最近,有一些黑客因利用微软软件中的缺陷兴风作浪而遭到逮捕。但据许多计算机安全专家和客户称,更重要的是,去年,微软在改进代码质量方面取得了重大进展。这在客观上提高了犯罪分子利用微软软件中的缺陷兴风作浪的门槛。现在,微软似乎有理由举杯庆祝了。
在上周四、五,微软在其总部举行了“Blue Hat”会议,邀请独立的安全研究人员参加。在会议的第一天,研究人员向微软的一些高级官员展示了他们的研究成果。在第二天,微软约9000名编程人员中的500 多人参加了会议。
互联网安全系统公司的入侵探测专家梅诺首先赞扬了微软在解决传统计算机威胁方面的成就。但他列举了Windows 操作系统处理外设方式中的一个基本错误,从理论上来说,通过将便携式设备插入计算机端口中,黑客能够在个人电脑中注入恶意软件。他还指出,Xbox 360游戏机的安全也存在问题。
研究人员的演示表明,在提高软件安全性方面,微软还有许多工作要做。但是,与会者也都一致认为,在放慢病毒、蠕虫、垃圾邮件、间谍件的传播速度方面,微软已经取得了一些进展。
独立计算机安全研究人员卡明斯基说,微软做得并非至善至美,但与竞争对手相比,它已经取得了重大进展。
微软与其批评者的接触表明了它在计算机安全方面态度的变化。这种转变是在4 年前开始的,当时,微软负责安全事务的资深官员乔治参加了“Black Hat ”会议。
尽管在会上发现微软受到了广泛攻击,乔治第二年又参加了这一会议,并开始赞助一次聚会,与安全研究人员开始接触。后来,他又了新的想法。
他对另一名微软高官说,我们在干什么?这将酿成一场灾难。今年,微软走得更远,它邀请外界的计算机安全研究人员到其总部为编程人员布道。
以前,微软对安全研究人员一直奉行“不接触”的政策。微软的态度在2002、2003年发生了变化,当时,利用微软软件中缺陷的Blaster 和Slammer 蠕虫在全球范围内疯狂传播,并威胁到了它与消费者和企业客户的关系。
当时,情况非常严重,微软不得不将其开发活动中止了二个月,对开发人员进行安全编程方面的培训。
卡明斯基表示,微软的这些变化是绝对必要的。他说,安全问题会扼杀Windows。微软愿意与其安全批评者直接接触给他们留下了深刻印象。
计算机安全研究人员斯普尔曼说,战舰正在开始转向。我在这里这件事儿就表明,微软已经发生了多么大的变化,它已经开始明白,我们社区与它同样关心安全。
但梅诺警告称,微软正在濒临攻击将更令人烦恼的时代。他指出,移动设备世界将使目前的安全措施完全不适用。这类设备将使远程黑客能够跳过防火墙,从一个网络跳到另一个网络,访问企业网络。
他说,攻击的性质将不再是Blaster 等全球性蠕虫,因为计算机犯罪活动越来越倾向于盈利,一个缺陷能够给计算机地下社会带来多达5 万美元的经济回报。有目标的攻击活动越来越多了。
微软的官员和安全研究人员都表示,2004年Windows XP SP2的发布极大地提高了系统的安全性。微软的官员还将发布的安全公告数量的减少作为新设计理念已经产生效果的证据。
微软说,在2 年半的时间里,针对Windows 2000 Server 的安全公告有69个,同期针对Windows Server 2003 的安全公告有41个。
在发布后的594 天中,针对2001年版Office XP 的安全公告有11个,同期针对Office 2003 的只有6 个。在于去年6 月份结束的一年中,针对Windows XP SP1的安全公告有35个,同期内针对Windows XP SP2的安全公告只有18个。
