雁鸣

　　关于软件的“后门”

　　软件的后门，可以分成两大类。第一类是显性的后门，你可以通过读源代码直接看到加进该软件的后门。第二类是隐性的后门，也就是说软件的源代码当中并没有明显的、加进

去的后门代码，然而，软件的结构与算法设计包含了可以被利用的后门。黑客屡次成功地攻击计算机系统、窃取资料或者摧毁被攻击网络的时候，使用的就是这种隐性的后门。最恐怖的，是有意识地加到软件当中的隐性后门，表面上看不出来，只有制造者懂得如何利用它，就算是非常高水平的计算机安全专家，也不一定能够通过阅读源代码把它找出来，更不用说你不能读到全部的源代码，或者简直就读不到真正的源代码。

　　美国军方与政府如何制造安全的操作系统

　　世界著名的Linux核心主管程序员阿兰.哥克斯(Alan Cox)在一个多月前的一次采访中谈到美国军方与政府如何制造安全的操作系统。他说，军方与政府的安全人员首先是实实在在地把Linux的基本源代码系统以及它的汇编器掌握在手中，他们核查他们实际使用的每一段的源代码，以便绝对保证其中没有后门，然后他们监察整个软件的汇编过程，从而亲自制造出自己满意的操作系统，而其中的任何后门，都是在他们的控制之下加进去的、为自己所用的。

　　一文不值的微软“政府安全计划”

　　微软让某国政府的一些人，使用微软控制的设备上网读一些(并不是全部)微软说是与操作系统相对应的源代码。这就是微软所大吹大擂的“政府安全计划”的核心内容。该国政府既不能拿到源代码、也不能看到全部源代码、更不可能知道实际上是什么源代码汇编出微软卖给自己的操作系统。

　　因此，任何没有偏见，有常识性思维能力的人都能够明白，微软的“政府安全计划”从软件安全的角度来考虑，是一文不值的、具有欺骗性和非常危险的。这只是一个用于混淆视听(企图与开放源码混淆)、用于市场推广与政府公关的工具。微软中国的新闻公告这样说：“此计划同时也是落实去年6月份微软与国家计委所签订的合作备忘录中关于共享源代码的工作内容。…微软致力于满足全球政府和国际组织对于安全的特殊需要。政府源代码备案计划是其所做的努力中非常重要的一部分。…”(已经有评论揭露，微软硬是把“政府安全计划”改称为“政府源代码备案计划”，原因是他门已经探听到不久将要颁布的中国《“政府采购法”实施细则》当中要求参与政府采购的软件要符合下列两类之一。第一类：开放源码软件。第二类：交出源代码给政府备案。企图偷天换日、指鹿为马。)

　　微软中国的新闻公告更进一步说：“中国信息安全产品测评认证中心是由国家计委授权与微软签署政府源代码备案计划协议的。中心主任吴世忠博士说，‘信息技术安全性是我国信息化进程中政府关注的主要问题。微软公司的政府源代码备案计划使我们以适当的方式获得了与源代码和其它技术相关的信息，并建立了一种合作机制，微软公司在让我们了解其产品的安全性方面迈出了十分重要的一步。’”

　　(“中国信息安全产品测评认证中心”是这样重要的一个政府机构：中国信息安全产品测评认证中心(CNITSEC)是中国唯一经国家授权成立的信息技术安全性测评认证机构，也是中国唯一按WTO规则和采用国际通用安全评估准则(GB/T 18336 idt ISO 15408)标准运行的国家认证实体，负责对信息技术产品、信息系统和信息技术服务的安全性进行测试、评估和认证。)

　　中国信息安全产品测评认证中心主任都说出了上述的话，另外，在国务院信息办工作的公务员、“首席理论家”姜奇平先生也立即在他的文章当中开门见山地欢呼：“2月27日，微软与中国有关部门签署协议，向中国政府开放操作系统源代码。这是一个积极的迹象，表明微软在政府压力下做出了一定的让步，向着正确方向迈进了一步。”可见微软的“政府安全计划”的欺骗性有多强。

　　更深层的危险

　　头脑清醒的人应当更加注意到微软中国公告当中的一段话以及盖茨所说的一段答记者问：

　　微软公告说：“除了能够查看源代码，政府源代码备案计划还提供关于Windows平台技术信息的披露，以增强各国政府建立和部署具备强有力的安全技术的计算基础架构的能力。此外，该计划还将促进和加强微软内部负责安全的专业人士与计划参与者之间的交流和协作；为计划参与者提供机会参观微软在莱德蒙德的开发设施并查看Windows源代码开发、测试及部署程序的各个方面；与微软公司安全方面的专家讨论现有以及可能的项目方案；直接与微软工作人员进行交流并提供反馈。”

