脆弱系統：從人性貪婪、網路詐騙到駭客入侵，探索資訊安全的歷史和未來

第五章

軟體安全與「痛苦的倉鼠滾輪」

崛起於網路泡沫期間的回饋迴圈，創造出了許多獲利豐碩的資訊安全業者，並讓駭客獲得了許多待遇優渥的受雇機會。但該迴圈也同時創造出了愈來愈多的新弱點，讓窮於應付的組織必須用上更多的安全修補程式。對這些組織來說，「滲透與修補」已經淪為「修補與禱告」：修補新的弱點，然後禱告不會再發現弱點。但永遠又會發現新的弱點，而新的弱點就代表更多的修補程式。這種情況，就創造出了某個安全專業人士所謂的「痛苦的倉鼠滾輪」。1在這個比喻的意象中，倉鼠代表的是一天到晚在安裝修補程式的那些組織，他們在滾輪上跑個不停，但其實也永遠在原地打轉。

在網路泡沫時期流行起來的資安科技，在某個程度上反而惡化了問題。邊界安全模型的核心是防火牆，但組織的防火牆必須允許全球資訊網的流量流抵組織的網頁伺服器。如果網頁伺服器上有弱點—事實上時間久了，任何網頁伺服器都會出現弱點—那駭客就會有辦法破壞其安全性，甚至能破壞網頁伺服器所使用的作業系統的安全性。

安全性可以由網頁伺服器等應用程式來負責，而不需要由底層作業系統的支持來提供堅實基礎的想法，開始被視為一種有瑕疵的推定。2由於在概念上而言，作業系統是處於網頁瀏覽器與網頁伺服器等應用的底層，因此在理論上，作業系統可以防止有弱點的應用程式造成整台電腦的安全性遭到破壞。一九九八年，一篇由國家安全局人員寫成的論文稱「電腦產業尚未接受作業系統在電腦安全性裡的關鍵角色，證據是現有主流作業系統所提供的基本保護機制都不夠完備」。3該論文還聲稱，任何安全性努力只要忽視了作業系統的安全性，那就無異於「把堡壘建在沙子上」。4

想要讓安全性努力聚焦在作業系統上，是對一九七○年代與一九八○年代的思維一次耐人尋味的回歸。韋爾報告、安德森報告、那些關於可證安全性的研究，還有貝爾─拉帕杜拉模型的發展，全都把焦點放在了作業系統上。但作業系統安全性卻在橘皮書的失敗和網際網路崛起帶來的熱潮後，遭到了一定程度的冷落。

二十一世紀初的兩大主流作業系統，分別是Unix與Windows。進入二十一世紀，Unix已經較少做為桌上型電腦的作業系統，而較多搭配網頁伺服器等伺服器使用。Unix在不同非營利團體與商用廠商的操刀下，出現了許許多多不同的變化。而且這些款式各異的Unix作業系統往往是開放原始碼的軟體，意思是這些軟體的原始碼是對公眾開放的。既然是開放原始碼，民眾就可以拿著軟體，將之修改成符合他們需求的模樣。

Windows產品線是由微軟公司所開發，公司總部位於華盛頓州的雷蒙市（Redmond）。Windows作業系統屬於封閉原始碼軟體，意思是其原始碼只有微軟的員工可以觀看和修改。微軟創造了不同版本的Windows去對應不同類型的顧客與市場，包括家庭使用者與大企業都有各自適用的版本。同時隨著時間流逝，Windows也歷經了多次改版，並以不同的品牌名稱重新推出，當中包括Windows NT、Windows 2000、Windows XP，還有Windows Server。Windows作業系統在全球各地廣獲使用，而同樣風行於世的還有微軟的資料庫軟體SQL Server，以及微軟的網頁伺服器軟體Internet Information Server（IIS）。在二○○○年代初期，這些微軟產品歷經了好幾次鬧得沸沸揚揚的安全事故。5在微軟產品上被發現的弱點數目與種類，指向了微軟製作軟體的方式可能存在系統性的問題。會這麼說，是因為那些被發現的弱點裡既有TCP/IP協定被實施在Windows中時的低層次弱點，也有跑在Windows作業系統上頭那些應用程式（如IIS）的應用層弱點。6有個在SQL Server裡發現的弱點，可以讓駭客只要發出一個封包，就能全盤控制住那台在跑SQL Server的電腦。7 Internet Explorer的意思原本是網際網路探險者，但該瀏覽器上的弱點多到它多了兩個渾名，分別是Internet Exploiter與Internet Exploder，意思是網際網路弱點利用者，還有網際網路爆炸者。8

計算弱點的數目並不是一件很直觀的工作。事實上弱點被記錄下的數目可以差到一倍，一切都要看計算工作用的是哪一個公共弱點資料庫。這是因為不同的弱點資料庫會以不同的標準去計算弱點。9同時在公共弱點統計數據中，還會摻雜許多內建的偏見。某名駭客或安全性研究員可能會針對特定軟體業者所推出的產品來尋找弱點，因為他可能覺得那家公司是顆軟柿子，或是因為他討厭那家公司，所以想要用負面新聞來打擊那家公司。10可以自由免費取得或屬於開放原始碼的軟體，也可能吸引到更多的弱點研究，而這多少和它們取得容易有關係。特定的駭客或安全研究員可能專門在各式各樣的軟體中，尋找特定種類的弱點，而這就可能導致他針對該種類弱點找到數百個分別的案例，進而造成該類弱點的數量一飛沖天。11有名專門研究弱點統計的研究員稱這種數據「毫無用處」，因為上述的底層問題會導致分析的品質極差。12

如果說，這些弱點統計的品質問題誤導人對微軟產品產生了一種不安全的印象，那不久後一次非常公開的展示就會讓大家都沒有話講。

二○○一年七月十九日，一隻網路蠕蟲用微軟IIS軟體上的一處緩衝區溢位，去感染了超過三十萬台電腦。13這些感染全都發生在不到十四個小時之內。14最高峰時，每分鐘被感染的新電腦達到兩千多台。15不同於莫里斯蠕蟲，這種新蠕蟲並不含有惡意的酬載。在蠕蟲感染了在電腦上執行的網頁伺服器後，它會置換掉網頁，然後留下「被中國人駭了！」的訊息。16接著它會讓被感染的電腦針對特定目標執行一個月一次的阻斷服務攻擊，而這些目標裡就包括白宮的網頁伺服器。17這隻蠕蟲被命名為「紅色警戒」，因為初次發現它的那兩名研究員當時正喝著Code Red口味的激浪汽水（Mountain Dew），那是一種含有不少咖啡因的提神碳酸飲料。18紅色警戒蠕蟲有能力將被感染之機器上的資料全部刪除，所以其所造成的影響恐怕要比想像中更大。但無論如何，該蠕蟲被推算造成了二十六億美元以上的財物損失，並因此被形容為是一記「當頭棒喝」，因為它讓人意識到了「讓電腦跟上安全性最新發展的必要性」。19