当前位置:主页 > 星空科技 >开放原始码比较不安全?看看微软的中标率吧(冷笑) >

开放原始码比较不安全?看看微软的中标率吧(冷笑)

来源:星空科技 时间:2020-07-08 指数:929

开放原始码比较不安全?看看微软的中标率吧(冷笑)

趋势科技张明正董事长曾在接受《彭博商业週刊》访问时表示,Android 因为开放原始码,所以没有苹果来得安全。这和几年前  李家同校长发表的看法  类似,「开放型的操作系统虽然有很多优点,但极容易被人不法侵入,而且侵入以后,常可以通行无阻,如入无人之境。」

这种「security by obscurity」的资讯安全观,不仅挑战着资讯安全专家和美国白宫的智慧,也挑战着事实。

资讯安全专家认为:好的演算法,应该摊在阳光下

资讯安全专家的看法与台湾资讯界两位大老正好相反。他们认为,好的演算法,应该摊在阳光下,让所有资讯专家检验。如果没有专家看得出漏洞,那幺这个演算法才比较可能是安全的。这个资讯安全的基本原则叫做「Kerckhoffs’ principle」。

我在 〈 见不得人的 DRM 演算法 〉 一文当中,列举过一些电脑高手对于这个议题的观点文章网址。这里再补充一个,近年来活跃于密码学舞台的世界知名资讯安全专家 Bruce Schneier 曾经  说过 :

如果资安专家谈的太抽象、太理论,那就让我们谈谈真实事界所发生的资安问题吧。

封闭原始码的 IE 浏览器,受「溃客」入侵的比率高于其他浏览器

资讯界两位大老谈的都是作业系统,不过对于一般使用者而言,更需要谨慎守护的第一道防线,可能是云端年代最重要的代步工具 -- 浏览器。

2010 年年初,Google 中国被入侵,台湾多数大学基于其对浏览器的宗教狂热,一直不敢公开谈论这个资讯安全问题 。到了 2010 年年底,IE 浏览器的零时差攻击,以及很可能是由它所导致的  行政院遭中韩溃客恶意攻击  事件,再次突显 IE 浏览器的资安问题。

关心资讯安全的两位大老,只批评「目前仍处于小众的作业系统」的资讯安全,但对于 IE 造成的两个既深且广的资讯安全事件、 对于众多强迫用户使用破败旧版 IE 的  自残网站 、 对于至今没有具体因应作为的资讯学界与资讯产业,却反而没有提出任何建议,这令人十分失望。

「还好我的电脑没有被入侵。」那可能是你的感觉。 今日最大规模的资安问题 -- botnet 殭尸网路  -- 最可怕的地方,在于被入侵的受害用户仍旧能够继续正常使用电脑,因而经常完全不自觉。

操作殭尸网路的  骇客  溃客  入侵你的电脑,用意多半不在你的资料,而在徵召你的电脑参与大规模的集体攻击。他当然不希望惊动「电脑被徵召」的受害者,这样那部电脑才会持续留在线上随时待命 -- 等待他发动攻击金融机构或政府机关的命令。

殭尸网路的最重要传染途径,就是 IE。 不过,IE 的用户人口最多,所以光看这个数字还不足以说明 IE 比较不安全。Firefox 用户的电脑当然也有机会被徵召进殭尸网路。拿上面连结的数据和 2009 年浏览器市佔率  对照并相除,会发现,IE 与 Firefox 的中镖率比值为 5:3。

真的吗?大家都看不见 IE 的原始码,所以封闭原始码的 IE 真的就比开放原始码的 Firefix 更安全吗?

开放原始码的 Linux,受到溃客攻击的比率为 0

当然,挑战 Kerckhoffs 原理的资讯界两位大老,谈的都是作业系统,而不是浏览器。

那更好,就来谈谈作业系统的中镖率吧。「IE 助长殭尸网路」那篇文章里面,没有作业系统相关数据,无法定量分析。搜寻 Linux botnet,发现 2009 年出现首宗(似乎也是唯一的一宗)Linux 殭尸网路事件。

被入侵的,并不是一般用户的电脑,一般 Linux 用户的电脑, 需要以个案方式手动入侵 ,对于经营殭尸网路的溃客来说,不符合经济效益。 被入侵的,是没有设定密码的某些网路分享器 。 不管 Windows 桌机的中镖率是否真的  高达 25%,至少可以确定 Linux 桌机的中镖率,是 0。 也就是说,我在 Linux 下生活了 15 年,到目前为止,我的电脑还没有荣幸被徵召加入殭尸网路。  

