旅人行腳 |
瓦哈拉的塗鴉簿 邪惡帝國 (Oct 18, 05) | |||||||||||||||||||||||||||||||||||||||||||
「如果建築師在蓋房子的時候態度上和程式設計師寫程式一樣,那麼一隻啄木鳥就足以毀滅全人類的文明。」 我幹過這一行,看到這個笑話時不太笑得出來。 所以,你今天下載了微軟最新的服務更新嗎? 如果你定時去下載所有重要的更新,會發現項目真是五花八門,凡是微軟發行的軟體沒有不被徹頭徹尾補釘(Patch)得面目全非的。看看標題,每一個列為「重要」的都說是修補了某個新發現的安全漏洞,可以防止遠端惡意的使用者或程式侵入你的電腦系統云云。雖然你可能覺得這些更新像是預防某種發生在火星的瘟疫的疫苗,但多半還是會無條件接受,下載並安裝所有微軟網站上每一個建議的修補。但是你曾經看過每一個更新的詳細說明嗎? 雖然說法大多千篇一律,但是偶爾看到讓我好奇的更新我會仔細看看。不久前下載Internet Explorer服務更新時看了一眼說明,對微軟律師團的文采嘆為觀止。茲抄錄如下: "Security issues have been identified that could allow an attacker to compromise a computer running Internet Explorer and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer." 英文裏頭有很多用字大有講究。像Security issues用issue而不是problem或bug,表示這只是個爭議或討論,而不是微軟的責任。上面那段話翻譯成淺顯的白話文就是”我們發現了新的安全顧慮。攻擊者有辦法侵入那些執行Internet Explorer的電腦並取得控制。只要下載並安裝此更新,你可以幫助保護你自己的電腦。安裝後請重新開機。”整段文字看起來,微軟像是個老好人,義務幫助使用者解決「他們自己的」安全問題,整個問題好像和微軟完全無關。 我看了裏頭幾個「安全顧慮」的單項說明,大多是利用緩衝區溢載的意外處理程序取得對電腦的控制。其中一個我覺得非常離譜的是攻擊者可以做出特殊的圖形JPG檔放在他的網站上,只要有使用IE的用戶去該網站,下載這張圖就可以引發攻擊,讓惡意程式在使用者電腦上被執行,進而取得對電腦的控制。 IE的功能應該只是網頁瀏覽器,在正確的系統架構下,瀏覽器只是一個外圍的應用程式,即使有bug也頂多是中止執行,怎麼樣都不應該影響核心的作業系統,導致整個電腦門戶大開。難道是微軟設計不當? 你可能還依稀記得幾年前Netscape控告微軟把IE瀏覽器整合在視窗作業系統裏一起賣。大部分的微軟使用者大概都支持微軟,覺得把所有用得到的軟體全綁(bundle)在一塊方便得多。微軟的陰謀(或者說「策略」)也正是用作業系統綁應用軟體,故意在架構上不分彼此,互為表裏,狼狽為奸,使作業系統看起來功能花俏而豐富,也使應用軟體直接控制作業系統核心,功能遠遠超越競爭者的同類應用軟體。微軟的企圖不光是在作業系統的領域獨大,更用作業系統的優勢在應用軟體的領域和其他公司做不公平的競爭,進而建立獨大的軟體大帝國。 因為系統架構刻意的曖昧,使微軟的周邊應用軟體成了安全的罩門,因為它們和作業系統根本就無法分割,自然提供了攻擊者各種後門,只要有想像力,就可以做出一個新的惡意木馬程序。如果我告訴你控制電腦遊戲與影音介面的DirectX裏頭也有個類似的「安全顧慮」讓你的電腦在遊戲之間後門洞開,你也不應該覺得意外。真的有這個bug及更新,不信去微軟網站找。 這還只是安全問題的部分層面。你如果在中大型公司混過,可能會發現有個很大的部門,一般叫 IT(資訊技術)。你大概常會發現有人在不知不覺間對你的電腦動了些手腳,有時候他們會正大光明告訴你,比如說自動下載了微軟最新的更新,防毒軟體更新或是安裝了某些新軟體。有時候是偷偷摸摸動手腳,比如清查記錄你電腦上所有安裝的軟體,檔案目錄,或是其他種種違反隱私的勾當。一般而言 IT 規模愈大的公司對個人隱私的侵犯就愈嚴重。其實 IT 部門的立意無可厚非,不但能幫助不擅於高階電腦操作的一般人排除障礙,更能標準化全公司的軟體環境。但是如果要一台台電腦用人工方式操作,成本過高而且也不可行。IT 部門須要有一種辦法,能讓他們在遠方控制,連結監管全公司網路之下的電腦。微軟恰當地提供了這個功能,所以大企業的電腦系統幾乎沒有人用視窗之外的作業系統。但是仔細想想這個功能:允許遠方的系統管理者安裝軟體,控制並監管檔案系統以及執行程式,這和駭客幹的事其實沒兩樣。在作業系統裏提供了這樣的功能,就等於開放了這個可能性,讓任何有能力而有惡意的人能攻擊你的電腦。 其實微軟最可惡的地方是作業系統並沒有真正區分是個人用或是企業用。對個人而言,當然不會有「好心」的系統管理員自動替你更新軟體,所以遠方管理的功能根本用不上,而大多數的個人使用者又沒有足夠的知識經驗去關閉防堵這些「遠方管理」功能,徒然留下後門讓駭客入侵。 微軟每一個新的作業系統在上市前都誇海口宣稱是歷來最「安全」的作業系統,我還依稀記得XP上市前的廣告。你如果去微軟網站找下載,大概不難找到XP Service Pack 2,整個下載檔大小將近300 MB,56K的電話線下載要花將近十一個小時。展開後大概有將近一張CD的容量,換句話說,整個XP作業系統每個模組都被更改過,因為規模太大,所以等於是整個作業系統軟體重建。 我覺得「安全」真是個奢侈的概念。 微軟新一代作業系統正在緊鑼密鼓準備上市,你會期待它在架構上有任何革新或解決存在已久的安全問題嗎? 聖人不死,大盜不止。 | |||||||||||||||||||||||||||||||||||||||||||
瓦哈拉首頁 | 前一則 | 後一則 | |||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||
瓦哈拉首頁 | 前一則 | 後一則 | |||||||||||||||||||||||||||||||||||||||||