软件安全败局启示录
GEEKONOMICS The Real Cost of Insecure Software,1E
“David的清晰观点和有力论断真正令人鼓舞。如果你不相信软件世界影响了我们生活的世界,那么你一定要读一读这本书。”
—Lenny Zeltzer, SANS Institute教授,Savvis, Inc 的纽约安全顾问经理
不安全、粗制滥造的软件的代价令人担忧……
如何最后修复问题,本书给出了彻底的论述!
60亿碰撞实验假人:为什么你现在所处的风险远远超乎你的想象。
你付出代价:为什么消费者要从法律和财务上为软件制造商的错误负责。
打破的窗户:软件如何加速计算机犯罪的流行并威胁国家安全
谁控制着整场表演?为什么软件制造商要抵制美国食品和药品管理局保护美国血液供应的企图?
保护国家基础设施:改革软件生产的真正动机。
拯救信息高速公路:在一个充满不安全代码的世界中的实践性、必读之建议
无
对于什么是不安全的软件,它们如何影响我们的生活,以及为什么应该关注它们等问题,读者可能略知一些,也可能不甚了解,这没什么。本书旨在向读者介绍软件对现代社会影响的概况和结果,而不会讲那些只有专家才理解的术语或关注的细节。本书只需要读者对这些问题有一些好奇心而已。
尽管我们每天都在使用软件,例如,我们的移动电话中携带着软件,我们用软件驾驶着汽车,在家用和商业计算机中使用着软件,但软件本身却是隐藏着的,它是机器的灵魂。软件是一种只在某些时间发挥功能的神秘之物。我们的问题就在于此。
软件是构成现在基础设施的要素。软件不仅被注入到越来越多的商业产品和服务中,而且政府也越来越多地使用软件来管理生活的细节,用它来分配我们作为公民所享受的利益和公共服务,并管理和保卫整个国家。我们每天如何、何时接触软件,以及软件如何、何时接触我们,已经由不得我们选择。软件的质量举足轻重,它保护我们免受损害和被利用的水平比以往更加重要。
举例来说,在2007年中,爱沙尼亚共和国的很大一部分国家基础设施陷入瘫痪长达两个多星期之久,原因是受到成千上万来自先前被俄罗斯黑客劫持的个人计算机的攻击,爱沙尼亚因在各种私人和公共活动中广泛使用的计算机网络而素有“欧洲连线最多的国家”的称号。爱沙尼亚完全被攻击淹没了,以至于国家领导者切断了他们和Internet的连接,这同时也切断了国家与世界其他地方的经济和通信命脉。正如一位爱沙尼亚官员悲叹道:“我们又回到了石器时代……”那么,计算机攻击的原因是什么呢?因为俄罗斯政府反对爱沙尼亚将苏联时代的战争纪念铜像从其首都塔林(Tallinn)的市中心移到一个军事公墓。
参与攻击的成千上万台个人计算机的所有者都是无辜者,它们是世界各地的商业、政府和家庭用户,根本不知道自己的计算机被当作攻击另一个国家及其人民的武器。这样大规模的劫持之所以成为可能,很大程度上是因为不安全的软件,即包含制造缺陷的软件,这些缺陷允许黑客劫持并远程控制计算机系统。软件购买者所采用的传统防御措施(例如防火墙、反病毒软件和软件补丁)几乎没有帮助,也无法纠正任何使攻击有机可乘的软件制造实践。
同年,来自IBM的Internet Security Systems的一位经验丰富的“安全研究者”(对黑客的美称)远程闯入并劫持了美国的一家核电厂的计算机系统。而该工厂的经营者声称他们的计算机系统不可能从Internet被访问,但是显然他们错了。这位安全研究者在完成试验后声明:“事实证明,这是我所做过的最容易的一次渗透测试。第一天,我们就进入了网络。在一周之内,我们就控制了这家核电厂。我想‘上帝,这可是个大问题。’”
事实的确如此。
