在WINXP推出整整13年后,明天微软公司将停止对XP系统的安全服务,没有微软官方补丁支持的XP系统被业内戏称进入了“裸奔时代”,而根据第三方机构统计的数字显示目前中国仍然有至少2亿用户和各类政府机关、企业事业单位留守XP,这些用户及机构的上网安全并不容得玩笑。
4月5日,一项由民间力量阻止的“XP挑战赛”落下帷幕,比赛结果并不乐观——此前都专门针对XP停服推出过专版安全产品的360、腾讯、金山三家公司同场竞技、直面来自全球近200名顶尖黑客的挑战,看看谁家的防护系统能抗得过13个小时的黑客攻击。最终结果显示,只有360的XP盾甲成为唯一的胜出者。腾讯电脑管家(XP专属版本)在开赛仅57秒就被参赛者“shaheshang”攻破,后者成功盗取了电脑上的Word文档。1分53秒,金山毒霸(XP防护盾)也被攻破。
作为挑战赛唯一的胜出者,360公司副总裁谭晓生坦言这个过程并不轻松。在赛后接受新华社采访时,他表示,“网络安全的攻防永无止境,360“XP盾甲”会持续更新,希望能为用户提供真正有用的安全防护。”
360公司将自己的胜出归功于在安全领域的长期积累,“比如安全软件给系统打补丁就是360发明的,我们在防护微软系统安全上曾经获得微软全球18次致谢。”而这次被挑战的360安全卫士“XP盾甲”有系统加固、程序加固、补天热补丁、关键程序隔离四大引擎,其中隔离引擎的Sandbox(沙盒)防护技术如同给系统穿上了“软猬甲”,攻击难度颇高。而当天参加比赛的不少黑客都能攻破应用层面的漏洞,但都在360的Sandbox上铩羽而归。
谭晓生这样比喻, “如同给一辆桑塔纳装上宝马的发动机,并对整个轿车进行了加固”。谭晓生说,由于360在公司在安全方面积累多年,拥有丰富的技术经验,如同像经验老道的外科医生一样,可以在对系统漏洞进行反复检查的同时,保障系统本身的稳定运行。“像个小区保安一样,为用户把门,有程序过来先问清楚,你是谁,从哪来,要做什么?查清楚户口才能放行”。
Owasp中国区负责人、长城重点安全实验室主任陈亮陈亮认为出现这样的状况是必然的:金山由于人员流失,技术实力已经不如以往;而腾讯毕竟是做社交应用起家,在安全领域的积累和沉淀不够。360则是一直专注于安全领域,尤其是在操作系统级别的安全防护上有丰富的经验。因此在这次挑战赛中,综合能力最强的360安全卫士能够暂时抗住黑客的攻击,这个结果并不出人意外。
攻防无止境。黑客们不到2分钟时间内先后拿下腾讯、金山或许不乏“炫技”的意味,但有专业安全人士分析称,这次比赛在安全专业领域的重要性不啻于一次“反恐演习”,被挑战的三家安全产品中两家被“秒爆”,这背后折射出的是XP停服后形势严峻的网络安全环境。“就和体育比赛一样,挑战赛是在比赛环境下举行的,XP停服后是个漏洞百出的操作系统,到那个时候真实的网络安全环境只会比比赛环境更严峻、更复杂、更多变。比赛中只能抗57秒、1分钟,到了4月8日搞不好连10秒钟都扛不住。”
其实国际上对此问题有着更加清醒的认识。海外知名云服务公司Evolve IP的首席技术官Scott Kinka就表示:“任何一个单独的桌面安全风险,都将在这之后被无限放大,因为微软不会再为这个老旧的系统提供官方修复。各种恶意软件将汹涌而至,而你的每一个密码、商业机密、以及个人信息,都将处于风险之中。” 而云安全服务公司Qualys的首席技术官Wolfgang Kandek也赞同上面的观点。
事实上,常规的杀毒软件只能查收木马、病毒,其工作原理并非专门针对防护操作系统的漏洞而设计。这意味着常规杀毒软件在防护XP系统安全上,效果微乎其微,必须要有专门针对XP漏洞的安全产品。
但即便有专门的安全产品也并非能真正有用,这次XP挑战赛就是模拟XP停服后的系统安全真刀真枪比拼了一把。这也是大会组织的初衷之一,主办方合天智汇在比赛前接受媒体采访时就表示,“后XP时代”的信息安全一直备受关注,但国内安全厂商推出的防护软件究竟效果如何,普通用户委实很难辨别。该挑战平台就是基于这样的初衷,“是骡子是马,拉出来溜溜。”
有观点认为这次比赛的结果并不乐观,3家中2家安全公司被秒爆,而瑞星、江民等老牌杀毒软件公司因为没有专门防护XP的安全产品未能进入挑战赛,百度杀毒也处在雷声大雨点小的阶段,同样缺乏专门产品。本土安全产业在人声鼎沸的背后,是另一番景象。有实力的本土安全厂商的崛起,是中国互联网产业从大到强必不可少的一部分。但是,安全人才缺乏的掣肘,已经让业内人士倍感焦灼。
多名国内网络安全人士都指出,国内对于网络安全一直倡导只学防御,即使是专业的信息安全人才,在学习过程中也只能学防、不能学攻,“只有攻防兼备,才能保卫网络安全。”
但也有乐观的观点认为这次XP挑战赛开了个好头,一来是起到了重要的科普作用,通过这种“实战演习”的方式让大家意识到XP停服后的严峻形势,甚至让难以接近、略显神秘的网络安全领域,逐步走向大众化。
“类似的比赛应该持续搞下去,不能搞一次就拉倒。”国家安全应急技术工程实验室主任杜跃进博士则大大肯定了这次比赛的意义。“我觉得这次比赛特别好,是安全厂商展示技术实力的舞台,而且这种比赛应该是持续定期举办”。他说,从细节上看,此次大赛虽然有一些需要改进和完善的地方,但是总体很好,希望今后这样的比赛越来越多。今后,如果由第三方来办赛,或者有中立的第三方机构能发挥监督作用,那么比赛的公信力和权威性将会得到进一步提升。
中国计算机学会信息安全专业委员会主任严明认为,这类网络攻防比赛的出现,是一个好的开始,将来如果能以攻促防、攻防互动,将会大大加速我国网络安全相关产业技术水平的提升。