在今年的3月28日,全球计算机安全领域的顶级赛事——PWN 2 OWN在加拿大温哥华举行。在这次为期三天的黑客大赛中,主办方提供了三台装有不同系统的笔记本电脑让参赛者进行网络攻击,率先攻破的黑客便可将其纳入怀中。最终,来自美国Security Objectives公司的谢恩·麦考利和他的伙伴攻下了装有Vista SP1的富士通笔记本。
因为大赛要求不得披露攻击的细节,所以我们只知道获胜者是利用跨平台的JAVA漏洞攻下了Vista SP1,而同时我们也记住了这个让全世界电脑爱好者钦佩的名字——谢恩·麦考利。
和电影里的高手不同,现实生活中的“黑客”们并非都长得精瘦,戴黑框眼镜,或者手指不停飞速地敲击键盘。他们看上去与普通人无异,而到了网络这个虚拟现实中,他们的巨大能量便被释放,一个个网络漏洞被他们巧妙找到,并迅速编写出自己需要的攻击代码。而且,更重要的是,他们的存在并不完全是为了把我们的网络世界搞糟,恰恰相反,譬如麦考利便是一家计算机安全公司的核心人员。这次《家用电脑》也很荣幸地邀请到谢恩·麦考利本人,请他谈谈自己在计算机安全方面的心得。
高手榜:
谢恩·麦考利:英文名Shane Macaulay,计算机安全专业人士。曾在IBM、Core Security Technologies、@Stake等多家安全机构工作,在2006年的时候开办了属于自己的公司Security Objectives。在黑客大赛中,谢恩·麦考利是个常见的名字。他在去年便摘得了这个赛事的桂冠,是名当之无愧的黑客高手。
Vista SP1给我的攻击增加了难度
家用电脑:你认为在本次黑客大赛中,遇到的最大挑战是什么?
谢恩·麦考利:最大的挑战就是所攻击的系统本身(即那台富士通的笔记本电脑),很明显,这台电脑的CPU和内存容量都比我们预想的要差很多。我们曾经在2006年测试过一台联想的T60笔记本,这在当时是中等配置,而这次的富士通810笔记本则在CPU和内存方面比它差了不少,直接影响到我们攻击的效率。我也不止一次地发过牢骚,认为它的配置都不够装Vista的基本要求。
家用电脑:你认为与以前的操作系统(如WinXP)相比,Windows Vista的安全性能表现如何?
谢恩·麦考利:Vista在安全性方面已经更进一步了,而且微软也越来越开放,比如针对协议和规格发布了更多的文档供程序员参看,这很好,但是他们还可以做得更好!比如我认为微软应该发布每个系统文件的每512字节校验码,这样就可以更加完善系统文件的检测体系,从而让系统更加安全。总的来说,更开放的架构和更多的资源能够帮助Vista提高自己的安全水平。
家用电脑:随着Vista SP1的发布,最近很多用户都开始升级到这个系统了。你认为Vista SP1是否比Vista安全很多?
谢恩·麦考利:我对微软官方的Vista SP1改进声明并不是很了解,不过在大赛中,SP1的默认安全策略的确给我们的攻击造成了难度。尤其是当我们使用一系列技术手段马上就要获取系统控制权的时候,就在这个关键时刻,它的堆栈保护和数据执行保护使得我们的代码运行失败了。所以之后我的朋友,VMware公司的研究员亚历山大·索蒂罗夫帮助我完成了另一段代码。他是使用JAVA程序编写的,绕过了系统的保护,让我们在堆栈群中有了运行的权限。
我的攻击既能干掉Windows,也能搞定其他的系统
家用电脑:我们获悉这次你是利用了跨平台的漏洞(即JAVA程序中的漏洞)攻破了Vista,那么这种漏洞是否会在未来成为一个很大的安全威胁呢?
谢恩·麦考利:这个攻击会影响到三大操作系统中的任意一种(Windows、Linux和MAC OS X)。当然,由于我近期的主要精力都放在了Windows下,而且我也记不清那么多的语法规则,所以我们还不会把攻击代码转向另外的两个操作系统上。不过如果当时大赛只设置了一个攻击对象,比如攻击苹果的MAC OS X,那么我想我们还是可以搞定它的。
家用电脑:如果大赛中的那台富士通笔记本安装了反病毒软件或者反木马软件,你是否还会顺利地攻破它呢?
谢恩·麦考利:那台电脑肯定没装安全软件。最近我做过这类的测试,安装了CheckPoint出品的一款互联网浏览器安全工具ForceField,它就很有效地保护了系统,将我们的类似攻击方式给成功阻止掉了。
家用电脑:向我们的读者介绍一下你的工作吧,你的公司有哪些研究成果?
谢恩·麦考利:我们在官方网站上提供多种咨询服务(网址www.security-objectives.com),不久以后我们将发布一些关于我们的旗舰产品的描述文档。我们的产品将能帮助用户自动找出二进制程序中的潜在危险。
谢恩·麦考利(右)和他的伙伴拿走了这台富士通笔记本
要想电脑安全,多请几个专业人士来帮忙
家用电脑:在中国有数以亿计的互联网用户,也有非常多的网站站长,请问你对他们有些什么安全方面的建议?
谢恩·麦考利:我建议大家在检测系统的安全漏洞时,最好能让不同的人来进行。首先是用户自己来检测,然后请一个专业人士进行检测,之后再由与前一个无关的专业人士重新进行评估和检测。这样能最大限度地保证系统安全,用户自己也学到了相关的知识,了解哪些是安全的重点,例如了解防火墙是否在正确地运行,查看系统是否安装了未知的或有风险的软件等等。另一方面,邀请多个专业人士进行评估,也能让他们互相竞争,使系统运行达到最好的状态。
家用电脑:不知道你是否来过中国,欢迎你到中国来做客。
谢恩·麦考利:谢谢。我周围有很多朋友都去过中国,不过我还没有去过,将来有机会一定去!另外我也知道了四川地震的消息,我希望针对地震的紧急救助能快速有效地进行。在如此巨大的自然灾害面前,我们人类往往会显得力不从心。在此我对地震中遇难的人们表示哀悼,同时希望我们每个人都能去无私地帮助别人。愿灾区的重建工作顺利开展,保重!