搜索歷史

熱搜詞

原創(chuàng)

活動

創(chuàng)新2.0

I T

產(chǎn)業(yè)

當(dāng)前位置：首頁 >互聯(lián)網(wǎng)?IT > 安全 > 數(shù)據(jù)安全 > 正文

開源的代碼就真的絕對安全？

來源：LinuxStory ：Ben Cotton 2015-11-05 16:00:52

Jeep 黑客和大眾汽車排放丑聞這樣的汽車軟件問題成為了今年的頭條，表明公眾開始重視之前從未考慮過的汽車軟件安全問題了。

Jeep 黑客和大眾汽車排放丑聞這樣的汽車軟件問題成為了今年的頭條，表明公眾開始重視之前從未考慮過的汽車軟件安全問題了。一些專家認(rèn)為強制要求某些軟件開源是解決問題的一個好辦法。盡管如此可以讓軟件被公眾監(jiān)督，但開放代碼這個事情本身卻不能給你帶來保障。就像 Sam Liles 最近發(fā)給我的郵件所說的一樣，開源并不能夠阻止破殼漏洞ShellShock的出現(xiàn) 。

Liles 博士曾是普渡大學(xué)網(wǎng)絡(luò)取證專業(yè)的教授。在那時，他和他的學(xué)生研究汽車以及其他物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全問題。他說，多層防御已經(jīng)接近死亡，換言之我們不能再依賴于多弄幾層的安全保護(hù)了。我們的手機(jī)和其他個人設(shè)備可能泄露我們正在做的事情，例如：我們?nèi)チ四膬?，我們正在和誰交流，或其他更加隱私的活動等。這些設(shè)備和它們所包含的信息，存在于我們的私人和工作網(wǎng)絡(luò)中。顯然一個被入侵的手機(jī)可能被利用，入侵者可以訪問其發(fā)現(xiàn)的所有信息，甚至把病毒傳播給與它相連接的所有電子設(shè)備。

單就這些設(shè)備的數(shù)量本身就是一個巨大挑戰(zhàn)。Liles 提出一些問題：“誰來做這個級別的事件響應(yīng)?”更重要的是，誰來審核所有的代碼? Eric S. Raymond 在《大教堂與集市》中寫道，“只要有足夠多的眼睛，所有的問題都將不是問題，” 此稱之為林納斯定律。但我們不能僅僅只依賴于足夠多的眼睛來發(fā)現(xiàn)問題。假如像 OpenSSL 這樣重大的項目都會由于缺少資金而導(dǎo)致 Heartbleed 這類漏洞的話，那么誰來檢查這些我們每天都用到的數(shù)以百萬行代碼的軟件呢?

開源的代碼就真的絕對安全？

雖然 2011 年美國航空航天局和國家公路交通安全管理局做的關(guān)于豐田汽車意外加速事件的調(diào)查表明：“沒有證據(jù)證明電子故障是導(dǎo)致大量意外加速的原因”，但是其他研究人員已經(jīng)確定汽車可以通過軟件來加速。IOActive 報告中寫道：“如果電源管理 ECU 被破壞，我們將能夠很容易的改變速度，這個時候汽車是非常不安全的”。顯然，軟件已經(jīng)是現(xiàn)代汽車安全的重要組成部分之一。

然而，與 Liles 團(tuán)隊做類似研究的仍然很少。單純分析軟件是非常困難的。Liles 認(rèn)為：“計算機(jī)取證模塊幾乎很少被內(nèi)置到系統(tǒng)中，但是為了使證據(jù)具有法律效力，往往需要借助逆向工程。”此外，物聯(lián)網(wǎng)設(shè)備所帶來的威脅需要從研究方式上進(jìn) 行根本解決。解決掉一些舊的信息保障，安全體系學(xué)說，基于神學(xué)、半真理性的，過時的技術(shù)理論等。

那么，到底要不要將開源思想融入進(jìn)去呢?不管代碼是否開源，一些意外的錯誤仍然存在。心臟滴血Heartbleed , 破殼漏洞ShellShock等漏洞的存在確實證實了許多開源軟件同樣存在一定的漏洞。有些人為的錯誤在開源代碼中有著更加巨大的風(fēng)險。開源在某種程度只是給我們提供了一種監(jiān)管方式，我們可以方便的查看、檢驗源代碼實際的運作情況。當(dāng)汽車成為開放的系統(tǒng)并與我們的電話，互聯(lián)網(wǎng)相連之后，這其中的安全問題也變得愈加突出。

編輯：閆春春

關(guān)鍵字：開源代碼