开源可能对黑客敞开大门

来源 :科技创业 | 被引量 : 0次 | 上传用户:pj00000pj
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  最新的一份分析报告指出,黑客可以更快速更高效地发现开源软件的漏洞。
  一篇论文在对两年内受黑客攻击数据进行分析后指出,开源软件因其源代码的开放性,使得黑客能够找到软件的漏洞而对其进行攻击。
  即将在本周召开的信息安全经济学研讨会上发表的这篇文章,对来自入侵检测系统——可以发现目标软件的属性和漏洞——的4亿次攻击警报进行了分析。文章作者,波士顿大学卡罗尔管理学院助理教授山姆·拉姆斯博顿(SamRansbotham)表示,数据分析支持了开源软件较源代码封闭软件更容易遭受攻击的结论。
  借助非线性回归和其他数学模型进行分析,拉姆斯博顿发现,针对开源软件漏洞的攻击发生频率要高出50%,攻击时间要早3天。他认为,入侵一个特定漏洞的相关方法会被到处散播,散播的方式与散播科技创新较为相似。
  拉姆斯博顿说:“整个过程就像是好人与坏人间的博弈,减少了坏人作恶要做的努力,坏人必将兴趣大增,从而更快更多地入侵目标。”
  这篇文章很可能再次引发开源的支持者与反对者的争论。双方常就Linux开源操作系统和Windows操作系统的安全性争执不下,在Mozilla的开源浏览器Firefox和微软IE浏览器的安全性问题上互不让步。开源的支持者认为,开源后程序开发人员能更快找到软件漏洞,而批评者认为,利用代码发起攻击的黑客要远多于防卫者,总的来看不安全因素更多。
  研究所用报警数据是从多个入侵检测系统中挑选出来的,这些系统由安全服务提供商SecureWorks代理的960家公司进行管理。拉姆斯博顿将攻击数据与国家漏洞资料库(NVD)的具体漏洞数据进行了比对。国家漏洞资料库是一个大型的软件漏洞数据库,由国家标准技术所管理。然而,NVD中列举了2006至2007年间超过1.3万种软件产品中的漏洞,这两年的警报数据被用来做测试了,其中仅有一半软件产品能够被确认为开源或源代码封闭。
  入侵检测系统能够识别攻击目标,通过与警报数据的关联,拉姆斯博顿编制了一份清单,列出了确定的开源或封闭源代码软件中被识别的883个漏洞。他还根据其他属性对漏洞做了分类,分类依据包括黑客入侵漏洞的难易程度,以及入侵检测系统得到漏洞报告时该漏洞是否已被标记。
  最终,在883种漏洞中仅有97种在两年间成为黑客的攻击对象,但针对这97种漏洞发起的攻击次数达到了11100万次,约占总攻击次数的1/4。剩下的攻击可能是针对无法识别是否开源的软件,或针对属性未知的漏洞,或是监测系统的错误判断。
  在分析过程中,拉姆斯博顿发现从各公司的第一份漏洞报告中可以得出:开源软件的漏洞受攻击的发生时间较封闭源代码软件要早。此外,平均来看,越来越多公司的软件产品每个漏洞都会遭受攻击,但在两种情况下攻击数量最终达到峰值后数量不再增加。
  “在开发人员忙着打补丁的时候,黑客已经集中精力在寻找新的漏洞了。”拉姆斯博顿说。
  黑客能利用的不仅仅是开放的源代码。拉姆斯博顿的分析指出,各种标记与早期的攻击存在联系。软件标记在各种安全产品中均有应用,用来将产品与已知的早期漏洞攻击类型进行匹配。这说明开发人员在进行软件更新的同时也帮助了黑客们。
  “这给我传递了一个信息:在使用标记这点上还有一些问题值得讨论。标记会帮助黑客……告诉他们如何入侵漏洞。”拉姆斯博顿说。