根据全球市场情报机构IDC的观点,曾经访问过Internet的75%的计算机都受到过感染,并在其主人毫无察觉的情况下被用于发起计算机攻击、分发垃圾邮件(spam),以及支持犯罪和恐怖活动。对于令人遗憾的计算机安全现状来说,单单指责黑客或成千上万无辜的计算机用户是目光短浅的,也分散了我们对更深层问题的注意力,同样也不能单单指责那个核电厂的经营者(一些人可能会说他太“马虎了”)。著名的蝴蝶效应(巴西的一只蝴蝶扇动翅膀引起某个很远地方的风暴)无法与软件制造商看似无足轻重的小弱点所导致的后果相提并论。对于不安全软件与劫持核反应堆计算机系统之间的关系,一位分析家这样评论:“这些只不过是bug(软件中的错误),但它们是非常危险的那种。”
爱沙尼亚和核反应堆的故事以及数以千计类似的新事件,揭示了现代基础设施的底层问题。“重大问题”是不安全的软件,并且到处都是这样的软件。从我们的iPhone(仅在其发布两周后就被发现软件中包含一个重要的漏洞)到笔记本电脑,从XBOX到公共设施,从家用计算机到金融系统,不安全的软件互联到一起,每天都被紧密地编织到文明的结构中,正如美国国防部前部长William Cohen所指出的,出现漏洞的情况已经达到了空前的程度。不安全软件使我们变得脆弱和易受攻击。严峻的形势已经到了无以复加的程度。
全球变暖的威胁已经家喻户晓,极地冰盖可能真的会融化,但不是现在。由于不安全软件的世界级互联而引发的事情为那些原来受到地域限制的社会问题提供了新的破坏范围。软件制造错误只需轻轻扇动一下翅膀,却为我们带来一场巨大的风暴,我们现在只是刚刚开始认识到这场风暴的巨大,以及这些错误所导致的经济代价和社会代价。2007年,“有问题的”软件大约导致美国损失1800亿美元,这几乎相当于当年40%的美国军事国防预算(4390亿美元),超过美国卡特林娜飓风所造成经济损失的55%(1000亿美元),卡特林娜飓风是自安德鲁飓风以来让美国损失最惨重的一次飓风1。更令我们不安的是,1800亿美元可能被远远低估了。
自从20世纪60年代以来,软件行业内外的人们就开始努力提高软件的质量、可靠性和安全性。一些聪明人一直在关注着你。对此,这些努力应该受到赞扬,但努力的结果却是复杂的。
经过软件制造商合力提高软件质量、可靠性和安全性的40年努力后,卡耐基-梅隆大学的软件工程研究所(SEI)在2000年宣布软件变得更糟了,而不是更好(该研究所是软件研究和改进的重要贡献者)。SEI的这个声明与美国食品和药品管理局的警告颇为类似,后者警告21世纪的仪器质量比厄普顿·辛克莱尔(Upton Sinclair)在1906年创作《The Jungle》一书时更差2。和大部分与消费者保护和国家安全相关领域的进展不同,“有问题的”软件的改进之路是曲折的。
虽然软件制造中的技术复杂性可能是造成软件现状的一部分原因,但本书的观点是,即使有效的技术解决方案广泛可用,市场动机也不会促进更好、更安全的软件,而是起到反面作用。这对于我们所有人来说都是一种令人担忧的后果。
动机很重要。人类的复杂性和易变性是众所周知的,人们将做任何对自己有利的事情。这种行为本身并没有错误。追求个人利益的最大化是正常、合理的人类行为。然而,由于社会是由各种互相竞争、不一致和矛盾的动机组成的一个“大沼泽”,因此复杂性上升,这些动机导致形形色色的后果,其中一个人的行为可能会对另一个造成不利影响。在自由的市场经济中最容易观察到人们的日常行为方式。同时,本书是通过人性和经济学的透镜来讲述软件的故事,而不是通过技术的透镜。
如果仅仅将不安全软件理解为一种技术现象,可以通过其他技术现象来解决,那么就忽略了更大的问题。软件是人类创造的,它并不神秘,也不是魔术。它本来也不一定使我们变得脆弱和易受攻击。要理解软件及其对社会的意义,需要理解人们的行为方式,而不一定是软件的行为方式。更具体地讲,本书将展示驱使人们制造、购买和使用不安全软件的各种动机。简而言之,动机影响任何人类行为,如果不理解驱使人们从事或远离某种行为的动机,那么所有可能有助于解决不安全软件问题的潜在技术解决方案都将失去用武之地,或更糟的是,从来不曾创建这样的解决方案。在经过40年有争议的改进努力之后,这变得更加明显了。
