Login  |  繁體中文
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 本網站預計持續維運至 2021年底,網站內容基本上不會再更動。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
News

大家都看不見 世界就很安全?談 Security by Obscurity 的資訊安全觀

◎ 本篇文章傳達筆者意見,不代表自由軟體鑄造場電子報立場,回覆意見請見部落格原文網址:https://blog.ofset.org/ckhung/index.php?post/111c

趨勢科技張明正董事長日前接受彭博社訪問時表示:Android 系統因為開放原始碼,所以沒有蘋果下 iPhone 平台來得安全。這和幾年前李家同校長發表的看法類似:「開放型的操作系統雖然有很多優點,但極容易被人不法侵入,而且侵入以後,常可以通行無阻,如入無人之境。」這種「security by obscurity」的資訊安全觀,不僅挑戰著資訊安全專家和美國白宮的智慧,也挑戰著事實。

國際資訊安全專家的看法,與臺灣資訊界兩位大老正好相反。他們認為:好的演算法,應該攤在陽光下,讓所有資訊專家檢驗。如果沒有專家看得出漏洞,被檢驗的演算法才比較可能是安全的。上述資訊安全的基本原則,叫做 Kerckhoffs' principle。我在「見不得人的 DRM 演算法」一文當中,列舉過一些電腦高手對於這個議題的觀點。這裡再補充一個:近年來活躍於密碼學舞臺的世界知名資訊安全專家 Bruce Schneier 曾經說過

身為密碼與資安專家,我一直搞不懂開放原始碼議題為什麼會引起這麼大的騷動。在密碼學界,開放原始碼是資訊安全的先決條件;過去數十年來一直都是如此。公開的安全當然比私密的安全更安全:不論是加解密演算法、安全協訂、資安原始碼皆然。對我們來說,開放原始碼不只是一種商業模式,它根本就是工程師應有的聰明態度。

如果資安專家談的太抽象、太理論,那就讓我們談談真實世界所發生的資安問題吧。資訊界兩位大老談的都是作業系統;不過對於一般使用者而言,更需要謹慎守護的第一道防線,可能是雲端年代最重要的代步工具-瀏覽器。去年年初 Google 中國被入侵,臺灣多數大學基於其對瀏覽器的宗教狂熱,一直不敢公開談論這個資訊安全問題。到了去年年底,IE 瀏覽器的零時差攻擊,而中韓潰客很可能用到這個漏洞,導致行政院網站遭到惡意攻繫,再次突顯 IE 瀏覽器的資安問題。關心資訊安全的兩位大老,只批評「目前仍處於小眾的作業系統」的資訊安全;但對於 IE 所造成的這兩個影響既深且廣的資訊安全事件、對於眾多強迫用戶使用破敗舊版 IE 的自殘網站、對於至今沒有具體因應作為的資訊學界與資訊產業,卻反而沒有提出任何建議,這令人十分失望。

「還好我的電腦沒有被入侵。」那可能是你的感覺。今日最大規模的資安問題-botnet 殭屍網路-最可怕的地方,在於被入侵的受害用戶仍舊能夠繼續正常使用電腦,因而經常完全不自覺。操作殭屍網路的駭客潰客入侵你的電腦,用意多半不在你的資料,而在徵召你的電腦參與大規模的集體攻擊。他當然不希望驚動「電腦被徵召」的受害者,這樣那部電腦才會持續留在線上隨時待命-等待他發動攻擊金融機構或政府機關的命令。

殭屍網路的最重要傳染途徑,就是 IE 了。不過,IE 的用戶人口最多,所以光看這個數字還不足以說明 IE 比較不安全。Firefox 用戶的電腦當然也有機會被徵召進殭屍網路。拿上面連結的數據和 2009 年瀏覽器市佔率對照並相除,會發現:IE 與 Firefox 的中鏢率比值為 5:3。真的嗎?大家都看不見 IE 的原始碼,所以封閉原始碼的 IE 真的就比開放原始碼的 Firefox 更安全嗎?

