安全厂商关于vista的安全评估.doc

安全厂商关于Vista的安全评估 数年来，安全软件供应商们都是依靠微软的错误来大赚一笔的。安全漏洞以及人们对安全漏洞的恐惧让很多软件开发者赚了大钱。因此，赛门铁克是否真的对vista的安全性感到担忧呢？近日，赛门铁克发布了一份研究报告“vista操作系统的安全隐患”，该报告举出了该操作系统的新的安全特性的一些问题。甚至连微软也让步了，他们现在认识到uac(用户帐户控制)vista的最显著的安全特性易受subversion攻击，尤其是通过社会工程策略。微软的让步是一回事，赛门铁克的评估则是另外一回事了。如果微软提高了安全性无论是在操作系统还是它所发布的自己的技术方面有所提高那么其它软件开发商就会受到潜在的威胁。在这种情况下，赛门铁克所发表的关于vista安全的任何信息都将与其自身利益矛盾。“赛门铁克对vista的研究报告做得很好，很有研究；它们不是不确定的或者具有猜测性的报告”yankee集团的安全研究项目经理andrew jaquith说。但是赛门铁克也会试图对用户进行劝说，jaquith 强调“最主要的目的就是让用户认为他们的产品对vista系统的安全性同样有帮助。”我的同事jim rapoza恰当地把软件提供商和微软的关系描述成了“狮子和老鼠们”。“微软需要周围这些小老鼠驯服于它，并且完成这个狮子关照不到的地方。而小老鼠们则靠狮子得到的食物过活，”jim解释说。但是那些麻烦的小老鼠们“总是担心会被狮子吃掉，或者担心微软进入安全软件供应市场而不再依靠它们的产品。”老鼠们的担心不是毫无道理的，因为微软不仅仅是提高了windows的安全性。拥有着forefront和windows live onecare这两大产品，微软现在在消费以及商务级的安全市场领域已经是它们名副其实的竞争者了。微软作为安全软件竞争者也很矛盾。当然，微软也希望在安全领域有最好的前景。“赛门铁克的研究对消费者很有利，因为它是对微软信息的一个有力的修正，”jaquith说。尽管vista的安全性高于windows xp，“人们能从微软之外的角度来找出缺点，也是很有必要的。”诚实得近乎残酷尽管赛门铁克的研究对vista的安全性有所赞许，但由于这些报告十分清楚，并具有预见性，可以说，它对vista的批评近乎残酷：“微软用来提高vista安全性的很多技术并不新鲜。事实上，其中很多技术本来都是来自于开放源码操作系统，比如linux和openbsd，the pax和stackguard项目等等，还有些是来自很多学术论文的研究成果。这些技术中的很大一部分都是先出现在windows xp sp2(sp2)中的。微软的windows xp sp2刚一发布的时候，微软也称其为最安全的windows操作系统。”这个报告认为那些早期的安全方面的进步对windows系统的安全性具有着积极的影响，尤其是有利于它改进自身的某个缺点。“赛门铁克发现越来越多的攻击开始针对操作系统上运行的应用程序，比如 office 套件和网络浏览器，尽管微软在保护操作系统的核心方面投入很大，但是攻击早已转移了方向。”应用层和网络层的威胁现在是安全问题中最热门的话题。honeypot项目在2月7日的报告中称，“了解你的敌人：网络应用程序威胁是最基本的内容。”activex和zero day漏洞的涌现昭示了一种趋势。随着越来越多的攻击集中到攻击应用程序上，微软将需要转移它的安全侧重点了。类似地，赛门铁克找出了vista安全问题的症结区域，比如合法程序，新的网络特性和uac。即使是那些有改进的部分也同样伴随着攻击。“vista比起xp系统来说，把恶意软件的威胁降低了95%，”jaquith说。“尽管如此，围绕windows的那些恶意软件也不会自动消失。就像在足球比赛中，参赛者要尽力寻找对方破绽以便得分一样，专业的恶意软件编写者也会竭尽所能寻找vista的弱点。”无论如何，像赛门铁克这样的安全软件开发商仍能够从微软的手指缝中赚到大笔钱。如今，微软的高级安全产品无论操作系统还是它自己的竞争软件并不会与赛门铁克关于vista的评估发生冲突。相反地，jaquith说“赛门铁克的研究广泛地印证了我们的观点。”