安全之美[试读]

如果有人相信新闻标题可以揭示趋势，那么对于计算机安全领域而言现在是个有趣的时刻。当《安全之美》出版时，我阅读了一个能够打开麦克风和摄像头并窃取数据的软件的部分代码。这个软件在103个国家的超过1200台计算机上安装，尤其是在大使馆和其他敏感的政府部门。另外，一家法庭支持美国调查官在没有得到授权的情况... 查看全部[ 引言 ]

我要求安全专家John Viega想方设法为本书寻找一些作者，以便向普通计算机用户提供一些与安全有关的观点。除了在媒体上所看到的骇人听闻的关于网络入侵和盗窃的新闻之外，普通人一般都觉得安全是一件乏味的事情。 对许多人而言，安全就是系统管理员喋喋不休地提醒他们创建备份文件夹，无穷无尽的在网页显示之前... 查看全部[ 为什么安全是美丽的 ]

《安全之美》适用于那些对计算机技术感兴趣并希望在最尖端领域体验生活的人们。本书的读者包括可能追求职业生涯的学生、具有一定编程背景的人们以及对计算机有着适度或深入了解的人们。 本书的作者在解释技术时尽量放低门槛，使相对新手级的读者也能领略到攻击和防御活动方式的感觉。专家级的读者能够更多地享受讨论的乐... 查看全部[ 本书的读者 ]

《安全之美》的作者们向互联网工程任务组（The Internet Engineering Task Force，IETF）捐赠本书的版税。这个组织对于Internet以及其具有远见的自我管理式的迷人模型的发展极为关键。如果没有IETF具有奉献精神的成员们的科学讨论、灵活的标准制定和明智的妥协，Int... 查看全部[ 捐赠 ]

本书内容并没有按任何特定的方案进行排列，但还是经过了整理，以便提供引人入胜的阅读体验，方便读者惊喜地发现新观点。不过，还是将那些讲述相似主题的内容放在了一起。 第1章 心理上的安全陷阱 作者Peiter“Mudge”Zatko 第2章 无线网络：社会工程的沃土 作者Jim Stick... 查看全部[ 材料的组织 ]

本书是为了帮助你完成工作。通常来说，你可以在你的程序和文档中使用本书的代码。除非你使用了本书的大量代码，否则你无需获取我们的许可。例如，写一个程序用到本书的几段代码不需要获得许可；销售和分发O'Reilly 丛书的代码需要获得许可；引用本书的样例代码来解决一个问题不需要获得许可；使用本书的大量代码到... 查看全部[ 使用本书的代码示例 ]

请把对本书的评论和问题发给出版社： 美国： O'Reilly Media, Inc. 1005 Gravenstein Highway North Sebastopol, CA 95472 中国： 北京市西城区西直门南大街2号成铭大厦C座8... 查看全部[ 如何联系我们 ]

在我对软件及其所驱动的工具的攻击生涯中，许多同事认为我采用了一种不符合标准的方法。对于这种说法，我颇感诧异。对我而言，我所采用的方法不仅符合逻辑，而且简单明了。反之，我觉得那些学院派采用的方法对于现实世界的应用程序而言显得过于抽象，难以获得普遍的成功。这些看上去更常规的方法几乎不成章法，没有抓住问题... 查看全部[ 引言 ]

社会学家和心理学家发现人类和其他动物存在一种现象，这种现象称为习得性无助。它来源于个人在实现自己的目标或者摆脱坏习惯时屡次遭受的挫折。最终，动物们会采取极端的毁灭性措施，就是从内心深处放弃尝试。即使在出现了实现目标的机会或者存在逃脱的良机时，动物们也会表现得很消极，无法利用这些机会。 为了证明即使... 查看全部[ 1.1 习得性无助和无从选择 ]

数年前，为了帮助系统管理员发现漏洞，我编写了一个密码破解工具，用于恢复Microsoft的用户密码。当时，这个工具称为L0phtCrack，后来重命名为LC5。再后来，Symantec（得到了它的版权）担心违反国际武器限制公约（ITAR）而将它停用了。（注2）网络和技术书籍上有许多文章描述了L0ph... 查看全部[ 1.1.1 实例：Microsoft是如何允许L0phtCrack的 ]

