多。例如，一個交叉路口的交通燈故障，可以讓車輛堵塞若干公里。

Bellovin: 是的，我的觀點沒有變。到底該做什么仍屬研究領(lǐng)域；即使我有些想法，但都極不成熟。我認為我們需要采用不同的架構(gòu)來建立系統(tǒng)，這些架構(gòu)在設(shè)計時就考慮到將會有安全失誤。身份認證做不到這一點，在大多數(shù)破壞中，壞人繞過了強身份認證、而不是攻破了認證。

我自己的實用哲學(xué)是：程序?qū)⒂邪踩�缺陷，其后果呢？但這是個研究課題，不是給程序員的指南，更不用說用于最終場合了。您剛才提到交通燈出毛病，您問得太對了：一個部件出故障，系統(tǒng)的退路是什么？

GT: 為什么缺陷代碼問題這么棘手呢？

Bellovin: 根本問題在于，智力難以掌控程序的復(fù)雜性。舉例來說，雷鳥（Thunderbird）電子郵件程序。幾年前我檢查時，該軟件約有六百萬行代碼。（這是很粗的估算值；我只對準(zhǔn)確到“百萬”有信心，但到底是六百萬、還是三百萬或一千二百萬行，我說不準(zhǔn)）。

假定我想寫些在總結(jié)行里顯示附件數(shù)的代碼。該代碼部分將必須利用極其復(fù)雜的已有代碼部分，來掃描并解析整個郵件以確定每個附件開始和結(jié)束的位置。（因為規(guī)格說明書特別復(fù)雜，代碼本身復(fù)雜得可怕。）我對現(xiàn)有代碼的理解不會錯吧？不懂會闖禍嗎？能有多少個附件呢？假定我今天讀現(xiàn)有代碼、覺得它不可能處理多于99個附件，因而用了兩位數(shù)來顯示。爾后，其他人在不了解我那些代碼的情況下修改了代碼以便允許9,999個附件。我那些代碼就處理不了了，因而產(chǎn)生了一個缺陷。該缺陷會被黑客利用嗎？可能會、也可能不會，但問題有可能從這里發(fā)生。

更好的設(shè)計也許是，讓處理附件的代碼有辦法告訴程序的其他部分附件的上限數(shù)；但這意味著大量的前瞻性。有時，程序員具備足夠的前瞻性，有時又會缺乏；或許過去程序員曾有過，但經(jīng)過多年需求已經(jīng)變更了。

除此之外，還有粗心大意。我想回顧一件35年前的事，那時我在研究院、教一門編程入門課。出于復(fù)雜但可以理解的原因，某學(xué)生在操作系統(tǒng)指令中用了一個分號。（用的是IBM主機、那是打孔卡片時代。）

分號在程序里是必須的，但在命令行語言中則是禁止的。然而，負責(zé)命令行部分的程序員沒有預(yù)見到分號，結(jié)果在處理該指令時（即每當(dāng)系統(tǒng)試圖運行該學(xué)生的那組卡片時），整臺主機崩潰。學(xué)生遭人白眼，但實際上應(yīng)歸咎于程序員，因為他理應(yīng)把代碼寫得更好：當(dāng)有人提交分號等垃圾時系統(tǒng)不至于崩潰。

當(dāng)今的程序改善了很多，但離完美還很遠。您也許聽說過“SQL注入攻擊”，問題的發(fā)生，在于程序員未曾處理意想不到的輸入。（這一點，http://xkcd.com/327/ 有幽默闡述。）

困難在于，除了“把代碼寫得更好”（Write Better Code）之外，對復(fù)雜性難題我們沒有什么好辦法。（“我忘記了”是相對容易解決的。）如今，“把代碼寫得更好”可能極有幫助。微軟公司過去十年里在此方面大筆投資，用于程序員教育、自動檢查工具、代碼復(fù)審團隊等。確實有幫助，可謂獲益良多，然而，從微軟公司的關(guān)鍵缺陷修復(fù)率來看，這與他們的目標(biāo)距離還很遠。也有很多“把代碼寫得更好”的想法，從上世紀(jì)七十年代初起，我一直在關(guān)注著各種百靈藥上市。不用說，問題尚未解決。

GT: 新一代互聯(lián)網(wǎng)標(biāo)準(zhǔn)IPv6是不是弱點少一些呢？

Bellovin: 它有一些小改進，但沒有根本性的。當(dāng)初設(shè)計該標(biāo)準(zhǔn)時，我們曾寄予厚望。實際上，在1994年前后，有人曾宣稱它會更安全。不幸的是，如他們所說，該聲明是“無效的”，有幾個原因：首先，我們所說的“更安全”實際上是“內(nèi)置了加密”，即現(xiàn)在被稱作IPsec的虛擬專用網(wǎng)（VPN）協(xié)議。

這有幾個問題。其一，如今我們對不安全性有了更深刻的理解。密碼學(xué)是好東西，但解決不了缺陷代碼問題。（1998年，作為National Academies研究的一部分，我分析了當(dāng)時已經(jīng)發(fā)出的每條CERT建議，85%描述的都是加密無法解決的問題：代碼問題、配置錯誤等等。）其次，我們當(dāng)時假定IPv6會很快得到實行，但事實并不如愿。在過渡期間，每個推出的操作系統(tǒng)都在IPv4代碼中加入IPsec支持。這沖淡了IPv6原有的優(yōu)勢。

但IPv6仍有一些好東西，例如增強私密地址（privacy-enhanced addressing）、純v6網(wǎng)對掃描蠕蟲（那些通過在某個IP地址范圍找到所有宿主傳播的惡意軟件）的相對免疫性等。但這些不過是小優(yōu)點，需要與互聯(lián)網(wǎng)服務(wù)供應(yīng)商及其網(wǎng)管對IPv6運行與跟蹤經(jīng)驗相對不足來綜合考量。（跟蹤是指當(dāng)機器使用增強私密地址、需要其他措施才能辨別時，回答“哪臺機器干了那件壞事？”的問題。）

GT: 那么，假如缺陷代碼和您提到的問題繼續(xù)存在，我們該何去何從？

Bellovin: 不存在完美的事物，并不意味著不存在“較好”或“較壞”的區(qū)別。良好實踐會令我們受益匪淺，但別以為這樣能徹底解決問題。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]