就像对于任何复杂问题一样,特别是对于软件制造这样的复杂问题,很少有“正确的”答案来回答如何解决这个问题。然而,有一些接近复杂问题的方式是值得我们考虑的,它们比其他方式更有效。保护经济和国家安全不受不安全软件的影响既是一个重要的技术问题,也是一个同等重要的经济问题。我们知道软件像它的缔造者一样复杂和多变(如果不是更复杂的话)。但作为人类创造的产品,我们不需要完全理解不安全的软件,而只需要让人们停止创造它。这就是动机的来源。
基本上,经济学家们至少在某种程度上教给我们如何正确地获取动机。当然,当经济学家们预测特定动机的预期效果时,他们也不总是正确的,但他们使我们能够从一个科学的角度来走近复杂问题,并做出更合理、更明智的决策。通过使用和分析数据(即使是不完善的数据),经济学家使我们能够看到这个世界的现在、过去和未来。动机带领我们踏上所期望的未来之路。作者认为,这个未来是一个稳固、安全的全球基础设施,从而推动人类超越最大胆的梦想。
本书有三个主题:
●首先,软件正在成为现代文明的基础。软件构成或控制了人们从小到大的各种日常活动所依赖的产品、服务和基础设施。
●其次,软件目前的工程实践尚不足以担当“基础”的角色。信息基础设施是国家基础设施中唯一受到破坏性考验的一个部分。即软件在发布时包含软件购买者已知和未知的漏洞,购买者必须在安装后(或者在丢失核电厂的控制权之后)修复这些漏洞。后果已经变得十分明显,并且对于我们所有人来说是一种不祥的预示。
●最后,不仅那些可以提高软件质量、可靠性和安全性的重要经济、法律和法规动机不存在,而且真实存在的市场动机也是不正当的、无效的或歪曲的。改变了动机,也就改变了不安全软件的故事和结果。
由于软件和软件制造的复杂性,没有哪一门学科能够全面、有效地解决目前的问题,甚至连经济学这样强大的学科也无能为力。同时,本书还包含零星的心理学、物理学、工程学、哲学和犯罪学分析,这些内容大部分限定在动机上下文的框架中。本书不包含不安全软件的完整故事,而只包含一位作者实际在一本书的篇幅内所能包含的那些部分,目的是传授知识、激发兴趣和启发。
我喜欢软件。尽管在不安全软件,特别是软件制造商方面,我的写作笔调总是那么犀利和急迫,但我确实欣赏我能够用软件所做的所有事情,如果没有软件,这些事是不可能快速、有效或廉价地完成的。与传统打字机相比,使用文字处理器来写作本书无疑更加容易(我已经20年不使用打字机了)。但每件东西都有代价,而且并不是所有代价在一开始就是很明显的。本书原稿的存储位置不下三个(笔记本硬盘、U盘、网络存储),就是为了以防万一,有的事情是不可避免的。在我写作本书的过程中,我的字处理器应用程序(现在还没有名字)崩溃大约40次。如果没有软件,本书的写作不会比原来的方法快。这是毫无疑问的。然而,如果没有可靠的备份,本书根本就不可能完成。
具有讽刺意味的是,在本书的写作中,我试图避免喋喋不休地叙述软件灾难,以免陷入“恐惧、不确定、怀疑”的论调中,这种论调经常会污染和困扰有关软件安全的讨论。然而,我的很多非专家审阅者(非专家人士是本书的目标读者)认为我对软件制造商是不公平的,因为我没有提供必要的证据,来说明为什么软件制造商应该为威胁到文明基础而受到一定的责备。“需要什么样的证据?”我问道。答案是,叙述软件灾难可能会有帮助。因此,我希望本书所提供的灾难叙述被看作为一种必要的上下文和视角,以便那些不熟悉不安全软件主题及其影响的读者能够理解,而这并不是本书的主要焦点。
致谢