　　盖茨说：“…目的是帮助政府设计他们的系统的时候，要考虑安全方面的要求，…我觉得从最大程度上，我们也正是提供一种帮助。还有一点很重要，我们要确保建立起一种认证标准，在这方面来说我们确实可以尽我们的力量帮中国促进建立这种认证标准。”

　　显然，这次的协议向微软打开了一个关系到国家安全的非常敏感的窗口，通向“中国信息安全产品测评认证中心”这样重要的一个政府机构的窗口。

　　作为一个主要被评测产品的生产厂商，企图深度介入测评机构的运作与标准建立，这本身就是一种高度的“利益抵触”现象。“中国信息安全产品测评认证中心”与外界的交往，必须受到高度的安全监管，否则，这种重要的政府安全机构就会成为收买、影响、控制和窃取安全机密的对象。

　　另外，我们要充分注意到，微软在围绕“政府安全计划”作了许多不实的宣传之外，总是把他们的人员与政府的接触“升格”。比如，他们把受到礼节性接见，把自己要求的对一些政府领导的礼节性拜会，通通说成是“会谈”、“汇报”、“请示”。这样，这些礼节性的交往就变成了“工作会议”，里面的一些对话就可以被他们割裂开来断章取义地利用。由于微软对“政府安全计划”作了虚假的宣传，因此，很难保证某些政府官员不会相应地对微软的讲法做出一些回应。如果这些回应被微软当作“指示”来利用，那就非常危险。

　　中国的媒体，是醒过来的时候了。不要拿到对方准备好的新闻稿就发消息，用你们的脑袋，好好理解每一个字、每一个词的用法与含义，找出背后的目的。微软的手段是非常高强的，它可以把中国的六千高校精英转化为替他们挥舞发光棒棒的市场造势工具，如果媒体也被他们玩弄于股掌的话，我们就不可救药了。中国成了世界上唯一的一块微软可以制造对他们的吹捧的宝地。

　　开源软件的质量与安全

　　关于开源软件的质量，现在已经有了约来越多的研究结果。首先是Reasoning咨询公司最近公布了对几种操作系统的源代码分析后的发现，开放源码的Linux中的一个关键网络组件(TCP/IP)在许多方面优于非开放性源代码软件。他们的结论是：“内核中采用开放源码实现的TCP/IP清楚地表明，该代码比多用途操作系统中商业化的实现具有更高的质量。”

　　去年五月，世界著名的软件学府卡内基梅隆大学(该校软件研究所提出了著名的软件工程CMM模型)的T.J. Halloran和William L. Scherlis两位教授在第二十四届国际软件工程科学讨论会上发表了他们的研究报告《质量与开放源码软件研发实践》。他们研究分析了十一个开放源码的开发项目，发现虽然任何人都可以接触到项目的源代码，但是，研发当中对采用贡献代码的严格的限制、以及严密的代码审核措施，使得开放源码软件的开发质量超越了商品软件。(http://opensource.ucc.ie/icse2002/HalloranScherlis.pdf)就在不久之前，IBM贡献出来的一些新代码，就没有被通过进入的Linux内核。

　　Reasoning咨询公司则从另一个角度来解释这种现象。他们同意开放源代码的支持者的这一观点，即“开放源代码软件中的错误可以被尽快的发现”。他们说：“对大型开放源代码应用软件，如Linux内核、Apache网络服务器等，无数的人可阅读其源代码，他们可以学习这些代码是如何工作的，也可以做出修改，或者发现错误。…而这一过程在大多数商业产品的开发周期中占据了太长的时间。”

　　因此，中国应当有信心基于Linux制造出自己的安全的网络操作系统。

　　警惕三重的危险

　　微软的“政府安全计划”，是用于攻破“政府采购”的武器，如果让其达到目的，中国就会遭受三重的打击：产业与技术发展的打击、经济收益的打击、还有更重要的是国家网络安全的打击。

　　因此，我们面对的是一个万分危险的计划。历史绝不会给予我们任何后悔的机会。

　　(雁鸣E-Mail: yimingyan@yahoo.com )

　　(版权为作者雁鸣所有，链接、转载或复制请与作者联系。)

　　订阅非常笑话 掌握成人世界的快乐宝典
　　新浪邮箱雄踞市场第一 真诚回馈用户全面扩容
　　在家学新东方英语 注会注册评估师 考研英语
　　无数人梦寐以求的境界，亲密接触，激烈搏杀，包你爽上“天堂”