Linux為美國以外的其它國家提供了自主發展操作系統的一條捷徑。主要是因為Linux操作系統本身的源代碼是公開的,操作系統開發方可以對源代碼自由修改並且從新編譯成二進制機器碼,也就是說用戶可以對系統及網絡安全的源代碼根據自己的需要在進行研究後而進行修改從而輕松擁有自己版本的操作系統。而特別是在網絡安全方面,Linux的關於防火牆及其它網絡安全協議的源代碼公開性使商家能夠更加了解操作系統安全的弱點及漏洞所在,通過對源代碼的修改對安全進行加強鞏固。可是僅僅是源代碼公開並不能解決網絡不安全的問題。
由於對源代碼進行編譯的編譯程序GCC及Linux的內核(Kernel)程序本身有諸多弱點,這就造成了躲在防火牆後面的Linux系統程序仍然極其容易受到網絡黑客的襲擊。
防火牆僅僅提供了最基本的網絡保護
防火牆的主要目的是封鎖不必要的端口,並且對網絡通訊數據進行轉接過濾。但是只要有開放的端口,網絡侵襲便是在所難免。如一般單位網絡服務器端口,通常為80號端口,網絡服務器主要任務是為用戶發送網頁因此必須全天開通。而黑客則可以通過浏覽網頁的HTTP協議輕松通過80號端口穿過防火牆從而對服務器進行攻擊。舉個例子說,防火牆就好象是一道密集鐵絲網,雖然它可以擋住豺狼虎豹的襲擊,可是馬蜂蚊子還是可以輕松穿過。
GCC的內在漏洞造成服務器易受攻擊
由於GCC源於網絡前時代,因此對不少由網絡而衍生的特殊情況毫無准備。GCC有諸多內在弱點,包括輸出命令printf對特殊狀態檢查不足及對參數值變量值范圍檢查不足等兩點,這些兩點劇情網會導致內存地址輕易受到突破性侵襲。由GCC加工編譯而成的Linux服務器自然就攜帶了GCC的弱點。這種情況與遺傳性基因疾病非常類似,只要是GCC編譯成的程序均有此遺傳性弱點。黑客經過80號端口通過HTTP協議便可以對組成服務器的printf發送怪異數值或者對其它內存參數值輸入超大或者超小值,服務器程序對此特殊狀態不知所措便會在內存內胡亂讀取內存地址及內容,黑客在獲得內存地址後便可對其進行修改從而達到從修改網頁內容到癱瘓服務器等各種非法目的。
GCC是Linux,Unix及BSD系統源代碼的主要編譯程序 修過計算機編程課程的朋友大多使用過GCC。GCC是對C/C 語言及一些其它語言進行二進制碼編譯的大型程序。Unix家族有三大獨立成員,他們分別是美國電報電話公司(AT&T)的Unix, 伯克萊大學(UC Berkley) 的BSD及Linux。GCC目前是U用友通反記賬nix家族操作系統的主要編譯工具,全世界范圍內由GCC編譯而成的現行服務器不計其數,也就是說黑客們可以侵害的對象群非常龐大。
治標要治本
GCC的漏洞可以通過對源代碼進行保護性修改來彌補。如對網絡服務器的源代碼中所有的用戶輸入參數進行參數值范圍檢測,對超大及超小的輸入值不予通過。但是這樣的做法會使源代碼數量及復雜性大大增加,既費時又難以維護。而對GCC編譯器程序的改善則是一個更好的辦法。對擁有Linux的單位來說只要用經過安全改善的新版GCC對現有源代碼從新編譯便可以輕松把安全等級提高到一個新的水平。目前世界上有多個組織及個人正在致力於對GCC改善的研究和開發。美國的Immunix(譯:免疫Unix)是目前世界第一家把GCC改進版進行商業化的高科技公司。該公司的GCC改進程序屬於GPL協議范圍,也就是對編譯器GCC修改改善的源代碼本身也是公開的。
網絡安全前景不容樂觀 雖然目前的幾個主要漏洞可以通過對GCC的修改補充來填補,但是由於GCC程序非常龐大,可能存在的潛在漏洞還是很多。俗話說:“道高一尺,魔高一丈”,全世界范圍內的黑客正在對GCC及Linux和微軟操作系統內核的各種潛在漏洞進行潛心研究,網絡安全目前的局面是“易攻難守”,黑客們在發現新漏洞後可以迅速發動大規模攻擊,而對漏洞的所在的發現和隨後的彌補措施則是相對緩慢的。 筆者認為我國自主操作系統的開發及源代碼自主是一件鼓舞的事情,但是對源代碼編譯程序的學習和了解也同樣重要。
