漫谈网络安全（连载四）

本文仅代表作者观点，如有谬误请予指正

回到我们熟悉的领域，计算机时代。计算机时代的来临意味着一个新的时代的开启，从最早的埃尼阿克开始，可能很多人已经忘记了这个名称，但是他为曼哈顿工程带来的杰出贡献却是难以让人忘怀，跳开所有大型机、小型机的问题。我们回到PC 年代。一个问题产生了，计算机和计算机系统有什么不同？一个只有躯壳的人和一个拥有大脑的人的差异就是计算机和计算机系统的区别。我们要让计算机学会思维，其依靠的不是简单的硬件来实现，一个只拥有硬件的计算机我们称之为裸机，他不具备可操作性，所有的指令都不能通过任何输入设备传递给CPU 执行运算并形成输出，但是所有的运算基础都是由这些不能单独运行的硬件来完成。也就是意味着，物理安全有时候比应用安全和逻辑安全更加重要和关键。随着计算设备的不断小型化、微型化，设备的被盗和丢失比设备损坏或者被入侵带来的问题更严重。

一台裸机如何具有思维，我们首先要让他具有一个思维的驱动力，拥有一个可以解读事物的大脑，那就是OS（操作系统）。操作系统首先要能认识它所处的这个世界的每一个硬件、固件，并且能够为未来加入的软件提供一种解释和传递，沟通，协商硬件的能力。当计算机具备这种初级能力时，应用软件就和书本一样，被逐一添加进入计算机中，形成一个完整的体系概念。同样，每一个软件都应该能够和操作系统相匹配，如果不能匹配就必须为它增加一个解释器或者翻译器，如同我是中国人，你要让我读英文，要么你教会我英文，要么你给我配一个翻译一样。

如果你的大脑被填鸭一样塞入的知识超出你的脑容量，你会发疯甚至崩溃，而计算机也一样。如果你为它添加的应用软件超出硬件的可承载范围或者运算超出其可接受范围，它也会崩溃。当然，人崩溃了我们称之为精神异常，而计算机崩溃我们通常称之为“溢出”。溢出在计算机中是一个复杂的技术概念，但是我们可以这样去想，一个本身可以喝1斤酒的人，非要去喝1斤1两，结果很可能造成呕吐，这种俗称上溢，或者堆溢出。因为你自身的容量和数据量不相匹配，数据超出你的容量而导致溢出。这种溢出会暴露你的饮食，所以会造成一种有限的数据泄露，保密性丧失。但是更严重的是，一个喝醉的人只能躺在一个地方任人蹂躏，这是可用性的完全丧失导致的。所以溢出最大的问题在于可用性保障，因此千万不要认为计算机无所不能，即使是量子计算或者人工智能也逃不开这种结局，很显然，目前的技术而言，任何计算单元都不可能逃避软件和硬件的逻辑关系。现在的开发和安全专家不断通过各种技术和手段去防范堆溢出的发生，的确这种问题也得到很好的改善，但是其依旧是攻击者经常会使用的一种手段，同时，低劣的软件导致的溢出问题层出不穷。细心的读者会问有上溢是不是还会有下溢？当然，虽然你很能喝酒，但是恰好你肠胃不适，不管喝多少都会拉肚子，这就是一个典型的下溢逻辑，溢出产生是由于内存物理缺陷或故障导致溢出的问题。什么样的内存会产生这种问题呢？内存颗粒焊点、在一台主机上混插各种不同品牌或者容量的内存条；不同内存厂商在生成内存校验算法时所形成的软件缺陷；主板和内存的兼容性等等问题都会产下溢，也就是我们通常所说的栈溢出。由于更多的产生与硬件问题，国内很少能看到讨论栈溢出的相关文章，但是未来边信道/侧信道攻击过程中，这是一种重要的利用手段。

回到我们的计算机时代继续讨论。我们了解了计算机的基本工作原理，我们开始分析计算机时代的安全问题。首先当然是物理安全，从商业价值而言，被盗是不可接受的，昂贵的成本不可容忍；早期的计算机低存储，低内存，所以更多的是用于计算而不是数据的存储。而现代计算设备不仅是运算节点，还是存储节点和支付节点，这就使的物理安全被赋予新的含义，被盗的影响在于能不能接受存储数据的丢失、保密性和支付端被恶意控制后造成的财务损失，而不是简单的设备价值；

计算机物理安全还应该包括物理硬件，物理接口安全。供应链安全随着“落鹰行动”走向了前台，其实众所周知的问题，计算机核心硬件不仅仅是CPU，内存，还包括BIOS，可能针对BIOS的改写远远便捷于CPU，它不会影响计算机的整体运行，同时它又负责从计算机加电后的所有调度和指令集。一块主板上增加一块芯片是否能够执行很大程度上取决于BIOS能否引导其运行和启动。可信计算的问题由此而生，这时候美国国防部（DoD）提出来可信计算基（TCB）的概念。可信计算基是建立在密码学基础之上，从两侧讨论安全的基础理论，一方面是针对硬件端的可信（TPM），一方面是针对操作系统（TCSEC）的定义，国内研究可信计算真正的权威应该非沈昌祥院士莫属。物理接口如何理解？早期计算机的物理接口包括PS/2，串行通信，并行通信接口，负责输入输出设备的接入，由于接入本身是单点，这使得这类安全更多的会考虑硬件损坏或故障产生的不可用或者误码的问题。因此早期在特定领域会通过电磁泄露检测来识别可能存在的泄露，但是其本身不可移动，只要能够控制可接触的距离和屏蔽，很多问题都可以控制在可接受的范围之内。同时由于这类采集设备的专业性和昂贵的价格也使的社会型攻击者难以为继。

当然硬件安全少不了CPU和内存以及各种板卡的安全问题，在此暂不做描述。计算设备不断在发展，实质今日我们可以发现：以一台手机为例，GSM 模块、WIFI模块、蓝牙、红外线（部分手机适配）、NFC、GPS/GNSS，涵盖了无线通信、射频通信、近场通信、基站通信、卫星通信技术，Type C多功能物理接口，USB，HDMI，摄像头，陀螺平衡仪，指纹识别、压力感应器等，不断增加的接入模块从另一个侧面而言增加了硬件本身的复杂性和可控性。模块增加了，是否真的提升了产品的性能和用户体验？这时候业务和安全的矛盾开始产生了。最小化安全的基本含义就是关闭一切不使用的模块，对模块的使用采用知必所需，最小授权的原则。这也会讨论物联网安全的基础和起点。标识所有的DCS以及通信模块、通信方式、通信接口，从物理边界开始向外延伸，“一屋不扫何以扫天下”。

原文始发于微信公众号（老烦的草根安全观）：漫谈网络安全（连载四）