當然,挑戰 Kerckhoffs 原理的資訊界兩位大老,談的都是作業系統,而不是瀏覽器。那更好,就來談談作業系統的中鏢率吧。「IE 助長殭屍網路」那篇文章裡面,沒有作業系統相關數據,無法定量分析。搜尋 Linux botnet,發現 2009 年出現首宗(似乎也是唯一的一宗)Linux 殭屍網路事件。被入侵的,並不是一般用戶的電腦。一般 Linux 用戶的電腦,需要以個案方式手動入侵,對於經營殭屍網路的潰客來說,不符合經濟效益。被入侵的,是沒有設定密碼的某些網路分享器不管 Windows 桌機的中鏢率是否真的高達 25%,至少可以確定 linux 桌機的中鏢率,是零。也就是說,我在 Linux 下生活了 15 年,到目前為止,我的電腦還沒有榮幸被徵召加入殭屍網路。

這個例子除了說明使用開放原始碼的 Linux 遠比使用封閉原始碼的 Windows 安全之外,還提醒我們三件事。第一,大多數諸如網路分享器之類的裝置,之所以採用開放原始碼的 Linux,而不是採用封閉原始碼的 Windows,資訊安全當然也是重要的考量之一。如果 Linux 不安全,資訊廠商當然寧可花錢取得授權,改用「比較安全的 Windows」。第二,系統再怎麼安全,產品再怎麼優,如果用戶沒有資訊安全意識-例如連密碼都沒設定-那麼一樣會曝露在風險當中。一位負責任的資訊安全專家,會提醒大眾要提高資訊安全意識,不要仰賴任何產品-防毒軟體也好、Linux 也好-而不是淡化嚴重的資安問題,甚至扭曲事實,找不相關(甚至正好顛倒是非)的藉口來搪塞。第三,在這個案例裡面,只有特定型號的分享器受害。這再次驗證了資安專家早就提出的建議:類似生物多樣性的「作業系統/瀏覽器多元化」,有助於提升網路社會整體的資訊安全。詳見 Schneier 的專訪O'Donnell 與 Sethu 的學術論文摘要。一位真正關心社會整體資訊安全的專家,必須要關心這個議題。

李校長的專長是演算法,而不是資訊安全。當然,一位學術成就遠低於李校長的部落客,讀者也不需要將他的話照單全收。問問搜尋引擎吧:請看看「李家同 演算法」和「李家同 資訊安全」,會搜出什麼樣的天壤之別。相較於他令人敬佩的學術成就,和許多技術文章的高水準,李校長那篇文章的專業程度,令向來敬佩他的我訝異得說不出話來。以他對於資訊教育界及對於社會整體龐大的影響力,卻對大眾提出違背事實的資訊安全建議,非但沒有協助自由軟體界讓數位高牆倒下,反而協助微軟強化數位高牆,令人感到多重的不安與十分的不解。讓數位高牆倒下

至於張董顛倒黑白的動機,就很容易理解了;甚至可以得到一點點諒解。張董的任務是賺錢,而不是拯救世界。這不是在指責趨勢科技,而是要請消費者認清資本主義社會的現實-不論你喜不喜歡。2005 年 Sony 藉由音樂光碟入侵消費者電腦的時候(請搜尋 Sony rootkit),部落客於 10 月底揭露其劣行,一開始主流媒體都不願意報導;而資訊安全界則只有 F-Secure 與 Sysinternals 兩家小的防毒軟體公司積極回應。諸如 McAfee 與 Symantec 一開始都不願意真的移除入侵的程式碼;他們甚至還替 Sony 的行為辯解,誤導消費者。至於趨勢科技,則遲至 2006 年才低調推出反安裝工具。難怪 Sneier 這樣評論這些資訊安全大廠:「Sony rootkit 事件突顯了什麼呢?說得好聽一點,這些公司無能;說得不客氣一點,那是欠缺專業倫理呀。」回到這次張董發言事件,難怪部落客們會立即反駁,會調侃張董是資訊不安全專家,認為他可能只是害怕將來 Windows 退流行,就沒生意可做,才會出此下策。詢問報 (the Inquirer) 倒是打趣地指出,趨勢科技不用太擔心自由軟體用戶的批評-趨勢科技不會「失去」這些客戶,因為他們從來就不需要買防毒軟體。

