|
本文摘自《Windows & .NET
Magazine UPDATE,October
29, 2003》
九月末,一个叫做计算机通讯产业协会(CCIA)的小组发布了一个报告,该报告指出微软的市场垄断地位危害了产业(你可以在http://www.ccianet.org/papers/cyberinsecurity.pdf阅读该报告)。尽管该报告是老生常谈,但它提出了新的观点。CCIA声称微软的垄断给国家安全带来了隐患。但是计算机世界是否由于微软的市场垄断变得更加不安全了呢?我想答案是肯定的,但是更完整的回答应该是:“是的,但是我们无能为力”。
报告的作者使用生物学比喻来阐述他们的论点。我们用下面的例子来解释CCIA的立场。假设采用遗传工程开发出完美的番茄。它口味好,可以在各种环境下生长,抗病能力强,产量高。在短短几年内,所有的种植者都栽培这种超级番茄。接着,一种特殊的番茄病冲击了番茄产业,99%的番茄无法收获。调味番茄和沙拉(美国最流行的两种调料)的短缺导致大量的汉堡包销售商破产,比萨市场缺少番茄沙司,使得意大利美食爱好者非常苦恼,混乱在你意识到之前就已发生了。如果有一些农场主种植了其它品种的番茄,只需要少量的二等番茄就可以拯救我们,但是它们不存在。
在生物/生态世界,这是一个严肃的生死存亡的问题。在一个具有多物种的生态系统(或农业系统)中,引入一种病害所带来的危害要远远小于仅有少数基因种类的系统。但是这个类比对计算机是否适用呢?也许是的。
想象一下在未来,绝大多数环境都运行Windows NT;再想像一下“冲击波”蠕虫利用的漏洞。如果发现冲击波漏洞的人从不告诉别人,相反,利用该漏洞制作破坏性蠕虫病毒,在系统中留下大量后门,用以进行FDISK和重建。设想一下这个蠕虫的传播速度向Slammer一样快速,它在7分钟内攻击了90%的系统,就像恐怖电影一样。因此,如果所有计算机都使用微软操作系统,并且微软操作系统仍然如此脆弱,易被MSBlaster或Slammer攻击,则这种情形肯定会发生。
我们该如何避免呢?很清楚,一个办法是应该更“cyberdiversity”。一定比例的用户使用Macs,一部分使用Windows,而还有一部分使用Linux、Solaris、HP/UX等等。或者更好的办法是每一个组织都使用多种系统。
现在,你一定会摇头说不。处理交互性问题,不论是在组织内或跨组织,都使得计算机更难于使用,我不相信有任何人会自愿承担更多的交互性职责。还是用农业来类比,有哪一个农民愿意栽培劣质的低收益的番茄呢?
我说过交互性在任何场合都令人头疼,普通计算机用户希望事情标准化。例如,如果没有Microsoft
Office的垄断,我怀疑20%的人将使用TeX处理文档,25%将使用类似PDF的工具,40%使用Corel
WordPerfect,其它15%将使用Lotus等产品。人们很自然地倾向于一套标准,而不管是否合理。
如果Linux或Solaris占据服务器和桌面操作系统的90%市场,我们将易受“killer
bug”的攻击。除非我们相信Linux或Solaris比Windows
Server 2003、Windows
XP、Windows
2000具有更少的漏洞以及更安全,但我从未见到能够证明这一点的数字统计。
现在,我们在墙上使用标准化的交流电(AC),而不是混合使用直流电(DC)和AC。我们统一了在多数小汽车油箱中使用汽油,而不是混合使用煤油、柴油和汽油。我们不必为动力的兼容性担心。同样,我相信总会存在一个垄断的操作系统,不管它是什么,并且它肯定也会易受攻击。
答案是什么?是的,在过去几年中,我们已经见识了许多引起恐慌的漏洞,包括微软、Solaris和Linux环境,但是微软的自动补丁工具是向正确方向迈进的一大步。这个公司还有很长的路要走,微软知道自己成了安全性问题的焦点,并且较好地解决了补丁问题。如果它不能解决,那么Solaris和Linux也许能够解决。 | 
