安全之美——引言

在我对软件及其所驱动的工具的攻击生涯中，许多同事认为我采用了一种不符合标准的方法。对于这种说法，我颇感诧异。对我而言，我所采用的方法不仅符合逻辑，而且简单明了。反之，我觉得那些学院派采用的方法对于现实世界的应用程序而言显得过于抽象，难以获得普遍的成功。这些看上去更常规的方法几乎不成章法，没有抓住问题的焦点，甚至完全背道而驰。这些方法往往需要花费数百小时进行逆向工程和应用程序跟踪，才可能在精力耗尽之前发现它们所存在的漏洞。 现在，请不要采用这种错误的方法。我并没有诅咒前面所提到的技巧，事实上我同意它们是发现和利用漏洞的关键工具。但是，我相信可以采用一些捷径，并从另一个视角封装、改进甚至绕过这些方法。 在本章中，我将讨论这些另外的视角，看看它们是如何帮助我们深入到那些被称为安全专家的开发人员的思维中。 为什么要深入到开发人员的思维之中呢？原因有很多，但是在本章中，我们将把注意力集中在对代码的创建过程以及对编写代码的人们所施加的各种约束上。从安全的角度出发，这种问题常常会产生并不是最理想的系统。理解了代码完成时所处的环境、心理和哲学框架之后，我们更容易发现系统中包含可能被攻击者所利用的漏洞的区域。在适当的时候，我会和大家分享一些逸闻作为例子，对一些理念问题进行探讨。 在过去几年里，我的精力集中在大规模的环境，例如大公司、政府机构以及它们的各种附属机构，甚至是州政府。虽然有许多要素也适用于更小的环境，甚至适用于个人，但我喜欢从更广的角度展示这些问题，展现更广阔的社会画面。当然，用这种更为粗犷的画笔作画需要进行一些归纳，读者可能会发现有些情况与这些例子存在冲突。由于篇幅的限制，我并不会举出这方面的反例。 本章的目标并不是强调特定的技术，而是讨论一些导致安全脆弱性的环境和心理情况。对技术实现者所受到的外部影响和限制进行考虑是非常重要的，可以更好地理解这些脆弱性在逻辑上是如何产生的。虽然这对于攻击方而言是一种好玩的智力游戏，但是如果防守方也参与到这个游戏中，就需要考虑一些新的因素：1) 防止可能会导致攻击的错误，2) 使用与攻击者相同的游戏技巧并采用相同的操作方式。此时，这个安全游戏才是我心中最美丽的。 我所讨论的理念可以分为三类：习得性无助和无从选择、验证陷阱和功能锁定。在安全的设计和实现中，这并不是影响因素的安全列表，但它可以作为一个起点，鼓励我们进一步发现自己在系统中所创建或依赖的潜在安全危险。