著名女黑客大赞微软在安全方面的进步

安全
国外媒体报道,微软的安全问题曾经是一个笑话。它的操作系统漏洞百出,经常被黑客利用,而且在历年的安全技术大会Black Hat上经常受到嘲笑。但是,在今年的Black Hat会议上,独立安全研究员、著名黑客克丽丝-佩吉特(Chris Paget)却出人意料地大赞微软在安全方面进步巨大。

安全咨询公司Recursion Ventures的首席黑客克丽丝-佩吉特是拉斯维加斯Black Hat和Defcon大会上鼎鼎有名的人物,她在去年现场演示了拦截手机电话的全过程。在今年大会发言时,她说她不喜欢微软操作系统的局限性,自己家里只 有两台搭载Windows操作系统的设备。在5年前,她被微软聘为渗透测试员,负责在Windows Vista发布前对它进行安全测试。她与微软签订了保密协议,该协议直到她今年在Black Hat大会上发言的前一天才到期。

Vista遭到了批评家严厉的批评,他们认为该系统速度慢,很多地方的设计存在缺陷。但是,佩吉特说,她对微软全面测试该系统安全性的做法感到印象深刻。 “微软在安全方面获得了相当大的进步。”佩吉特说,“安全是一个过程,而不是一个产品。它是不断发展的。微软在安全方面的名声素来极差,这其实有点冤屈 它。”

你也许会认为,佩吉特拿着微软的薪水,不可能真正保持独立性。而且,微软还是Black Hat大会的赞助商,而且每年都在会议期间举行大型派对活动。但是,今年大会上的发言稿必须事先通过独立评审委员会的审核。Black Hat大会创始人、著名安全专家杰夫-莫斯(Jeff Moss)说,在大会上绝对“不允许为供应商唱赞歌”。而且,佩吉特现在已没有为微软工作了。

佩吉特总结说,微软对待Vista的安全问题非常认真,它希望该系统比Windows XP更加安全。Windows XP的安全性能也饱受批评,而且它的漏洞经常遭到利用。在三个月的测试活动中,她和一个由其他外部渗透测试员组成的团队,受邀从安全的角度对 Windows Vista的所有新功能进行了调查研究。他们审核了源代码、记录了漏洞,采访了一些程序员,并在名为《最终安全评估》(final security review)的报告中记录了他们的调查结果。“微软在很多很多事情上的做法是正确的。”佩吉特说,微软在安全方面也是“世界领先”的。

此次调查工作发现了很多不得不修复的严重漏洞,因而导致Vista推迟发布。但是,微软总结说,它花费了25万美元来解决被发现的每一个重大漏洞,这笔 投资也得到了不错的回报。微软的程序员在规定的时间内修复了最危险的漏洞,并尽可能多地解决了漏洞名单中的其他漏洞。如果漏洞非常严重,安全顾问有权警告 相关责任人,如果这些漏洞不得到修复,他们负责的功能模块就不会被推出。“我们被一位内部员工称为‘强奸团伙’。”佩吉特说,因为安全顾问都是铁面无情 的。

佩吉特说,有一次,她一激动就公开宣称一项危险的功能为“零日”漏洞,也就是说在发布漏洞信息的同时尚没有修复该漏洞的办法。她非 常害怕微软会起诉她,该功能模块的程序员也非常害怕被微软解雇。但是,这项功能最终被修复了。“你能看到微软让我们来进行测试是有巨大风险的。”佩吉特 说,“没有什么是绝对安全的。但是,Vista朝这个方向迈出了很大的一步。”现在五年过去了,而Vista早已被Windows 7取代。但是,在那个时候,黑客攻击是一个日益猖獗的问题。佩吉特没有统计到底有多少漏洞得到了修复,但是她对整个过程感到印象深刻。

微软安全应对中心(Microsoft Security Response Center)负责人迈克-里维(Mike Reavey)在一次采访中说,微软一直在稳步增加安全方面的投资。里维也听过佩吉特的发言,他说,“很高兴有人讲述微软的故事。”里维说,Vista是 微软全面改善安全措施的开始。微软称,它销售的每一款产品都包含有安全开发周期(Security Development Lifecycle)这个过程。微软在最新报告中称,它的软件中的漏洞比以前更难被利用了。

在今年早些时候发布的一份报告中,微软对安 全问题的自我评估结果显示,就漏洞被利用的程度而言,它的安全性已经得到了相当大的改善。在从2010年7月到2011年5月期间发布的256个可利用指 数(Exploitability Index)类别中,有97个问题在最新版本中已不复存在,或比旧版本的风险更低。这意味着,就安全性而言,被发现的漏洞现在的危害性比以前更小了。

安全咨询公司iSec Partners的代表在发言时也盛赞微软的安全措施,称微软目前的网络安全性可媲美苹果。而且,微软还宣布,对于那些想办法提高微软软件安全性能的安全 研究员,它将会提供25万美元的奖金。这项奖励计划名为Blue Hat,旨在激励黑客为微软软件创造安全保护措施,而不仅仅是找出它的漏洞。

 

【编辑推荐】

  1. 四招教你保障网上支付安全
  2. 黑客在大会展示破解Wi-Fi和间谍飞机
  3. 迈克菲发布安全报告 否认为其产品推销
  4. 让IT安全维护飞上“云端”
  5. 全球信息安全 用"假定已陷入危险"方式考虑问题
责任编辑:Writer 来源: www.infosec.org.cn
相关推荐

2011-07-25 15:05:20

2010-07-01 15:06:23

SNMP服务配置

2011-09-05 17:05:03

2011-09-05 18:39:41

2023-02-21 12:41:54

智能建筑物联网

2017-08-06 11:48:24

2019-10-08 09:55:18

物联网智能建筑安全

2010-05-13 17:49:57

2019-06-21 14:45:40

机器学习企业安全漏洞

2009-11-27 11:22:39

Cisco 路由器AC

2021-07-26 10:34:47

物联网密码学IoT

2020-07-21 10:01:43

物联网医疗技术

2017-04-18 11:27:06

安全;开发;讨论

2022-07-08 10:16:50

安全保护数据恶意攻击

2011-05-26 16:29:58

2022-01-10 06:53:58

数据安全数据泄露网络安全

2021-12-02 12:43:18

机器学习边缘计算区块链

2019-07-10 05:03:33

物联网安全硬件软件

2023-10-10 06:57:32

2021-09-15 10:31:52

网络安全网络攻击网络威胁
点赞
收藏

51CTO技术栈公众号