2010年12月《安全天下事之开源、开放与安全》

开源、开放与安全

(2010年12月) 文/江海客

本月，金山网络宣布部分产品开源，并按照预订的计划路线图逐步公开了漏洞修复等功能模块的代码、公开了云查杀接口。
Windows平台软件，特别是安全软件，选择开源的相对较少，这可能与Windows本身的封闭性有关。尽管有开源的呼吁，但微软目前也只是进行针对一些国家政府机构的代码托管，相关代码是不含加密认证等模块的不可编译代码。站在公共信任的角度，源码开放是一种公众审核机制，而代码托管则是第三方审核机制。因此，相比于Windows的代码托管策略，开放源码的Linux在开放性上获得了更好的口碑和认同。
国内安全界对开源的感情十分复杂。在中国信息安全企业起步的过程中，对IPtable、Snort、Nessus、FreeS/WAN等开源软件的学习和借鉴无疑降低了技术门槛；但技术门槛下降导致人人皆可为之而又不思进取的小厂商林立，把汉化包装成自主原创、同时又不遵守开源许可协议的情况十分普遍。
当然开源的问题也是明显的，从安全风险来看，二进制可执行文件面临的风险主要来自逆向分析、错误注入和一些条件构造，但源代码开放后则面临可能被攻击者进行源码级漏洞挖掘的风险。此外，病毒检测的机理如果被公开，就会有更多病毒制造者学会绕过反病毒机制，或许这也就是金山对云查杀只开放了接口的原因。
但开源如果为主流厂商所引导，就会有很大不同。金山开源应该是在当前国内反病毒桌面竞争的一个胜负手，其对产业的深远影响还需要进一步观察和评估。但可以肯定，对于网络安全爱好者和相关专业的学生，他们有了更多可以参考的范本。同时，也需要提醒安全领域专家学者们，今后在国家科研项目审查中，即使是Windows平台，也要防备有人盗用开源代码应付了事——过去，专家们揪出过很多的Snort马甲、ClamAV马甲，现在来看还会出现金山马甲。最后，还希望金山意识到开源不只是厂商开放代码给大家用，能形成一个对代码开放、共建、共享的体制、让更多人交互的参与，才是开源的精髓。
美国国家标准技术研究协会（NIST）对下一代哈希算法SHA-3的开放式甄选已经到达最终冲刺阶段。从2008年64个算法参选、51个进入第一轮开始，经过长达两年的两轮甄选后，本月有 5个算法进入了最终的决赛名单。它们是BLAKE（瑞士）、Gr?stl（Graz理工大学和丹麦理工大学合作）、JH（伍宏军，新加坡华裔学者）、Keccak（Belgian Daemen团队）和Skein（Bruce Schneier团队）。2012年，我们就将知道SHA-3花落谁家。值得回味的是，MD6在去年退出了，被称为优雅的转身。从DES到AES、从SHA-1到SHA-3，美国这种开放的态度、制定规则的先见，从容地使全世界数学精英为其打工。

新漏洞：
国家信息安全漏洞共享平台（CNVD）发布了48期漏洞通报，共收集、整理信息安全漏洞103个，其中高危漏洞29个、中危漏洞22个、低危漏洞52个。上述漏洞中，可利用来实施远程攻击的漏洞有93个。经跟踪发现，网上已经出现针对“Enano CMS SQL注入漏洞”、“Microsoft Internet Explorer CSS解析远程拒绝服务漏洞”、“Freefloat FTP Server 'USER'命令远程缓冲区溢出漏洞”等的零日攻击代码。
详见：http://www.cnvd.org.cn

新闻：
关于SHA-3算法遴选更多信息可以参见：
http://www.h-online.com/security/news/item/NIST-s-search-for-the-super-hash-just-five-candidates-left-in-SHA-3-final-1151325.html

新产品：
安天发布免费数据恢复工具
http://www.antiyfx.com/a-recovery.html