这个例子除了说明,使用开放原始码的 Linux 远比使用封闭原始码的 Windows 安全之外,还提醒我们三件事:

第一,大多数诸如网路分享器之类的装置,之所以採用开放原始码的 Linux,而不是採用封闭原始码的 Windows,资讯安全当然也是重要的考量之一。如果 Linux 不安全,资讯厂商当然宁可花钱取得授权,改用「比较安全的 Windows」。

第二,系统再怎幺安全、产品再怎幺优,如果用户没有资讯安全意识 -- 例如连密码都没设定 -- 那幺一样会曝露在风险当中。一位负责任的资讯安全专家,会提醒大众要提高资讯安全意识,不要仰赖任何产品 -- 防毒软体也好、Linux 也好 -- 而不是淡化严重的资安问题,甚至扭曲事实,找不相关(甚至正好颠倒是非)的藉口来搪塞。

第三,在这个案例里面,只有特定型号的分享器受害。这再次验证了资安专家早就提出的建议:「类似生物多样性的『作业系统/浏览器多元化』,有助于提升网路社会整体的资讯安全。」 详见 Schneier 的专访  与 O’Donnell 与 Sethu 的学术论文摘要 。一位真正关心社会整体资讯安全的专家,必须要关心这个议题。

学界、业界没协助自由软体让数位高墙倒下,令人不安

李校长的专长是演算法,而不是资讯安全。当然,一位学术成就远低于李校长的部落客,读者也不需要将他的话照单全收。问问搜寻引擎吧,请看看关键字下:「李家同 演算法」和「李家同 资讯安全」,会搜出什幺样的天壤之别。

相较于他令人敬佩的学术成就,和许多技术文章的高水準,李校长那篇文章的专业程度,令向来敬佩他的我讶异得说不出话来。以他对于资讯教育界及对于社会整体庞大的影响力,却对大众提出违背事实的资讯安全建议,非但没有协助自由软体界  让数位高墙倒下 ,反而协助微软强化数位高墙,令人感到多重的不安与十分的不解。

至于张董颠倒黑白的动机,就很容易理解了;甚至可以得到一点点谅解。张董的任务是赚钱,而不是拯救世界。这不是在指责趋势科技,而是要请消费者认清资本主义社会的现实 -- 不论你喜不喜欢。

2005 年 Sony 入侵电脑案,让人认清企业只认生意的现实面

2005 年 Sony 藉由音乐光碟入侵消费者电脑的时候,(请搜寻 Sony rootkit)部落客于当年 10 月底揭露其劣行,一开始主流媒体都不愿意报导, 而资讯安全界则只有 F-Secure 与 Sysinternals 两家小的防毒软体公司积极回应。诸如 McAfee 与 Symantec 一开始都不愿意真的移除入侵的程式码,他们甚至还替 Sony 的行为辩解,误导消费者。至于趋势科技,则 迟至 2006 年才低调推出反安装工具 。

难怪 Sneier  这样评论  这些资讯安全大厂:「Sony rootkit 事件突显了什幺呢?说得好听一点,这些公司无能;说得不客气一点,那是欠缺专业伦理呀。」回到这次张董发言事件,难怪部落客们会立即  反驳 ,会调侃张董是  资讯不安全专家 ,认为他可能只是  害怕将来 Windows 退流行,就没生意可做 ,才会出此下策。

《询问报》(the Inquirer)倒是打趣地指出 ,趋势科技不用太担心自由软体用户的批评 -- 趋势科技不会「失去」这些客户,因为他们从来就不需要买防毒软体。

消费者该想想:Sony 会偷开你家后门,其他公司也会吧?

但是 Sony 事件对我们的启发还不仅止于此。如果 Sony 会在你的电脑设后门,那幺微软与苹果会不会?如果按照张董和李校长的建议,大家都把头埋到沙子里,反而只剩下微软和苹果可以看得见一切,那幺这个社会将会更加安全,还是更加危险?

这不是假设性的问题,这是发生过很多次,甚至现在还存在于你的(以及可能存在于两位资讯大老的)电脑、手机、随身听里面的事实。请搜寻「Windows phone home」、「Qindows stealthy update」、「Windows 盗版警察」、「Apple secret url」、「Mobileme secretly」。

这里的重点已经不是溃客入侵,这里的重点是, 如果「收你钱、不给你看原始码、告诉你把头埋在沙子里比较安全」的资讯厂商,恰恰就是入侵你电脑的溃客呢? 封闭原始码真的比较安全吗?到底对谁比较安全呢?

