根據(jù)對兩年中攻擊數(shù)據(jù)的分析發(fā)現(xiàn)，攻擊者訪問開源程序代碼的能力讓他們能夠利用開源軟件中的漏洞而發(fā)動(dòng)攻擊?！　?/p>

這份報(bào)告收集了來自入侵檢測系統(tǒng)(入侵檢測系統(tǒng)具有識(shí)別目標(biāo)軟件和漏洞的功能)的4億次警報(bào)數(shù)據(jù)，這些數(shù)據(jù)表明，與閉源軟件相比，開源軟件的漏洞往往更容易被利用，波士頓大學(xué)卡羅爾管理學(xué)院助理教授兼該報(bào)告作者Sam Ransbotham表示。

Ransbotham使用非線性回歸分析和其他模型的方法發(fā)現(xiàn)，對開源軟件中漏洞的攻擊發(fā)生的速度要快三天，攻擊頻率也比閉源軟件超出50%。Ransbotham認(rèn)為，如何利用特定漏洞發(fā)動(dòng)攻擊的方法的傳播速度與技術(shù)更新不相上下。

這份報(bào)告可能會(huì)重新點(diǎn)燃開源軟件和閉源軟件開發(fā)模式之間的戰(zhàn)火，開源和閉源擁護(hù)者爭論的問題在于開源操作系統(tǒng)Linux是否比Windows更安全，或者M(jìn)ozilla的開源Firefox瀏覽器是否比IE瀏覽器更安全。開源用支持者們認(rèn)為，對代碼的訪問能力能夠允許開發(fā)者更快找到軟件中的漏洞，而反對者則認(rèn)為攻擊者同樣也能夠更快利用開源代碼中的漏洞發(fā)動(dòng)攻擊，而導(dǎo)致更差的安全性。

Ransbothan將收集的警報(bào)信息與國家漏洞庫(NVD)的漏洞數(shù)據(jù)進(jìn)行對照，國家漏洞庫列出了2006年和2007年的13000個(gè)軟件產(chǎn)品中的漏洞，只有一半的產(chǎn)品可以歸類為開源或者閉源軟件。

通過結(jié)合入侵檢測系統(tǒng)識(shí)別對漏洞系統(tǒng)的攻擊能力，Ransbotham對已知開源或閉源軟件的883個(gè)漏洞進(jìn)行分類，他還根據(jù)其他屬性對漏洞進(jìn)行了歸類，例如攻擊者利用漏洞發(fā)動(dòng)攻擊的復(fù)雜度以及漏洞被報(bào)告時(shí)入侵檢測系統(tǒng)是否存在有效簽名。

最后發(fā)現(xiàn)，只有97個(gè)漏洞在這兩年間為攻擊者的目標(biāo)。但是，這卻占警報(bào)信息的四分之一，其他警報(bào)信息則為非開源或閉源軟件的攻擊，即對沒有可識(shí)別屬性的漏洞的攻擊，或者誤報(bào)。

在其分析中，Ransbotham發(fā)現(xiàn)對開源軟件的漏洞共計(jì)比閉源軟件的攻擊更快。

不僅訪問開源代碼的能力能夠便于攻擊者發(fā)動(dòng)攻擊，Ransbotham的研究還發(fā)現(xiàn)，簽名(各種安全產(chǎn)品用簽名與已知漏洞模式相匹配)的存在與早前發(fā)生的攻擊之間存在聯(lián)系，安全人員用于提高安全性的簽名實(shí)際上也幫助了攻擊者。

“這表明，這些簽名能夠幫助我們識(shí)別漏洞，也提示了攻擊者如何利用漏洞，”Ransbotham表示。

其他研究也表明，簽名和其他防御方法實(shí)際上將漏洞信息泄漏給了攻擊者。在2007年，研究人員使用某主流入侵檢測系統(tǒng)的簽名創(chuàng)建了攻擊代碼。在2008年，研究人員根據(jù)軟件公司發(fā)布的漏洞自動(dòng)分析建立了生成潛在攻擊漏洞系統(tǒng)。

安全專家則認(rèn)為，不要完全輕信Ransbotham的分析數(shù)據(jù)，因?yàn)楹芏嘁蛩乜赡芘で藬?shù)據(jù)，安全公司Immunity技術(shù)主管David Aitel表示。

根據(jù)Ransbotham的數(shù)據(jù)顯示，攻擊者攻擊的97個(gè)漏洞中只有30個(gè)漏洞在開源軟件中，這意味著只有很少的漏洞被經(jīng)常攻擊。Aitel表示，攻擊者可能只是隨意地通過攻擊相對不重要的開源軟件來侵入公司網(wǎng)絡(luò)，而集中精力攻擊運(yùn)行閉源軟件的重要系統(tǒng)。

因?yàn)镮mmunity公司的客戶最關(guān)心的是運(yùn)行閉源軟件的系統(tǒng)，例如windows系統(tǒng)、IE瀏覽器、Adobe Acrobat和Java等，Immunity公司的研究人員試圖在漏洞報(bào)告的24小時(shí)內(nèi)利用閉源軟件中的漏洞，而開源軟件漏洞則較少關(guān)注。

其他安全專業(yè)人士則持有更廣泛的觀點(diǎn)，這與開源或者閉源以及公司開發(fā)軟件的模式無關(guān)，攻擊者總是能夠獲取利用漏洞的信息，不管是否通過自動(dòng)攻擊軟件，還是獲取訪問源代碼權(quán)限。

【編輯推薦】

1. 開發(fā)者偏愛開源 全球Linux用戶攀升
2. 視點(diǎn)：Ubuntu 10.04如何進(jìn)行開源技術(shù)的商業(yè)化
3. CentOS 5.5正式發(fā)布 延續(xù)純開源時(shí)代
4. 開源技術(shù)助力企業(yè)打造零成本網(wǎng)絡(luò)方案
5. 凝聚開源創(chuàng)新 Fedora 13桌面改進(jìn)一覽