信息安全

开源的代码就真的绝对安全?

Jeep 黑客大众汽车排放丑闻这样的汽车软件问题成为了今年的头条,表明公众开始重视从未考虑过的汽车软件安全问题。一些专家认为强制要求某些软件开源是解决问题的一个好办法。尽管如此能让软件被公众监督,但部分独立代码的可见性却得不到保障。就像 Sam Liles 最近发给我的邮件所说的一样,开源并不能够阻止 ShellShock 

Liles 博士曾是普渡大学网络取证专业的教授。在那时,他和他的学生研究汽车以及其他物联网设备的网络安全问题。他说,多层防御已经接近死亡,换言之我们不能再依赖于多层次的安全保护了。我们的手机和其他个人设备可能泄露我们正在做的事情,例如:我们去了哪儿,我们正在和谁交流,或其他更加隐私的活动等。这些设备和它们所包含的信息,存在于我们的私人和工作网络中。显然一个被入侵的手机可能被利用,入侵者可以访问其发现的所有信息,甚至把病毒传播给与它相连接的所有电子设备。

单就这些设备的数量本身就是一个巨大挑战。Liles 提出一些问题:谁来做这个级别的事件响应?更重要的是,谁来审核所有的代码? Eric S. Raymond 在《大教堂与集市》中写道,“只要有足够多的眼睛,所有的问题都将不是问题,” 此称之为林纳斯定律。但我们不能仅仅只依赖于足够多的眼睛来发现问题。假如像 OpenSSL 这样重大的项目缺少预防像 Heartbleed 这类漏洞的人力资源的话,那么谁来检查这些我们每天都用到的数以百万行代码的软件呢?

虽然 2011 年美国航空航天局和国家公路交通安全管理局做的关于大量丰田汽车意外加速事件的调查表明:“没有证据证明电子故障是导致大量意外加速的原因”,并且其他研究人员已经确定汽车是通过软件来加速的。IOActive 报告中写道:“如果电源管理 ECU 已经破坏,我们将能够很容易的改变速度,这个时候开车是非常不安全。显然,软件已经是现代汽车安全的重要组成部分之一。

然而,与 Liles 团队做类似研究的仍然很少。只分析软件是非常困难的。Liles 认为:“计算机取证几乎很少被内置到系统中,但是为了法律的有效性,往往需要借助逆向工程。此外,物联网设备所带来的威胁需要从研究方式上进行根本解决。解决掉一些旧的信息保障,安全体系学说,基于神学、半真理性的,过时的技术理论等。

那么,到底要不要将开源思想融入进去呢?不管代码是否开源,一些意外的错误仍然存在。Heartbleed , ShellShock 等漏洞的存在确实证实了许多开源软件同样存在一定的漏洞。有些人为的错误在开源代码中有着更加巨大的风险。开源在某种程度只是给我们提供了一种监管方式,我们可以方便的查看检验源代码实际的运作情况。当汽车成为开放的系统并与我们的电话,互联网相连之后,这其中的安全问题也变得愈加突出。

 

原文链接:http://opensource.com/life/15/10/open-source-code-is-not-warranty

译文链接:http://www.linuxstory.org/open-source-code-is-not-a-warranty

对这篇文章感觉如何?

太棒了
0
不错
0
爱死了
0
不太好
0
感觉很糟
0

You may also like

Leave a reply

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

More in:信息安全

信息安全

跳过开机密码!修改 Windows 10 登录密码 :-)

设置密码来保护自己的电脑数据安全是非常必要的,开机密码能有效防止未经允许的人窥探自己的电脑。本文将介绍一种简单的在CMD模式(无需密码可进入)下简单的重置开机密码,并且保证数据原封不动,且安全有效,并提供防被破解方案。
信息安全

修复正向保密

对于 TLS(保障网络通信提供安全及数据完整性的一种安全协议),可能最大的抱怨是, TLS 握手动作缓慢,传输加密会造成很多 CPU 开销。当然,如果配置正确这些都不是问题。最重要的通过 TLS 提高访客访问你网站的用户体验的一个特征是会话恢复。会话恢复是指当再一次连接到那些主机时,通过存储和重用以前的秘密信息。这大大减少了网络延迟和 CPU 的使用量。我们可以在网络服务器和代理中启用会话恢复,但是很容易违背正向保密。为了找出为什么有实际标准的 TLS 库(即 OpenSSL )会是一件坏事和如何避免搞砸 PFS ...
信息安全

福利发放!Google 提供免费 DDoS 攻击防护服务

Google 的 Project Shield 旨在保护互联网上的新闻报道和言论自由,并且已经提供 DDoS 攻击的免费防护。DDoS(分布式拒绝服务)攻击,你可能知道它是通过分布式的海量流量来使目标网站宕机或响应延迟,许多网站深受其害。它经常被别有用心的用于针对某个网站的具体观点,这就是为什么 Google 推出能够保护新闻网站和人权网站(包括选举监督网站)的 Project Shield。目前,以上是可以申请保护的网站。该项目的目的是为小网站提供免受大规模流量攻击的可行选择,Google 通过自身的基础设施来过滤吸收这些恶意流量。