登入  |  English
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。

McAfee 出版安全期刊 惡意軟體開放源碼化成主題

入侵防治與安全危機管理廠商 McAfee 發行了討論安全議題的半年刊全球威脅報告 (The Global Threat Report) "Sage" 的創刊號,首期以現今駭客等惡意程式開發者如何藉開放源碼開發模式與工具技術之便,對全球電腦系統用戶造成更大危害做為主要議題,掀起開放源碼社群界不小波瀾。

主要為微軟 Windows 平台提供安全解決方案的 McAfee 表示,網路犯罪者透過開放源碼專案管理系統如 CVS 等,提供附帶文件的原始碼,加快了這類惡意程式修改散播的速度。 例如 SDBot 等 botnet 軟體,bot 的作者便採用開放源碼開發者的開發模式進行合作,期刊中題為開放源碼的代價 (Paying a Price for the Open Source Advantage) 的文章以 Agobot 系列的惡意軟體為例,說明其開發者如何運用 CVS 管理繁複的原始程式碼。 iDefense Verisign 快速反應小組主任 Ken Dunham 表示,從 2004 年春 Bagel 電腦蠕蟲出現後,惡意軟體作者逐漸傾向釋出軟體的原始碼,bot 與木馬程式作者也開始仿傚。釋出程式碼的確還有助於減少原作者的受責度,不過 Dunham 認為安全研究人員也會因此受益。 就任於 McAfee AVERT 實驗室的安全研究與通訊主任 Dave Marcus 認為,駭客社群正利用協助 Linux、Apache 等專案獲得成功的相同分享模式、工具及技術。該報告指出,開放源碼和其它利器一般,都可能用於歧途。McAfee 在 "Saga" 中認為,惡意軟體作者不再只是為了成名,以惡意軟體獲取金錢的情況漸增,結合開放源碼將構成極大威脅。 IT-Harvest 創辦人兼首席分析師 Richard Stiennon 強調合法開放源碼專案開發者的開發方式與這些駭客間有很大的不同。Stiennon 認為 Saga 這些文章只是想扭曲事實,以獲取鎂光燈罷了。 Stiennon 表示不是用了 wiki 等軟體進行協同開發就叫「開放源碼」,此外,駭客撰寫的軟體也不採用 GPL 或其它開放源碼授權,通常仍需付費取得,不像真正的開放源碼軟體完全公開給大眾。 面對開放源碼支持者的反彈,Marcus 承認這個議題的確過於挑釁,並且澄清 McAfee 並不是想把開放源碼跟惡意軟體劃上等號,只是想討論開放源碼方法如何影響惡意軟體。 Dunham 認為假如駭客分享惡意軟體程式碼,也代表其它善意開發者也能更輕易地取得,並加以防範。Dunham 說,他相信軟體一旦開放源碼化,透過眾人的雙眼,就能夠提高加以修訂的可能性。

相關網址:
1.McAfee 揭露惡意軟體的開放源碼模式
2.開放源碼助長惡意軟體開發
3.McAfee 期刊 Sage 認為開放源碼協助駭客
4.惡意軟體也開放源碼




自由軟體鑄造場電子報 : 第 62 期 自由軟體校園推廣

分類: 源碼新聞