最近連續(xù)發(fā)生數(shù)起攻擊自由開放源代碼軟件服務(wù)器事件�,使得開發(fā)人員不得不謹(jǐn)慎應(yīng)對(duì)這種最新局勢(shì)�。
過去四月來(lái)�����,不明入侵者接連攻破Linux核心開發(fā)小組�、Debian Project、Gentoo LinuxProject與GNUProject等專門放置程序與源代碼的服務(wù)器��。GNUProject更是管理許多Linux與其他類Unix系統(tǒng)所使用的重要程序開發(fā)��。接二連三的攻擊事件也讓這些專案領(lǐng)導(dǎo)人紛紛
回頭查看自己的安全���。
“這批主要針對(duì)開放源代碼服務(wù)器與核心開放源代碼開發(fā)服務(wù)器的攻擊的確引人側(cè)目���!必(fù)責(zé)GentooLinux源代碼擴(kuò)散系統(tǒng)的成員CoreyShields表示�。“大家擔(dān)心的是有人意圖不軌��,刻意變更核心軟件�����,那使用者用到的都是被動(dòng)過手腳的產(chǎn)品����!
雖然微軟的Windows向來(lái)是黑客主要瞄準(zhǔn)對(duì)象���,但在開放源代碼模式逐漸成為氣候之后����,現(xiàn)在也成了攻擊者覬覦的對(duì)象。LinuxOS與其他開放源代碼應(yīng)用越來(lái)越熱門�,黑客興趣也跟著大增。即使自認(rèn)為已經(jīng)做好相關(guān)安全措施的開發(fā)人員現(xiàn)在也不禁開始擔(dān)心這種趨勢(shì)��。
“大家都不希望自己是下一個(gè)受害者�,必須跑在黑客之前做好保護(hù)措施才行���!盨ambaProject(可兼容于Windows網(wǎng)絡(luò)的熱門開放源代碼文件服務(wù)器計(jì)劃)共同創(chuàng)始人暨開發(fā)人員JeremyAllison表示��。
一連四起
12月1日�,專門提供Gentoo源代碼下載的一臺(tái)服務(wù)器(總數(shù)105臺(tái))遭入侵�����,所幸主要的源代碼數(shù)據(jù)庫(kù)并沒有遭到威脅�。遭入侵的服務(wù)器上所安裝的安全軟件立即偵測(cè)到這種攻擊,并做了完整的紀(jì)錄��。
在此之前����,11月份的一起攻擊則瞄準(zhǔn)Linux核心(kernel),此次是一位開發(fā)人員的系統(tǒng)被入侵用來(lái)當(dāng)作攻擊踏板����,該入侵者利用被入侵的電腦來(lái)發(fā)送源代碼給另一臺(tái)服務(wù)器,若有人安裝該源代碼��,便可能遭到攻擊者取得系統(tǒng)權(quán)限�。該起攻擊事件在24小時(shí)便被偵測(cè)到。
其他攻擊事件則更為嚴(yán)重�����。入侵者取得進(jìn)入GNUProject開發(fā)系統(tǒng)Savannah的權(quán)限��;另一起事件中��,四臺(tái)用來(lái)管理Debian版本開發(fā)與社群作為的DebianProject服務(wù)器也被取得完整權(quán)限����。
兩起攻擊行徑都相當(dāng)類似:入侵者先取得合法的使用者登入帳號(hào)密碼,再利用一個(gè)最近被發(fā)現(xiàn)的Linux核心漏洞取得系統(tǒng)所有人的權(quán)限���。Debian與GNU計(jì)劃領(lǐng)導(dǎo)人目前先把系統(tǒng)下線�,開發(fā)人員全都無(wú)法存取��,直至確定安全無(wú)虞后才會(huì)再開放。
GNU Project表示最近這起攻擊事件�����,加上稍早三月FTP服務(wù)器被侵入事件�,導(dǎo)致領(lǐng)導(dǎo)階層開始做些改變以為應(yīng)對(duì)。
新增數(shù)字簽名
“我們預(yù)期在Savannah事件后會(huì)采取一些行動(dòng)���,”自由軟件基金會(huì)法律長(zhǎng)EbenMoglen表示�,該基金會(huì)負(fù)責(zé)GNUProject�,專門提供Unix與Linux系統(tǒng)專用的自由軟件。這些行動(dòng)包括����,專案領(lǐng)導(dǎo)人會(huì)強(qiáng)迫開發(fā)人員在所有貢獻(xiàn)的源代碼中做數(shù)字簽名程序,同時(shí)也會(huì)在公開給大眾的開放源代碼維護(hù)系統(tǒng)中新增額外的功能���,在接受任何變更前會(huì)先檢查開發(fā)人員的數(shù)字簽名��。
“我們認(rèn)為新增數(shù)字簽名是最有效的辦法��,可確保我們接受源代碼的完整性����!盡oglen表示��。