最后,提醒消费大众几件事

1. 请不要为了合理化自己的「选择」,而强迫自己「相信」谎言:

我选择使用 Ubuntu、Slax 与 SimplyMepis,是因为这些版本的 Linux 方便性等等诸多考量;但并不会因此而天真地认为我的选择,就一定也比其他版本的 Linux 或比 BSD 更安全。 盲目的品牌忠诚,只会让你变成任人宰割的肥羊 。

「我可以继续使用封闭原始码的 Windows 吗?」如果因为环境的现实因素不配合,身旁找不到 热心的小学三年级 Linux 玩家  可以帮忙你解决问题,那当然也只好继续用 Windows。哦,要记得安装防毒软体。如果我必须用 Windows,会比较相信开放原始码的 ClamWin;但是请不要因为继续用 Windows,就跟着催眠自己相信那些「自身利益与社会利益」冲突的公司。

「提出有利于社会整体资讯安全的建议 -- 例如丢弃 IE -- 会不会与我自身的利益冲突呢?」

一家以营利为目的的公司会怎幺做?消费者应该要有智慧判断。如果我是防毒软体公司的董事长,我也不敢保证我的表现会比张董事长展现更高的道德良知与社会责任。

2. 没有任何「产品」是完全安全的,重点是「态度与习惯」

(Schneier 的原文是:「Security is a process, not a product.」不过在此处,「态度与习惯」可能比较能够抓住其原意。)

3. 请不要尽信主流媒体 -- 特别是台湾的资讯媒体

当然,部落客也可能有自己的偏见、利害关係、甚至被收买(请搜寻「国光 部落客」);不过,至少从很多部落客的不同意见里面,你可以看到比较全面的、未经言论管制的多元观点。

这个年代,网路搜寻的能力很重要。请搜寻比较「白宫 drupal」和「white house drupal」,请新闻搜寻比较「俄国 Linux」和「Russia Linux」,你不仅会看到外国改用开放原始码的自由软体的趋势,也会同时看到台湾多数主流资讯媒体对于这一块重要趋势的噤声。

美国许多政府部门诸如国防部、能源部、健康部国安部、交通部等等单位  改用自由软体的趋势  是否值得学习?Arm 与 Linux 是否真的将  终结  微软与 Intel 的垄断? Android 会不会就是未来的大势所趋?微软真的就要溃堤了吗 ?

不论这些问题的答案是肯定或否定的,至少在看过这些文章以及用您自己智慧搜寻到的结果之后,你会更清楚地确认: 众人,包含具有实战经验的真正资安专家的智慧认为,採用看得见原始码的自由软体,比较有利于资讯安全。 Security by obscurity is no security.

延伸阅读:

就业市场的「长尾理论」也会发生在资讯业,赶快去玩自由软体吧!

资讯领域的教育符合社会需求吗?

(图片来源:Kris Krug, CC Licensed)

相关文章:

本月排行

头条推荐

  • 小个子冬天千万别这样穿,太显矮! 小个子冬天千万别这样穿,太显矮!
  • 小个子女生初秋怎幺穿?这几款甜美的单品你一定用得上! 小个子女生初秋怎幺穿?这几款甜美的单品你一定用得上!
  • 小个子女生温柔系日常穿搭,毛衣配各种下装,显高又显瘦! – 小个子女生温柔系日常穿搭,毛衣配各种下装,显高又显瘦! –
  • 小个子怎幺穿长外套? 小个子怎幺穿长外套?
  • 小个子沈月也爱穿皮裙?配荷叶边衬衫超俏皮,居然格外好看! – 小个子沈月也爱穿皮裙?配荷叶边衬衫超俏皮,居然格外好看! –
  • 小个子穿毛衣+短裤,再外搭双过膝靴,显高又时髦!恋爱小 小个子穿毛衣+短裤,再外搭双过膝靴,显高又时髦!恋爱小
  • 小个子选大衣要注意!这三款大衣能让你显瘦不臃肿 – SheS 小个子选大衣要注意!这三款大衣能让你显瘦不臃肿 – SheS
  • 小事也能让他们又怒又感动!容易动怒也容易感动的星座TOP3 小事也能让他们又怒又感动!容易动怒也容易感动的星座TOP3
  • 新型技节科技|知识乐园|早报精彩|网站地图 博亿堂b8et98app_竞博app下载地址 九州bt365体育投注_e乐彩APP注册旧版 新时代赌场手机_mg游戏账号中心 新濠娱乐三元_极彩在线app下载 狗万·首页_游戏娱乐平台注册送礼金 申博sunbet代理_环球体育下载ios 万家乐国际app_众盈娱乐下载 2020下载app送38元彩金_星河网上娱乐 金沙电子app_sunbeAPP下载菲律宾 葡京网站大全app_上葡京体育app