安全咨询公司Recursion Ventures的首席黑客克丽丝-佩吉特是拉斯维加斯Black Hat和Defcon大会上鼎鼎有名的人物,她在去年现场演示了拦截手机电话的全过程。在今年大会发言时,她说她不喜欢微软操作系统的局限性,自己家里只 有两台搭载Windows操作系统的设备。在5年前,她被微软聘为渗透测试员,负责在Windows Vista发布前对它进行安全测试。她与微软签订了保密协议,该协议直到她今年在Black Hat大会上发言的前一天才到期。
Vista遭到了批评家严厉的批评,他们认为该系统速度慢,很多地方的设计存在缺陷。但是,佩吉特说,她对微软全面测试该系统安全性的做法感到印象深刻。 “微软在安全方面获得了相当大的进步。”佩吉特说,“安全是一个过程,而不是一个产品。它是不断发展的。微软在安全方面的名声素来极差,这其实有点冤屈 它。”
你也许会认为,佩吉特拿着微软的薪水,不可能真正保持独立性。而且,微软还是Black Hat大会的赞助商,而且每年都在会议期间举行大型派对活动。但是,今年大会上的发言稿必须事先通过独立评审委员会的审核。Black Hat大会创始人、著名安全专家杰夫-莫斯(Jeff Moss)说,在大会上绝对“不允许为供应商唱赞歌”。而且,佩吉特现在已没有为微软工作了。
佩吉特总结说,微软对待Vista的安全问题非常认真,它希望该系统比Windows XP更加安全。Windows XP的安全性能也饱受批评,而且它的漏洞经常遭到利用。在三个月的测试活动中,她和一个由其他外部渗透测试员组成的团队,受邀从安全的角度对 Windows Vista的所有新功能进行了调查研究。他们审核了源代码、记录了漏洞,采访了一些程序员,并在名为《最终安全评估》(final security review)的报告中记录了他们的调查结果。“微软在很多很多事情上的做法是正确的。”佩吉特说,微软在安全方面也是“世界领先”的。
此次调查工作发现了很多不得不修复的严重漏洞,因而导致Vista推迟发布。但是,微软总结说,它花费了25万美元来解决被发现的每一个重大漏洞,这笔 投资也得到了不错的回报。微软的程序员在规定的时间内修复了最危险的漏洞,并尽可能多地解决了漏洞名单中的其他漏洞。如果漏洞非常严重,安全顾问有权警告 相关责任人,如果这些漏洞不得到修复,他们负责的功能模块就不会被推出。“我们被一位内部员工称为‘强奸团伙’。”佩吉特说,因为安全顾问都是铁面无情 的。
佩吉特说,有一次,她一激动就公开宣称一项危险的功能为“零日”漏洞,也就是说在发布漏洞信息的同时尚没有修复该漏洞的办法。她非 常害怕微软会起诉她,该功能模块的程序员也非常害怕被微软解雇。但是,这项功能最终被修复了。“你能看到微软让我们来进行测试是有巨大风险的。”佩吉特 说,“没有什么是绝对安全的。但是,Vista朝这个方向迈出了很大的一步。”现在五年过去了,而Vista早已被Windows 7取代。但是,在那个时候,黑客攻击是一个日益猖獗的问题。佩吉特没有统计到底有多少漏洞得到了修复,但是她对整个过程感到印象深刻。
微软安全应对中心(Microsoft Security Response Center)负责人迈克-里维(Mike Reavey)在一次采访中说,微软一直在稳步增加安全方面的投资。里维也听过佩吉特的发言,他说,“很高兴有人讲述微软的故事。”里维说,Vista是 微软全面改善安全措施的开始。微软称,它销售的每一款产品都包含有安全开发周期(Security Development Lifecycle)这个过程。微软在最新报告中称,它的软件中的漏洞比以前更难被利用了。
在今年早些时候发布的一份报告中,微软对安 全问题的自我评估结果显示,就漏洞被利用的程度而言,它的安全性已经得到了相当大的改善。在从2010年7月到2011年5月期间发布的256个可利用指 数(Exploitability Index)类别中,有97个问题在最新版本中已不复存在,或比旧版本的风险更低。这意味着,就安全性而言,被发现的漏洞现在的危害性比以前更小了。
安全咨询公司iSec Partners的代表在发言时也盛赞微软的安全措施,称微软目前的网络安全性可媲美苹果。而且,微软还宣布,对于那些想办法提高微软软件安全性能的安全 研究员,它将会提供25万美元的奖金。这项奖励计划名为Blue Hat,旨在激励黑客为微软软件创造安全保护措施,而不仅仅是找出它的漏洞。
【编辑推荐】