我讲述这个L0phtCrack故事是为了强调一个常见的安全问题。有许多理由支持多种安全实现，即使其中一种被认为优于其他方案。但是如前所述，在许多情况下，这样做的原因是为了支持向后兼容。如果对遗留系统的支持被认为是非常重要的，可以预计在协议和服务方面将会出现相当数量的冗余。 站在安全的角度，现在问题... 查看全部[ 1.1.2 密码和身份认证可以从一开始就做得更好 ]

正如我们所看到的那样，Microsoft在向后兼容方面作出的选择所导致的不良安全问题可能会让他们的顾客在环境、技术能力以及接受改变的意愿方面产生自暴自弃的观点（不管是否正当）。我把当前网络上的另一个（甚至更大的）安全问题归因于开发商的习得性无助和顾客的无从选择这两个因素的结合。大量的审查显示，大多数... 查看全部[ 1.1.3 客户的习得性无助—无从选择 ]

大约1997年8月的某天，我和Hobbit（我的一位朋友，是一位非凡的黑客（注4））与Microsoft的一位执行官和一位资深工程师（注5）共进晚餐。他们想知道我们为什么能够这么轻而易举地在Microsoft的产品中找到这么多的缺陷。虽然有些细节记得不是特别清楚了，但我相信当时我们是非常诚恳地进行了... 查看全部[ 1.2 确认陷阱 ]

Microsoft的产品测试的目的是为了确认他们对软件行为的信任，而不是为了打击这种信任。软件架构师和工程师经常会遇到这种盲点。在1968年的一篇论文中，Peter Wason指出“为了获得正确的解决方案，有必要产生一种意愿，就是试图推翻假设，并对那些常常确信是正确的直观想法进行测试”（注6）。他通... 查看全部[ 1.2.1 概念简介 ]

考虑一位在一个三字母机构（如CIA、FBI）工作的情报分析师。这位分析师希望创建有效、实用的分析报告，以提升她的职业地位。这位分析师从多个来源采集信息，包括她以前所创建的报告。接着，她把这些报告提交给自己的上司。这个过程看上去很简单，但实际上包含了一个潜在的确认陷阱。在她的上司审阅她的工作之前，很可... 查看全部[ 1.2.2 分析师确认陷阱 ]

在上届总统任职期间，我担任了政府部门的一个关键人员小组的顾问。我的重要任务之一是对有些人所收到的关于网络功能（包括攻击性和防御性）的报告发表自己的看法，并指出报告中的哪些研究领域有效或者具有前途。我常常不得不指出，最初的报告在对手模型和技术方面的不准确达到了令人痛心疾首的程度。报告中所描述的技术、策... 查看全部[ 1.2.3 陈腐的威胁模型 ]

随着L0pht对安全的成功破坏以及像L0phtCrack这样的工具变得广为人知，政府不得不对我们的队伍勉强产生了一点兴趣，希望理解我们能够做些什么。我勉强答应邀请白宫的一群人参观我们的工作，并向他们简单介绍了我们的情况。不得不说，L0pht成员们对于一大群政府代表的来访感到不安，但最终我和其他成员成... 查看全部[ 1.2.4 正确理解功能 ]

功能锁定表示无法看到超出某些东西的常见用法范围的其他用法。这与第一印象的概念有点相似，即第一次接触到信息时（例如一篇新闻报告的偏向性标题或起诉方对案件的陈述）所留下的印象，常常会永远地影响听众对这种信息接下来的感知。 当有人提到“锤子”时，一般人首先想到的是一种用于造房子的实用工具。很少有人在听到... 查看全部[ 1.3 功能锁定 ]