衷心感谢为本书出版做出贡献的每个人。我的第一份,也是最深的谢意献给我的妻子,是她的耐心、支持和反馈意见使得本书成为可能。感谢Ed Skoudis,他为我联系了Addison-Wesley出版社,并在圣地亚哥与我一起进行了“头脑风暴”来为本书命名。感谢我的亲密朋友Becky Bace和可信赖的同事Alan Paller、Howard Schmidt、Stephen Northcutt、Richard Salgado、Lenny Zeltzer、Slava Frid、Randy Sabbet、Daniel Jackson,以及大量“信息安全经济学研讨会”上的贡献者。特别的感谢必须送给Nick Bleech,他坦白和公正的评论以及在审阅手稿中投入的大量时间为我提供了巨大帮助。
我还必须感谢所有研究人员、作者和记者,他们的写作对于建立本书的主题和解释提供了不可估量的价值。这里有太多的人需要感谢了,我在本书的注释里尽我所能对他们的言论和思想表示了感谢。还有很多朋友由于他们的工作性质而甘当无名英雄。他们帮助我在信息安全艺术中的工作迈出第一步,使我在技术和教育的经历中受益匪浅。没有他们,我在软件安全方面的知识将极为匮乏。感谢你们。
还要感谢出版和编辑人员。首先感谢Jessica Goldstein,他令我在大部分创作过程中保持清醒,他的指导为本书提供了非常宝贵的价值。与你一起工作非常愉快,感谢你。感谢开发编辑Chris Zahn和Sheri Cain,他们在结构和流程上的深邃见解对于保持我的创作动力给予了莫大的帮助。此外还要感谢Romny French和Kristy Hart。
软件安全败局启示录 GEEKONOMICS The Real Cost of Insecure Software,1E “David的清晰观点和有力论断真正令人鼓舞。如果你不相信软件世界影响了我们生活的世界,那么你一定要读一读这本书。” —Lenny Zeltzer, SANS Institute教授,Savvis, Inc 的纽约安全顾问经理 不安全、粗制滥造的软件的代价令人担忧…… 如何最后修复问题,本书给出了彻底的论述! 60亿碰撞实验假人:为什么你现在所处的风险远远超乎你的想象。 你付出代价:为什么消费者要从法律和财务上为软件制造商的错误负责。 打破的窗户:软件如何加速计算机犯罪的流行并威胁国家安全 谁控制着整场表演?为什么软件制造商要抵制美国食品和药品管理局保护美国血液供应的企图? 保护国家基础设施:改革软件生产的真正动机。 拯救信息高速公路:在一个充满不安全代码的世界中的实践性、必读之建议
David Rice:暂无简介
赵俐; 盛海艳:暂无简介
虽然软件和网络的发展时间很短暂,但它们凭借其超凡的魅力和速度迅速地走进了世界的每个角落,信息化和网络化已经成为提高企业竞争力、促进社会发展和改善人民生活的必须和必然的选择。软件和网络,特别是因特网,正在掀起一场史无前例的信息革命,同时也为我们提出了许多不容忽视的挑战。随着软件重要性的日益提高,安全问题也变得越来越突出。那么软件安全到底有多么重要,它对我们的现代文明有些什么影响呢?我们又该如何解决软件安全问题呢?本书正是围绕这些问题展开深入细致的讨论。
作者从动机入手,以细腻的描写和精辟的阐述为读者展现了软件安全现状,说明了为什么软件制造商会生产不安全的软件,以及用户为什么会选择这样的软件。书中运用了大量生动的类比,列举了丰富的实例,深刻揭示了软件市场中各类参与者的动机和行为方式。全书以动机为框架,主要从经济学角度来阐述软件问题。此外还从心理学、物理学、工程学、哲学和犯罪学等多个角度进行了全面的补充。
本书共分为7章。第1章以水泥作为类比,讨论了软件对于现代文明基础设施的重要性。第2章凸现了软件用户面临的危险现状。第3章通过“破窗理论”阐述了软件漏洞的危害。第4章说明了当前管理层的弊病。第5章指出了软件行业是如何逃避责任的。第6章讨论了开源软件的利弊,以及开源软件与专有软件的区别和共同弱点。第7章展望未来,提出了应该建立怎样的动机来改变软件的未来。最后的注释部分提供了书中相关引用的出处以及一些特定问题的解释。
本书有三个主要目的,首先是介绍软件的安全现状,其次是分析不安全软件可能带来的现实代价,最后是分析市场参与者当前的动机,以及要改变现状,需要什么新的动机。
