- 软件开发安全之道:概念、设计与实施
- (美)洛伦·科恩费尔德
- 1228字
- 2024-01-31 18:37:17
2.1 对抗性视角
利用漏洞的行为是我们在现实世界中接触过的、最接近“魔法咒语”的东西。首先我们组织正确的咒语,然后对设备执行远程控制。——霍尔弗·弗莱克
人类肇事者才是万恶之源。安全事件不会自己无缘无故地发生。因此,只要对软件安全性进行协同分析,就一定要考虑可能的对手会进行什么样的尝试,这样才能预测和防御潜在的攻击。攻击者都是杂牌军,从脚本小子(只能使用自动化恶意软件,没有技术能力的攻击者)到掌握高端技术的国际黑客不一而足。能够在某种程度上站在对手的角度进行思考固然是件好事,但是不要自欺欺人地认为自己可以准确地预测对手的一举一动,也不要花费大量时间和精力去猜测他们的具体想法,更不要自以为是永远比对手棋高一着的名侦探。了解攻击者的思考方式的确有其价值,但我们的目标是开发安全软件,所以攻击者具体会通过什么技术手段来探测、渗透和泄露数据无关紧要。
我们有必要思考系统中最核心的目标是什么(在有些情况下,对手认为价值连城的数据对你来说实际上并没有那么高的价值),然后确保高价值资产能够得到妥善的保护,但不要浪费时间去做攻击者肚子里的蛔虫。攻击者可不会白白浪费精力,他们一般都会把注意力放在那些最薄弱的环节上,以便可以顺利完成他们的任务(他们也有可能漫无目的地四处尝试,但这种行为很难防御,因为这些行为目的并不明确、随意性很强)。软件错误绝对是攻击者重点关注的对象,因为它们往往就是软件的弱点所在。攻击者如果偶然发现了某些明显的软件错误,他们就会尝试创建一些变体,看看能不能造成实实在在的破坏。那些可以导致系统内部详情泄露的错误(例如,详细的堆栈转储)对攻击者的吸引力尤大。
一旦攻击者发现了漏洞,他们就很有可能把更多时间和精力放在这个漏洞上,因为很多瑕疵都可以被攻击者借助协同攻击扩展出严重的后果(本书第 8 章还会介绍这方面的详细信息)。一般来说,两项几乎不会引人注意的细微漏洞如果结合在一起,就可以制造出一次重大的攻击,因此我们应该严肃对待一切漏洞。虽然攻击者没有内部信息(至少在执行渗透之前是没有的),但是掌握攻击技术的人绝对了解威胁建模的手段。
尽管我们永远都无法真正预判对手会把时间花在哪个环节上,但是我们仍然应该思考一下攻击者的动机,这是判断软件是否会受到严重攻击的一项标准。这其实和一位著名的抢劫犯在解释其抢劫银行的原因(因为那里有钱)的道理类似。这里的重点在于,攻击一个系统可能获得的收益越高,人们就越有可能应用更多的技术和资源来对这个系统发起攻击。虽然这只能作为一种推断,但这种分析方法可以作为一个相对的指导方针:政府、军方、大型企业和金融机构的系统都是重大的攻击目标,而你保存爱宠照片的那个硬盘分区应该不是。
最后,与一切形式的攻击行为一样,攻击的难度总是小于抵御攻击的难度。攻击者只需要选择好切入点,然后下定决心去利用尽可能多的漏洞就可以了,因为攻击者其实只需要成功一次就够了。这些都表明了优先考虑安全工作的原因,防守方需要善加利用所有可用的优势。