既然对功能锁定已经有了一个基本的理解，现在读者可能会疑惑它是如何与计算机和网络产生关联的。 许多人把诸如漏洞扫描器和反病毒软件这样的安全产品看成是能够增加系统或组织安全性的工具。但是，如果这只是你的唯一观点，就有可能遇到功能锁定问题。这类技术的每一个都可能非常复杂，由数千行代码组成。在一个环境中引... 查看全部[ 1.3.1 安全位置的潜在风险 ]

安全的最大阻碍来自公司高层对安全需求的负面认识。其中有些认识代表了功能锁定。 几个月前，在著名的分布式拒绝服务攻击Internet上主要服务供应商和商业实体（包括eBay、CNN、Yahoo!），并导致它们临时关闭前，（注7）我曾有机会为一家一级ISP分析骨干路由器配置。经过这些核心路由器的IP流... 查看全部[ 1.3.2 降低成本与未来收益：ISP实例 ]

我的工作有一部分涉及详细检查各家电力公司的后端控制系统，有时候还包括石油公司的后端系统。我评估了它们与其他系统和网络的相互联系是如何被保护和跟踪的。令人吃惊的是，石油和电力行业虽然使用了相似的系统和协议，但它们在配置和安全方面的操作和运行存在极大的差别。 换种礼貌的说法，电力公司的网络是一团糟。电... 查看全部[ 1.3.3 降低成本与未来收益：能源实例 ]

在本章中，我提供了一些经典的安全失败的例子，并在脱离工具、实践和个人决策的情况下对它们进行跟踪，以探索如何进行思考的基本原则。我们可以采用与自然倾向相反的更明智方式应用我们的资源，以提高安全性。 □　　我们可以保证最初的决定并不会影响创造性的思维，以克服习得性无助和无从选择。 □　　我们可以寻找... 查看全部[ 1.4 小结 ]

如今，许多人都已经听说过关于无线设备安全的问题。从2000年最初发布Wi-Fi时，无线设备安全就已经是许多安全专家所关注的领域了。早在2001年，有线等效保密（Wired Equivalent Privacy，WEP）访问协议就被发现存在严重的缺陷。虽然设计这个协议的目的就是为了阻止非法用户访问无线... 查看全部[ 引言 ]

这是一个日常攻击场景。假设你在美国的一个主要机场稍作停留之后准备启程时，把目光转向登机监视器寻找自己的入口时，发现每位旅客都在哀叹：“飞机又延误了。”这时，你已经成为众多“难民”的一员，将在机场的舒适安静环境中度过接下来的6个小时。 这时你的视线离开监视器，四处搜寻可用的电源插座，以挽救快要没电的... 查看全部[ 2.1 轻松赚钱 ]

在描绘了前沿的无线攻击技术以及如何进行相应的防范之后，我们再回过头来讨论众所周知的Wi-Fi安全问题以及使其成为日常威胁的社会条件。 习惯于以以太网技术为基础的局域网网络用户和管理员很难理解无线的相对不可控性。局域网使用的是非常不安全的协议（嗅探和篡改、系统伪装和实施拒绝服务攻击都是很常见的），但... 查看全部[ 2.2 无线也疯狂 ]

担心无线接入点被伪造是一回事，但是负责保证网络安全的系统管理员还有更多方面需要考虑。 一些企业很久之前就认为浏览互联网网站对他们的网络造成了很大的风险，因此完全屏蔽了网络浏览。过去这种办法看起来很有效，但是最近随着开放的无线接入点遍地开花，威胁再次显露出来。许多用户发现他们可以在工作的时候带着一个... 查看全部[ 2.2.1 无线侧信道 ]

如果我提到TJX，你会想到什么？如果你经常关注过去两年的主流新闻，你可能首先想到的是这家公司曾被盗过许多信用卡账号。这件事在2006年12月才被人们发现，黑客攻入了他们的网络并不断地下载了至少四千五百七十万个信用卡账号，而且据推测这个数据更接近于两亿（TJX事件在第3章中有详细介绍，作者是Eliza... 查看全部[ 2.2.2 无线接入点自身如何 ]

