本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定反映《大众科学》的观点
关于支持科学新闻业
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻业: 订阅。 通过购买订阅,您正在帮助确保未来能够持续报道关于塑造我们当今世界的发现和思想的重要故事。
一份新的报告警告说,您的计算机软件可能没有您想象的那么安全。 系统管理员、审计、网络、安全 (SANS) 研究所是一个位于马里兰州贝塞斯达的合作研究和教育组织,也提供计算机安全培训。该机构周一发布了一份报告,概述了程序员可能犯下的25 个最危险的错误,这些错误可能导致安全漏洞,并为网络犯罪和间谍活动敞开大门。
非程序员可能不会从这份列表中获得太多信息,因为列出的错误都有技术性标题,例如“不正确的输入验证”和“敏感信息的明文传输”。 无论您是否理解它们的含义,这些问题都会影响您使用的大部分软件,并可能将敏感的个人信息暴露给黑客。
考虑一下这种情况:您正在网上买书,但您使用的网站是用包含一些“前 25 名”错误的软件编写的。 用外行的话来说,不正确的输入验证意味着黑客可以将垃圾数据(随机字母、数字和符号)输入到网站“付款”页面上的字段中,导致该页面发生故障,可能允许黑客访问该网站客户的信用卡号(以及到期日期)。 软件代码不包含检查(或验证)输入到给定字段中的数据是否真实的指令(例如,应立即拒绝 20 位数的信用卡号)。 如果网站以“明文”(读作:未加密)传输和存储数据,则它会犯列表中的另一个错误,并使黑客的工作更加容易。
根据 SANS 的说法,仅去年一年,这些编程错误中的一小部分就导致了超过 150 万起网站安全漏洞。 该报告指出,受感染的计算机被用来攻击其他安全措施较差的计算机,造成了连锁反应,导致无数台个人电脑被黑客入侵。
黑客攻击每天都会给企业、政府机构和普通民众带来重大麻烦。 2001 年,英国公民加里·麦金农据称入侵了美国宇航局的计算机,窃取了 950 个密码,并删除了新泽西州海军基地(负责为大西洋舰队补充弹药和补给)的文件,给美国政府造成了 70 万美元的损失,据PC World报道。(如果麦金农在这些计算机中植入了病毒,情况会更糟。)美国仍在努力将麦金农——他声称自己正在寻找信息以证明美国政府了解不明飞行物——从英国引渡。
考虑到计算机编程语言的数量以及程序员需要遵循的通用指南或架构的普遍缺乏,软件编写一直有点像一门黑魔法,IBM 研究员兼自称“软件考古学家”格雷迪·布奇在 6 月告诉大众科学.com。 程序员被教导要让他们创造的东西能够工作,无论付出什么代价。 因此,从一个程序到下一个程序,一致性非常差。
另一个问题:1980 年代和 1990 年代的软件编写者力求创建更具活力的软件,以吸引新客户,而对安全性却不太重视。 微软是这方面的一个典型例子,并且在过去十年中花费了大量精力加强其 Windows 操作系统和其他软件,这些软件已成为黑客攻击的热门目标。 Web 的出现,以及随之而来的计算机连接到不安全的公共网络,加剧了这个问题,因为这使黑客可以远程访问他们的目标(他们不再需要坐在电脑前才能入侵它)。
SANS 主管梅森·布朗在一份声明中表示,解决问题的第一步是“确保每位程序员都知道如何编写没有前 25 个错误的漏洞的代码,然后我们需要确保每个编程团队都制定了流程来查找、修复或避免这些问题。”
安全专家承认,改进后的软件不会阻止所有网络攻击者,但他们表示这是一个良好的开端。 SRI International 计算机科学实验室主任帕特里克·林肯告诉BBC:“即使所有这些错误都被消除,真正的专注的连续攻击者也可能会找到入侵的方法。 但是,一个怀有恶意的高中黑客——如果你愿意的话,可以称他们为小菜鸟——将会被阻止入侵。”
图片:© iStockphoto.com;Sami Suni