  其他研究也指出,标记及其他防御性措施可能会向黑客泄露信息。2007年,两位安全专家向人们演示了如何利用从入侵检测系统中获取的标记信息编写攻击代码。
  2008年,研究人员创建了一个系统,该系统能够自动分析软件公司发布的补丁,再生成潜在的攻击代码。
  然而,安全专家们却警告人们不要太相信拉姆斯博顿的分析报告。Immunity安全公司的首席技术官大卫·艾特尔(David Aitel)认为,很多因素可能影响到数据的准确性。Immunity公司为客户提供多项服务,其中一项就是对客户的网络防护发起攻击,测试其安全性。他表示,根据拉姆斯博顿的报告,97种漏洞攻击中仅有30种是针对开源软件的,这意味着遭受攻击的漏洞相对较少。他同时认为,黑客有可能不加选择地攻击一个公司相对不重要的开源软件,同时将更多精力放在攻击更为重要的源代码封闭的软件系统上。
  由于Immunity公司的客户普遍担心运行着如微软Windows、IE、Adobe Acrobat、Java等封闭源代码软件的系统的安全性,该公司研究人员试图在接到软件漏洞报告后的24小时内找到漏洞,而对开源软件的漏洞关注则较少。
  “认为开源软件更容易遭受攻击,这种结论绝对是错误的。”艾特尔说,“从Packetstorm的研究网站上的数据中你可以得到完全相反的结论。”
  其他安全专家持更宽泛的观点,认为攻击更多的与一个公司开发软件的方式有关,与开源或封闭源代码较少。软件安全咨询公司Cigital首席技术官加里·麦格劳(Gary McGraw)认为,黑客最终将得到漏洞信息,可能通过自动攻击软件,可能通过反向工程补丁,也可能通过进入源代码,所以公司应该预见到这一点。
  “你必须先得到源代码才能入侵漏洞,这是个谜团。”麦格劳说,“软件开发人员应当明白,软件一旦开发出来,一切都不再是秘密,黑客也将获得找到漏洞所需的信息。”
其他文献
鲤科鱼类是世界上养殖范围最广的重要经济鱼类,但是在近年来的鲤养殖生产中,生长缓慢、产量下降和抗病力差等生产性状衰退现象变得越来越突出,为了改变这一状况,黑龙江水产研究所
学位
采用分子克隆技术首次获得了斑鳜(Siniperca scherzeri)3种胃蛋白酶原(pepsinogen,PG):PGA1、PGA2和PGC,PGA1和PGC5侧翼区序列以及胃质子泵(gastricH+/K+-ATPase)α、β亚基的基因序列
能传输光线和感知压力的纤维可用于医学成像和结构监测。  麻省理工学院的研究人员已研制出不仅能传输和调制光线,而且能产生和感知压力变化的光导纤维。该多功能纤维可用于制作多种传感器。该纤维还可以用于调制光信号,使之有希望能成为“智能”织物。  麻省理工学院材料科学和工程学教授约尔·芬克(Yoel Fink)说:“我们希望增加纤维的复杂性和精密性。”  通过在光导纤维的生产中整合热敏和光敏材料,芬克的研
蒸发冷却加上用干燥剂烘干同样会产生凉爽的空气,而且成本较低。  今年夏天让家和办公室保持凉爽将非常昂贵——在美国,每年大约有5%的能量被用来运行空调。但是位于哥伦比亚州戈登市的美国国家可再生能源实验室(National RenewableEnergy Laboratory)的研究员们已经研发出一种新的空调设计,他们说将大大增加效率并消除会造成全球变暖的气体排放。  美国国家可再生能源实验室的高级工
小黄鱼作为我国渔业的经济鱼种之一,在我国渔业中一直占据着重要的地位,其资源曾经历兴盛期、衰退期和恢复期几个阶段。近年来,小黄鱼资源虽然有所恢复,但其个体小型化、性成熟提
学位