二进制代码审计:L0pht成员创建新型软件安全性评级系统
作者:星期三, 八月 24, 20161

20年前就向美国国会扬言可在30分钟内致瘫互联网的著名黑客,现在奋战在了软件业,日常工作就是各种证明“大多数产品都禁不住网络攻击”。

派特·扎克,黑客界蜚声遐迩的“Mudge”大神,波士顿先锋黑客组织L0pht著名成员,最近,他主导了一项国防部拨款支持的计算机安全项目。现在,他和他妻子——前国家安全局数学家莎拉·扎克,正在开发一套消费者报告类型的软件评级系统。

Zatko,Peiter

派特·扎克

如果该项目引人关注,或许会为一些大型软件公司的商业模式带来重大改变。另外,也能带来一些自由市场、开源运动、政府委托和法律界这几十年都欠缺的东西:持续安全的软件,或者说至少入侵成本非常高的软件。

今年的美国黑帽安全大会上,两位展示了他们系统的工作原理,点明了他们分析结果中的早期赢家和输家。

初步调查结果中:苹果麦金塔电脑、谷歌Chrome浏览器是最难攻克的,比苹果Safari难攻击得多,而Safari又比火狐浏览器安全得多。微软的很多产品目前也得分良好,但其Office套装的Mac版表现堪称糟糕。

扎克夫妇的系统被他们永久授权给了一个新的非营利组织。这个系统是一个奔着解决困扰软件客户几十年的棘手问题而去的疯狂尝试。棘手问题是什么呢?软件界一直没有公正一致的程序安全性评级方法!

在访谈中,派特·扎克说:“我们需要一张成分标签。或许你只关心糖,或者碳水化合物,或者蛋白质,但如果我们干脆全列出来呢?这样营养师就能帮你挑出合适的配餐了。”

因为没有其他方法可以确保安全软件有用,这样一种评级系统就显得非常有价值了。法庭认为,软件是授权制,而非售卖商品,因此,就算有缺陷也不能提起产品责任诉讼。大买家可以坚持第三方代码审计,但那是个费时费力的过程,极少有公司可以对每款新购软件都坚持审计的。

政府和私人认证项目,通常会刺激软件开发仅符合最低要求而懒得花更多精力将软件打造得更安全。扎克夫妇的方法,并不是从检查计算机代码本身开始,而是直接检查代码编译的数字输出,也就是那些告诉机器该做哪些动作的二进制文件

莎拉·扎克说:“源代码是理论,而二进制是实践。在实际产品的安全程度上,二进制才是决定性因素。”新方法显示出了编译器这个将源代码转化为二进制的工具,所扮演的关键角色。在防止编译器缺陷上,我们已经取得了重大进展,但依然留有很多漏洞。

对软件评级的细粒度结果最感兴趣的,是保险公司——他们承担着很大的估算被黑合理保费的重压。但即使没有具体的金融压力,扎克夫妇也希望软件买家能更关注风险寄生处,然后对此做些什么,迫使软件作者拿出更好的作品。

“我们已经坡脚前行了那么久,希望这次我们的系统能帮助软件人跨越障碍。”

相关阅读

全球顶尖老牌黑客团队L0pht兴衰史

 


相关文章

写一条评论

 

 

1条评论

aaa 2016-08-24 18:46

翻译的什么东西