从酒店和机场到企业办公大楼和超市，无线接入的需求仍然在持续增长。和互联网一样，更多的安全风险将会暴露出来。企业、管理员，甚至是普通用户对这些安全威胁的重视仍然是个问题。使用开放的无线接入点是有风险的，用户需要明白这一点并做出相应的举措。除此之外，如果没有做好无线接入点的安全保护将会导致更加严重的危害... 查看全部[ 2.3 无线仍然是未来 ]

在工作之余，有人雇我去布置安全陷阱以用于测试。我已经在整个美国多次实施了这种特别的攻击。每一次我都能收集到信用卡信息。虽然骗局看似复杂，但让人如此担忧的情况却可以很容易的实施。 在我去布置攻击的场地之前，我会先制作像WiFly这样的一个虚构的公司登录页面，这个页面看上去很可信，而且外观绝对专业。它... 查看全部[ 2.1.1 设置攻击 ]

当你可以对自己所论及的东西进行度量，并可以用数字表达它时，你就对它有了相当程度的了解。当你无法对它进行度量，无法用数字表达它时，说明你对它缺乏了解，也就无法达到满意的程度。它可能是知识的起点，但你觉得很难把它推进到科学的状态。—William Thomson, Kelvin勋爵，1883 界定现代... 查看全部[ 引言 ]

医学研究通过度量指标提高了人类健康的科学性和实践性。和安全一样，健康也是无形的。我们可以感觉到它，但不能触摸到它。和安全一样，健康也是为了实现某些缺乏的东西，即由于精神上或身体上的不适而寻求健康监护，就像由于机密性、完整性或可用性不足而寻求安全一样。许多安全专业人员把这些特征（不可触摸和“纠正负面因... 查看全部[ 3.1 安全度量指标的类比：健康 ]

在医学和IT安全中，前面那些问题是没有办法回答的。用科学术语表示，它们是不规范的（这已经是客气的说法了）。第一个问题是关于定义的。健康或安全的定义是什么呢？如果一个人的指甲边上长了倒刺，是不是就可以认为他是不健康的？或者用类似的说法，如果一台服务器没有打补丁，是不是就可以断定整个公司的IT基础设施就... 查看全部[ 3.1.1 不合理的期待 ]

首先让我们观察文化。医学社区具有强大并且体制化的数据共享机制，对于想学习更多的知识并传播他们的研究结果的研究人员而言，这是非常关键的先决条件。我们可以这样，如果发现了一个可能会导致死亡或患病的紧急健康威胁，将会发生什么情况？调查人员将会被紧急召集起来，对来自不同机构不同专业的专家们展开问询。所涉及的... 查看全部[ 3.1.2 数据透明性 ]

用于衡量健康合理的医学方法向患者提供了一个合理的指导方针，使他们可以评估自己的健康状况，同时又保持合理的预期。尽管病人会问：“我的健康程度如何？”但他们知道这实际上是一个无法回答的问题，多数医生只会给出一个相对谨慎的回答，例如“目前看来一切正常”。如果病人还想究根问底，医生可能会再加上一些套话，例如... 查看全部[ 3.1.3 合理的度量指标 ]

度量指标可以为医学从业人员提供帮助，它为个体或人群健康的量化提供了一个框架，并为如何与非专业人群进行交流提供了指导方针。度量指标可不可以在安全领域发挥同样的作用呢？如前所述，安全领域缺乏自愿的数据共享。但在有些时候，当后果足够可怕时，消息就难以被捂住，接踵而来的调查结果就会被公开。在本节中，我们将分... 查看全部[ 3.2 安全度量指标的实例 ]

3.2.1 巴林银行：内部侵害 首先让我们观察侵害可能导致的最可怕后果：破产。这个侵害实际上是由一个叫Nick Leeson的人所犯下的一连串错误行为所导致的。这个过程持续了4年，最终导致了巴林银行的破产，并在1995年以1英镑的价格卖给了ING集团。 玩家 巴林银行是英国最古老的商业银行... 查看全部[ 3.2.1 巴林银行：内部侵害 ]