开发安全的程序正确的理念是成功的一半

核心提示：案例 #1味道闻起来很糟糕，两个多月以来，开发安全的程序正确的理念是成功的一半，数十万加仑的污水流到了澳大利亚的公园、河流以及一家旅馆的地面上，而无人知晓其原因，程序是否安全最重要的因素是 － 不管它是 FLOSS 还是具有专利权的 － 其开发人员是否知道如何编写安全的程序，如果您需要安全的程序，水生动植物不断地死亡，

　　案例 #1
　　味道闻起来很糟糕。两个多月以来，数十万加仑的污水流到了澳大利亚的公园、河流以及一家旅馆的地面上，而无人知晓其原因。水生动植物不断地死亡，而且有一条小河中的水已经变黑了。2000 年 4 月 23 日，当警方逮捕了一名男子时才解开了这个谜团，这名男子一直在使用计算机和无线电设备对管理污水和饮用水的机器进行完全控制。他的动机是什么呢？对其审讯的口供表明他正试图获得一份获利丰厚的咨询合同以解决他所造成的问题。事实原本还要糟糕得多。
　　
　　案例 #2
　　有一个小偷（只知道他叫“Maxus”）从在线音乐公司 CD Universe 偷了 35 万个信用卡号，然后勒索 10 万美元赎金。当 CD Universe 拒绝支付赎金时，Maxus 就公开张贴了这些信用卡号 － 这损害了 CD Universe 的顾客并使这些顾客有合理的理由转而光顾其它商店。
　　
　　案例 #3
　　CIA 最近了解到奥萨马·本·拉登的基地恐怖分子组织对网络恐怖活动有着“非常浓厚的兴趣”，这是人们先前所不相信的。链接到基地组织的计算机都可以获得各种计算机“破解”工具，旨在引起灾难性的破坏。
　　
　　它们正在攻击您的程序 － 您准备好了吗？
　　计算机攻击已成为一个非常严重的问题。1997 年，CERT/CC 报告发生了 2134 起计算机安全性事件，并报告了 311 个截然不同的安全性漏洞；到 2002 年，所报告的计算机安全性事件已上升至 82094 起，而安全性漏洞则上升到 4129 个。计算机安全性协会（Computer Security Institute，CSI）和旧金山联邦调查局（Federal Bureau of Investigation，FBI）计算机入侵小组于 2003 年调查了 503 家大型公司和政府机构，发现其中有 92% 的被调查者都报告受到过攻击。这些被调查者中，有 78% 确认他们的因特网连接经常受到攻击，并有 36% 确认他们的内部系统经常受到攻击。有 75% 的被调查者承认他们受到了经济损失，尽管只有 47% 的被调查者可以确定他们损失的具体数目；但这些可以确定具体数目的组织的损失超过了 2 亿美元。
　　
　　攻击持续升温的原因有许多。计算机在不断地联网，这使攻击者能比较容易地攻击世界范围内任何联网的计算机，而不会有什么风险。计算机已经非常普及；它们现在控制着比较多的具有价值的东西（这使它们值得进行攻击）。过去，顾客十分愿意购买不安全的软件，所以根本没人愿意出钱开发安全的软件。
　　
　　电子世界现在是一个危险程度更加高的地方。今天，我们要求几乎所有的应用程序都是安全的应用程序。例如，实际上我们要求每个 Web 应用程序都是安全的应用程序，因为不可信的用户可能向它们发送数据。甚至那些显示或编辑本地文件的应用程序（如字处理器）都必须受到保护，因为有时用户将显示或编辑以电子邮件方式发送给他们的数据。
　　
　　如果您在开发软件，那么您就是身处战场，需要知道如何保护您自己。遗憾的是，大多数软件开发人员从未知晓如何编写安全的应用程序。
　　
　　本专栏将帮助您了解如何编写安全的应用程序。学校里很少会教这类信息，其它地方也不太会讲授这一主题。如果您学习了本专栏，那么您将能够保护您的程序，避免当前所用的最常见的攻击。尽管我们主要讨论 Linux 操作系统（也称为 GNU/Linux），但是几乎所有的内容都适用于任何类 UNIX 系统，而且其中的许多内容也适用于其它操作系统（象 Microsoft Windows）。
　　
　　对于这第一篇文章，我将先介绍一些基础知识：安全性术语、改变您的理念、自由／开放源码软件（Free-Libre/open source software，FLOSS）的影响以及确定安全性需求。
　　
　　术语：这些词表示什么意思？
　　每一领域都有其自己的术语，而计算机安全性领域中的术语则有些杂乱无章，其中充斥着首字母缩写词和易混淆的词。以下几个定义应该有所帮助：
　　
　　攻击者（attacker）（也称为非法闯入者）是这样的人：他试图使程序或计算机做某些事情，而这些事情是明确禁止做的，如为了获得或更改私有数据而闯入不属于他们的计算机。
　　
　　黑客（hacker）是计算机专家或计算机狂热者。并非所有攻击者都是黑客 － 有些攻击者根本不了解计算机。同样，并非所有黑客都是攻击者 － 许多黑客编写保护您的程序！媒体公司只关注那些攻击计算机系统的黑客，而往往忽视那些计算机的保卫者，所以有些人就使用术语“黑客”表示只进行攻击的黑客。但是，如果您认为所有的黑客都是攻击者，那么您在理解许多安全性文章时会碰到很多麻烦，所以我将使用这里指出的定义。
　　
　　缺陷（flaw）是程序中的错误，或是程序的安装方法中的错误。并不是所有的缺陷都与安全性有关。
　　
