压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　導語：美國《連線》雜志網絡版近日撰文稱，Shellshock漏洞的曝光暴露出當今互聯網開源軟件領域的一個重大缺陷：由于維護資源和人手的不足，很多漏洞都已經潛伏多年，隨時有可能給當今互聯網造成毀滅性的打擊。

　　以下為文章全文：

　　布萊恩·?？怂?Brian Fox)一路開車從波士頓來到圣巴巴拉，他的后備箱里放著兩盤磁帶。

　　但這既不是錄音帶，也不是錄像帶，而是電腦磁帶，里面存儲著兩大卷軟件代碼和數據。這種磁帶是專門在老式計算機上使用的，現在或許只有在一些電影上才能看到這種跟家具大小相仿的古董。

　　1987年，當福克斯橫穿美國，來到他的新家時，后備箱里的那兩盤磁帶里存儲著一個名為Bash的軟件程序。那是福克斯為UNIX系統設計的一款工具。他允許所有人都使用這些代碼，甚至自由傳播給他人。

　　?？怂闺m然只是一個高中輟學生，但他卻經常與理查德·斯托曼(Richard Stallman)等麻省理工學院的技術大拿們混在一起。這也令他的思維得到了極大的拓展，他內心懷有勃勃的野心，希望創建一款免費、可控而且不受版權限制的軟件。事實上，這種思潮在當時被稱作“自由軟件運動”，其目的是逐步重建所有的UNIX操作系統組件，從而打造一款名為GNU的免費產品，與全世界分享。

　　彼時，開源軟件的大幕正在徐徐拉開。

　　審查機制匱乏

　　?？怂购退雇新敃r并不知道，在此后的幾十年里，他們開發的工具會成為全球通訊基礎設施中最為重要的組成部分。在?？怂箮е莾杀P磁帶來到加州，并重新投入到Bash的開發過程時，其他工程師也開始使用這款軟件，甚至幫助他推進開發工作。而隨著UNIX逐步催生了GNU和Linux——后者已經成為了現代互聯網的重要支柱——Bash也被安裝到數以萬計的設備中。

　　但大約在1992年，一名工程師在Bash的代碼中鍵入了一個漏洞。上周，也就是這個漏洞出現20多年后，安全研究人員終于注意到?？怂归_發的這款古老程序中的缺陷。它們稱之為Shellshock——有了它，黑客便可對現代互聯網造成嚴重破壞。

　　在計算機行業的發展史上，有很多古老但卻始終沒有修復的漏洞，Shellshock只是其中之一。然而，它的故事卻有些不同尋常。今年早些時候，研究人員發現了另外一個名為“心臟流血”的漏洞，它同樣在開源軟件中潛伏了多年。除非我們改變軟件的編寫和審查方式，否則，以這兩個漏洞為代表的趨勢將會繼續對互聯網造成破壞。由于互聯網上使用的軟件都被廣泛使用和重新利用，里面滲透著許多數十年前開發的代碼，其中一些已經成為被人遺忘的角落，沒有人再對它的安全漏洞進行審查。

　　在Bash開發時，沒有人針對它抵御網絡攻擊的能力進行過審查，因為那在當時看來根本沒有意義。“擔心這會成為地球上使用最廣泛的軟件之一，并且遭到惡意人士的攻擊，在當時看來是根本不可能的事情。”福克斯說，“等到這成為一種可能時，它已經被使用了15年。”如今，谷歌、Facebook和所有的大牌互聯網公司都在使用Bash，而由于這款軟件是開源的，所以他們隨時都可以審查其中的問題。事實上，任何人都可以隨時審查該軟件。但卻沒有人真正這么做。這種現狀亟待改變。

　　網絡建立模式

　　以數據容量來看，?？怂沟腂ash程序跟iPhone拍攝的一張照片大小相仿。但在1987年，他卻無法橫跨美國發送電子郵件。當時的互聯網剛剛開始發展，萬維網尚未誕生，而最高效的數據轉移方式，就是放在汽車的后備箱里。

　　Bash是一個外殼程序，那是一種與操作系統交互的黑盒方式，誕生日期早于圖形用戶界面。如果你使用過Windows命令行，就會理解這種模式。這看起來很陳舊，但隨著互聯網在網絡瀏覽器和Apache服務器的推動下逐步騰飛，Bash外殼成為了一種簡單卻強大的工具，可以方便工程師把網絡軟件與操作系統粘合在一起。想讓網絡服務器從電腦文件中獲取信息？只要調用Bash外殼，并運行一系列命令即可。這就是網絡建立的方式——一個腳本接著一個腳本逐步堆砌起來。