本书是2008年Jolt大奖提名图书。我们在翻译过程中,不仅领略了作者的生动文采,也体会到了作者的深刻用心。作者旨在讲述一个故事—不安全软件的故事。这个故事应该让所有人知道,特别是那些尚未充分认识到软件影响力的非专业人士,因为软件影响到了我们每个人的生活,也影响我们的现在和未来。
本书作者David Rice是一位成就卓著的信息安全专家、教育家和思想家。10年来,他为全球政府和私营企业的IT网络提供咨询、建议和保护。David目前任The Monterey Group的总裁。
本书由盛海艳组织翻译,参与翻译和校对工作的人员包括赵俐、马燕新、王善凤、王举华、盛海艳、盛立良、于波等。赵俐完成了本书的统稿和审校工作。衷心感谢机械工业出版社华章分社陈冀康先生在翻译工作中给予的精心指导和宝贵意见,同时感谢华章分社编辑所做的大量工作,使本书得以顺利、快捷地出版。由于时间仓促,译者水平有限,在翻译过程中难免会出现一些错误,恳请读者批评指正。
目 录
译者序
前言
第1章 文明的基础 1
1.1 软件与水泥 3
1.2 在“功用性”阴影的笼罩下 7
1.3 脆弱的类比 10
第2章 60亿人充当“碰撞实验假人”:非理性的创新和
不正当的动机 13
2.1 碰撞实验假人的故事 16
2.2 五星级评级系统的使用和发展 18
2.3 我们可以从碰撞假人中学到很多 20
2.4 个人利益,社会代价 26
2.5 市场失败的马提尼酒,不加冰块 29
2.6 对速度的需求 33
2.7 补丁的弊病 37
2.8 非理性创新 41
2.9 市场失败的马提尼酒,加一片柠檬 45
2.10 掩饰:马提尼酒的残留物 47
第3章 漏洞的力量:破窗理论与国家安全 50
3.1 只有蠢人被抓住 51
3.2 地下市场 57
3.3 数字并不总能作为度量标准 59
3.4 欺诈和恐怖活动 62
3.5 信息战争 64
3.6 破窗理论 67
3.7 自购买那一刻起就是破损的 71
3.8 看不到的风险 74
3.9 走进“龙”的世界 77
3.10 内部的邪恶 80
3.11 修补打破的窗户 83
第4章 短视的监督:因速度而盲目,因混沌而受阻 86
4.1 搅乳定律,速度的评判 87
4.2 完全放任的后果 90
4.3 超乎想象的X光 93
4.4 请不要影响我们的速度,我们需要生存 95
4.5 只有在损失发生后才发现 96
4.6 来历不明的旋钮 98
4.7 我们将遵守法规,但只是在以后 101
4.8 盲目追求速度 103
4.9 我们从州际高速公路体系能够学到很多 107
4.10 信任的力量 112
4.11 艺术中的技艺 115
第5章 绝对免疫:你无法控告我们, 即使你想这样做 119
5.1 失败的力量 123
5.2 过失的免罪 125
5.3 边界纷争的受害者 129
5.4 责任、破坏、起因、损害 135
5.5 用“心灵运输法”传送老虎 138
5.6 预防成本最低者 141
5.7 过失与严格责任 143
5.8 剥夺免疫 145
5.9 严格责任与领航图 148
5.10 由于过失而支持计算机犯罪是一种侵权 155
5.11 裁决是什么 158
第6章 开源软件:免费,但代价是什么 162
6.1 开放的与封闭的 162
6.2 自由和开放的历史 167
6.3 “搔痒”的动机 172
6.4 可持续安全的问题 176
6.5 分布式免疫:无法指责任何人 179
6.6 摘去巫师帽 180
第7章 前进:建立合理的动机,创造不同的未来 182
7.1 请勿动手 184
7.2 用侵权理论改变现状的困难之旅 192
7.3 一枚戒指约束所有人 194
7.4 “伟大的”螺丝 201
7.5 充满漏洞的市场 205
7.6 小结 212
结束语 213
注 释 215
