本专栏说明了如何编写安全的应用程序;重点讨论的是 Linux 操作系统,但是其中的许多原则也适用于任何系统。在当今联网的世界中,软件开发人员必须知道如何编写安全的程序,然而人们还未广泛认识到这一信息,也未向人们广泛讲授过这一信息。本文是安全编程(Secure programmer)专栏的第一篇文章,它介绍了如何编写安全的应用程序的基本思想,并讨论了如何针对特定的应用程序确定安全性需求。以后的几篇专栏文章将主要讨论几种不同的常见安全性漏洞以及如何防止它们。
欢迎来到不太友善的世界
案例 #1
味道闻起来很糟糕。两个多月以来,数十万加仑的污水流到了澳大利亚的公园、河流以及一家旅馆的地面上,而无人知晓其原因。水生动植物不断地死亡,而且有一条小河中的水已经变黑了。2000 年 4 月 23 日,当警方逮捕了一名男子时才解开了这个谜团,这名男子一直在使用计算机和无线电设备对管理污水和饮用水的机器进行完全控制。他的动机是什么呢?对其审讯的口供表明他正试图获得一份获利丰厚的咨询合同以解决他所造成的问题。事实原本还要糟糕得多。
案例 #2
有一个小偷(只知道他叫“Maxus”)从在线音乐公司 CD Universe 偷了 35 万个信用卡号,然后勒索 10 万美元赎金。当 CD Universe 拒绝支付赎金时,Maxus 就公开张贴了这些信用卡号 - 这损害了 CD Universe 的顾客并使这些顾客有合理的理由转而光顾其它商店。
案例 #3
CIA 最近了解到奥萨马·本·拉登的基地恐怖分子组织对网络恐怖活动有着“非常浓厚的兴趣”,这是人们先前所不相信的。链接到基地组织的计算机都可以获得各种计算机“破解”工具,旨在引起灾难性的破坏。
它们正在攻击您的程序 - 您准备好了吗?
计算机攻击已成为一个非常严重的问题。1997 年,CERT/CC 报告发生了 2134 起计算机安全性事件,并报告了 311 个截然不同的安全性漏洞;到 2002 年,所报告的计算机安全性事件已上升至 82094 起,而安全性漏洞则上升到 4129 个。计算机安全性协会(Computer Security Institute,CSI)和旧金山联邦调查局(Federal Bureau of Investigation,FBI)计算机入侵小组于 2003 年调查了 503 家大型公司和政府机构,发现其中有 92% 的被调查者都报告受到过攻击。这些被调查者中,有 78% 确认他们的因特网连接经常受到攻击,并有 36% 确认他们的内部系统经常受到攻击。有 75% 的被调查者承认他们受到了经济损失,尽管只有 47% 的被调查者可以确定他们损失的具体数目;但这些可以确定具体数目的组织的损失超过了 2 亿美元。
攻击持续升温的原因有许多。计算机在不断地联网,这使攻击者能比较容易地攻击世界范围内任何联网的计算机,而不会有什么风险。计算机已经非常普及;它们现在控制着比较多的具有价值的东西(这使它们值得进行攻击)。过去,顾客十分愿意购买不安全的软件,所以根本没人愿意出钱开发安全的软件。
电子世界现在是一个危险程度更加高的地方。今天,我们要求几乎所有的应用程序都是安全的应用程序。例如,实际上我们要求每个 Web 应用程序都是安全的应用程序,因为不可信的用户可能向它们发送数据。甚至那些显示或编辑本地文件的应用程序(如字处理器)都必须受到保护,因为有时用户将显示或编辑以电子邮件方式发送给他们的数据。
如果您在开发软件,那么您就是身处战场,需要知道如何保护您自己。遗憾的是,大多数软件开发人员从未知晓如何编写安全的应用程序。
本专栏将帮助您了解如何编写安全的应用程序。学校里很少会教这类信息,其它地方也不太会讲授这一主题。如果您学习了本专栏,那么您将能够保护您的程序,避免当前所用的最常见的攻击。尽管我们主要讨论 Linux 操作系统(也称为 GNU/Linux),但是几乎所有的内容都适用于任何类 UNIX 系统,而且其中的许多内容也适用于其它操作系统(象 Microsoft Windows)。
对于这第一篇文章,我将先介绍一些基础知识:安全性术语、改变您的理念、自由/开放源码软件(Free-Libre/open source software,FLOSS)的影响以及确定安全性需求。
术语:这些词表示什么意思?
每一领域都有其自己的术语,而计算机安全性领域中的术语则有些杂乱无章,其中充斥着首字母缩写词和易混淆的词。以下几个定义应该有所帮助:
攻击者(attacker)(也称为非法闯入者)是这样的人:他试图使程序或计算机做某些事情,而这些事情是明确禁止做的,如为了获得或更改私有数据而闯入不属于他们的计算机。