　　如今，Bash依然是網絡工具箱的重要組成部分。Mac中可以找到它的身影，幾乎所有使用Linux操作系統的公司也都把它作為連接電腦程序(例如網絡服務器軟件)與底層操作系統的一種快捷而簡單的方法。

　　然而，該程序的主要維護者卻并不效力于其中任何一家大牌企業，他甚至并不供職于科技公司。此人名叫切特·拉米(Chet Ramey)，他在克利夫蘭的凱斯西儲大學當程序員，只是利用業余時間維護Bash。

　　最古老的漏洞

　　1980年代末，拉米接替?？怂梗蔀锽ash的主要維護者。今年9月12日，一個名叫史蒂芬·查澤拉斯(Stephane Chazelas)的人通過電子郵件把發現Shellshock漏洞的事情告訴了他。這正是在上周被公之于眾的那個嚴重漏洞。不到幾小時，黑客就設計出了可以利用這個漏洞的代碼，可以把受此影響的設備組成一個僵尸網絡。

　　拉米無法獲得1990年代早期的源代碼修改日志，但他認為，這個漏洞很可能是自己造成的，時間大概在1992年左右。這使之成為我們在《連線》雜志聽說過的最古老、最嚴重的未修補漏洞。我們向普渡大學教授尤金·斯帕福德(Eugene Spafford)求證此事，他也想不出比這時間更久遠的漏洞。“我想不出還有哪個漏洞存在過這么長時間。”他說，“肯定還有很多比這時間更長的漏洞，但沒有一個能在時間長度和破壞力度上同時比肩這個漏洞。”

　　然而，對于熟悉“心臟流血”漏洞的人來說，這種怪誕的感覺卻似曾相識。那個漏洞是在廣泛使用的OpenSSL開源加密軟件中發現的。與OpenSSL相似，Bash也從未接受過全方位的安全審查，它的骨干開發人員幾乎沒有得到任何財務資助?？上У氖?，這就是互聯網的真實故事。

　　開源軟件的謊言

　　在咨詢公司Errata Security CEO羅伯特·格雷厄姆(Robert Graham)看來，Shellshock揭穿了開源軟件的一個謊言：與封閉的專有軟件相比，開源代碼允許“很多眼睛”審查，而且可以更快地修復漏洞。這在業界被稱為“萊納斯定律”。“如果在過去25年間，真的有‘很多眼睛’盯著Bash，這個漏洞不可能這么長時間不被發現。”格雷厄姆上周在博客中寫道。

　　萊納斯·托瓦茲(Linux Torwalds)是Linux系統的創造者，而“萊納斯定律”正是以他的名字命名的。在托瓦茲看來，這一定律目前仍然有效。但缺陷在于，并非所有的開源項目都會受到“很多眼睛”的關注。“事實上，有很多代碼都沒有吸引太多人的關注。”他說，“許多開源項目都沒有太多開發者參與，甚至包括一些非常核心的軟件。”

　　不過，無論是否開源，任何軟件都會存在這種問題。畢竟，想要知道甲骨文數據庫那樣的封閉軟件究竟有多少漏洞，難度還會更大。大約10年前，由于部分軟件代碼沒有得到適當的審查，微軟面臨了嚴重的安全問題。但當“沖擊波”蠕蟲2003年肆虐Windows系統后，微軟將安全審查視為頭等大事。此后10年，該公司已經提升了代碼的安全標準。微軟花費數百萬美元用于安全審查，還聘請了很多白帽黑客來測試軟件?，F在，開源軟件社區也開始采取同樣的措施。

　　今年5月，就在“心臟流血”漏洞曝光后不久，Linux基金會便投入了600萬美元用于加強多個開源項目的安全性，包括OpenSSL、OpenSSH，以及Network Time協議。但Bash并不在當時的名單上。“這出乎我們的意料之外。”Linux基金會執行理事吉姆·澤姆林(Jim Zemlin)說，“但我們的人員的確在與那些人聯系，看看我們能給予什么幫助。”

　　這很不錯，但關鍵在于，如何才能在漏洞被外界發現前加固互聯網？但愿Linux基金會、谷歌和Facebook能夠做出一些貢獻。

　　即使在Shellshock曝光后，?？怂挂廊粸樗O計的這個項目感到自豪。“他們用了27年才發現了一個漏洞，”他說，“按照使用范圍和漏洞發現的數量之間的比率來看，這實在是太驚人了。”