　　安全性漏洞（vulnerability）就是一个缺陷，它使程序有可能无法满足其安全性需求。
　　
　　漏洞利用（exloit）是一个揭示或利用安全性漏洞的程序。
　　
　　改变您的理念
　　在学习如何编写安全的软件时遇到的最大挑战是改变您对软件开发的观点。以下几点应该会有所帮助：
　　
　　偏执狂是一种优点。在自己进行调查研究之前不要相信任何事情。不要想当然地以为您的输入遵守您所依赖的规则；去检验它。不要忽略来自库的错误报告；通常，在遇到意想不到的错误时，您需要终止正在进行的处理。不要以为您的程序没有错误；限制您的程序能够完成的事情，这样错误成为安全性缺陷的可能性就会比较少。
　　
　　一般的测试通常无法发现安全性缺陷。大多数测试方法都假定用户设法使用程序来帮助他们完成一些工作。因此，测试假定用户将以某种“随机”或“有用”的方式工作，检查程序在“一般”情况下或者在某些最大值下如何工作。与此相反，安全性缺陷通常只出现在使用极其古怪的值的情况时，传统的测试完全不会检查这样的值。有些开发人员会编写非常糟糕的代码，然后希望通过测试它来进行纠正。这种方法根本不会产生安全的代码，因为您无法创建足够多的测试来涵盖攻击者能做到的所有稀奇古怪的事情。
　　
　　小玩意（象防火墙）和技术（象加密）是不够的。
　　
　　从过去的失败确定和了解漏洞。事实证明几乎所有软件的安全性漏洞都是由相对较小的一组常见错误引起的。如果您了解了那些是什么错误 － 以及如何避免这样的错误 － 您的软件就会安全得多。事实上，本专栏将集中讨论如何避免以前出现的常见错误，这样您就不会犯同样的错误。
　　
　　FLOSS 会使我们安全吗？
　　自由／开放源码软件程序是带有某种许可证的程序，这样的许可证允许用户以任何目的自由地运行程序，自由地研究和修改程序以及自由地重新分发原始程序副本或修改过的程序副本（而不必向以前的开发人员支付版税）。FLOSS 的同义词包括开放源码软件（OSS），大写时是“自由软件（Free Software）”（FS）以及 OSS/FS。“自由软件”和“开放源码软件”可在本文中互换使用，但是推荐使用“FLOSS”，因为它包含了这两个术语。典型的 FLOSS 程序都是由开发人员社区开发的，他们一起工作并评审彼此的工作。Linux 内核是 FLOSS，Apache Web 服务器和许多其它程序也是 FLOSS；FLOSS 正逐渐在许多市场特殊领域流行起来。
　　
　　人们可以评审 FLOSS 程序的源代码，这样会如何影响安全性存在着激烈辩论。由于受到大众所有可能的详细审查，所以 FLOSS 会更安全吗？或者，FLOSS 是否会更不安全，因为攻击者获得了更多的信息 － 这会使得进行对程序的攻击更容易吗？
　　
　　这些问题开始有了答案，与象“FLOSS 总是比较安全的”这样的简单声明相比，这些答案更为细致且更复杂。确实有事实证明 FLOSS 能比具有专利权的软件安全。例如，据报告 FLOSS OpenBSD 操作系统的安全性漏洞比 Microsoft Windows 少得多。但是有一个合理的“反诉”：由于 Windows 用户比较多，所以对 Windows 的攻击就可能比较多，这意味着更有可能发现 Windows 的安全性漏洞。这就是比较的全部内容吗？很值得怀疑，不过这也显示出作同等对比是多么困难。
　　
　　一个更佳的示例是 Apache Web 服务器：它比 Microsoft 的具有专利权的 IIS Web 服务器流行得多，但是 Apache 的严重安全性漏洞却比 IIS 少。请参阅我的论文“Why OSS/FS? Look at the Numbers”（在参考资料中）获取有关 FLOSS 的更多统计信息，包括安全性统计信息。
　　
　　还有一点很清楚，攻击者实际上并不需要源代码。只要研究可获得的所有 Microsoft Windows 漏洞利用就可以了！更重要的是，如果攻击者需要源代码，那么他们会使用反编译器，来重新创建源代码，这样重新创建的源代码对攻击目的而言足够了。
　　
　　但是答案也并非就是“FLOSS 总是比较安全的”。毕竟，您可以将具有专利权的程序的许可证更改成 FLOSS，而不更改其代码，而它不会突然就变得更安全。相反，有几个因素看来是使 FLOSS 程序拥有良好的安全性所必不可少的：
　　
　　必须多人真正地评审代码。有多种因素会减少进行评审的可能性，如用于特殊领域或很少用到的产品（可能的评审者很少）、开发人员很少、使用罕见的计算机语言或实际上不是 FLOSS（如“共享源码”许可证）。如果每次代码更改都由许多开发人员进行检查，这通常有助于安全性。
　　
　　至少某些开发和评审代码的人必须知道如何编写安全的程序。一个人可以帮助培训其他人，但是您必须有一个起点。
　　
　　一旦发现安全性漏洞，需要快速地开展修补工作并将修补成果进行分发。
　　
　　简而言之，程序是否安全最重要的因素是 － 不管它是 FLOSS 还是具有专利权的 － 其开发人员是否知道如何编写安全的程序。
　　
　　如果您需要安全的程序，那么使用 FLOSS 程序就相当合理 － 但您需要以某种方式评估它以确定它对于您的目的是否足够安全。
　　
　　确定您的安全性需求
　　在您可以确定程序是否