GNUProject將自己所提供的程序稱為自由(free)軟件���,因?yàn)檫@些程序在擴(kuò)散時(shí)都得受GNU公共授權(quán)書約束,它允許大家變更并自行重新散播軟件�����,但前提是變更過的源代碼也必須一起擴(kuò)散出來(lái)���。其概念是希望借由大眾的共同參與來(lái)自由共享�、改善���、使用軟件����。
但批評(píng)者認(rèn)為���,這樣的軟件開發(fā)模式也必須付出看不見的代價(jià)�。微軟信息安全總經(jīng)理GregWood表示,“用在商業(yè)流程上���,開放源代碼有其代價(jià)����,企業(yè)必須自行做好安全檢查���,所有流程建立也必須自行負(fù)擔(dān)���。”
微軟也有自己的問題��。例如�����,在2000年十月�����,入侵者便通過某位開發(fā)人員的電腦取得微軟網(wǎng)絡(luò)的使用權(quán)限�����。自此之后,微軟發(fā)起信賴運(yùn)算計(jì)劃(TrustworthyComputing)����,力圖保護(hù)軟件與開發(fā)流程的安全性。
開發(fā)人員指出�,最近幾起攻擊事件雖然導(dǎo)致不肖份子取得部分電腦的權(quán)限��,但對(duì)于開發(fā)部分并不受影響�,因?yàn)檫@些計(jì)劃已經(jīng)采取相關(guān)的安全措施作為回應(yīng)。
“最近幾次入侵事件都能很被快發(fā)現(xiàn)�,主因是主網(wǎng)站多半沒有對(duì)外開放,入侵者若在第二層網(wǎng)站進(jìn)行變更就會(huì)被數(shù)個(gè)安全機(jī)制察覺到��,”Linux核心使創(chuàng)者以及現(xiàn)行維護(hù)者LinusTorvalds表示�����。
Torvalds多次改變安全策略��。早期還在芬蘭赫爾辛基大學(xué)念書時(shí)�,他將Linux核心版本放在一臺(tái)可通過校園網(wǎng)絡(luò)存取的機(jī)器上。現(xiàn)在���,Linux核心服務(wù)器則由多道防火墻保護(hù)著����,并通過SSH加密通訊與加密簽名來(lái)確保完整性。
Torvadls現(xiàn)在所使用的開放源代碼核心維護(hù)應(yīng)用是由BitMore所研發(fā)���,該公司創(chuàng)始人LarryMcVoy強(qiáng)調(diào)���,每個(gè)計(jì)劃都應(yīng)該使用這類簽名(或稱checksums)來(lái)確保開放源代碼沒有被亂改。
“若你的信息沒經(jīng)過checksum檢驗(yàn)��,你覺得不會(huì)有事�,那你就是在自找麻煩����!盡cVoy說。
包括Debian Project�、GentooLinux、SambaProject都已開始采用外部checksums來(lái)檢驗(yàn)文件是否在遭受入侵期間被動(dòng)過手腳���。MandrakeSoft創(chuàng)始人GaelDuval表示�����,這類技術(shù)讓專案維護(hù)工作輕松不少�。
“安全問題不是始于今日,解決方案也早已存在市場(chǎng)��,”Duval說�������!白钪匾氖窍到y(tǒng)管理員與用戶必須重視安全性���。”
不怕被動(dòng)手腳 只怕小蟲
不過Apache軟件基金會(huì)的開發(fā)人員JustinErenkrantz則表示開放源代碼的開發(fā)模式其實(shí)讓安全問題減輕不少����,由于開發(fā)屬于分散式模式,因此還有其他許多信息儲(chǔ)存器(repository)可用來(lái)查看主服務(wù)器內(nèi)的源代碼是否完整�����。
“若apache.org遭到入侵�����,我們可查看每個(gè)開發(fā)人員都能與信息儲(chǔ)存器同步化���,沒有被加入惡意源代碼��������!盓renkrantz表示��。
Torvalds也同意這種看法�����,他表示若核心開發(fā)主服務(wù)器遭入侵�����,開放源代碼社群還是有其他檢驗(yàn)平衡措施可做補(bǔ)救�。
“最重要的是�,最后總會(huì)被查出來(lái),”Torvalds說�����,“核心源代碼不斷被復(fù)制����,我們總是找得出哪里被偷放了不該放的程序���。”
Torvalds認(rèn)為�����,一些簡(jiǎn)單的錯(cuò)誤反而比惡意攻擊者來(lái)得可怕�。
“我個(gè)人比較擔(dān)心一些常見的臭蟲,”Torvalds表示���,“大部分被發(fā)現(xiàn)的核心漏洞都是一些很愚蠢的小蟲,就像Debian被咬到的那只�����,而非什么特別厲害的黑客在干壞事���!