但是 Sony 事件對我們的啟發還不僅止於此。如果 Sony 會在你的電腦開設後門,那麼微軟與蘋果會不會?如果按照張董和李校長的建議,大家都把頭埋到沙子裡,反而只剩下微軟和蘋果可以看得見一切,那麼這個社會將會更加安全,還是更加危險?這不是假設性的問題,這是發生過很多次,甚至現在還存在於你的(以及可能存在於兩位資訊大老的)電腦、手機、隨身聽裡面的事實。請搜尋「Windows phone home」、「Windows stealthy update」、「Windows 盜版警察」、「Apple secret url」、「MobileMe secretly」。這裡的重點已經不是潰客入侵。這裡的重點是:如果「收你錢、不給你看原始碼、告訴你把頭埋在沙子裡比較安全」的資訊廠商,恰恰就是入侵你電腦的潰客呢?封閉原始碼真的比較安全嗎?到底對誰比較安全呢?

最後,提醒消費大眾幾件事。第一,請不要為了合理化自己的「選擇」,而強迫自己「相信」謊言。我選擇使用 Ubuntu,Slax,與 SimplyMEPIS,是因為這些版本的 Linux 方便性等等諸多考量;但並不會因此而天真地認為我的選擇,就一定也比其他版本的 Linux 或比 BSD 更安全。盲目的品牌忠誠,只會讓你變成任人宰割的肥羊。「我可以繼續使用封閉原始碼的 Windows 嗎?」如果因為環境的現實因素不配合,身旁找不到熱心的小學三年級 Linux 玩家可以幫忙你解決問題,那當然也只好繼續用 Windows。哦,要記得安裝防毒軟體。如果我必須用 Windows, 會比較相信開放原始碼的 ClamWin;但是請不要因為繼續用 Windows, 就跟著催眠自己相信那些「自身利益與社會利益」衝突的公司。「提出有利於社會整體資訊安全的建議-例如丟棄 IE-會不會與我自身的利益衝突呢?」一家以營利為目的的公司會怎麼做?消費者應該要有智慧判斷。如果我是防毒軟體公司的董事長,我也不敢保證我的表現會比張董事長展現更高的道德良知與社會責任。第二,沒有任何「產品」是完全安全的;重點是「態度與習慣」。(Schneier 的原文是:Security is a process, not a product. 。不過在此處,「態度與習慣」可能比較能夠抓住其原意。)第三,請不要盡信主流媒體-特別是臺灣的資訊媒體。當然,部落客也可能有自己的偏見、利害關係、甚至被收買(請搜尋「國光部落客」);不過,至少從很多部落客的不同意見裡面,你可以看到比較全面的、未經言論管制的多元觀點。這個年代,網路搜尋的能力很重要。請搜尋比較「白宮 Drupal」和「White House Drupal」、請新聞搜尋比較「俄國 Linux」和「Russia Linux」、你不僅會看到外國改用開放原始碼的自由軟體的趨勢,也會同時看到臺灣多數主流資訊媒體對於這一塊重要趨勢的噤聲。

美國許多政府部門諸如國防部、能源部、健康部、國安部、交通部等等單位改用自由軟體的趨勢是否值得學習?ARM 與 Linux 是否真的將終結微軟與 Intel 的壟斷?Android 會不會就是未來的大勢所趨?微軟真的就要潰堤了嗎?不論這些問題的答案是肯定或否定的,至少在看過這些文章以及用您自己智慧搜尋到的結果之後,你會更清楚地確認:眾人-包含具有實戰經驗的真正資安專家-的智慧認為:採用看得見原始碼的自由軟體,比較有利於資訊安全。Security by obscurity is no security.



OSSF Newsletter : 第 168 期 以 Snort 實作入侵偵測系統

Category: FOSS Forum