我們曾經報導過,在一次黑客競賽中。一位黑客只用了9個小時找到了Mac OS X操作系統的漏洞,並編寫代碼攻破了該系統,得到了1萬美元的獎金。近日,ComputerWorld雜誌採訪了這一攻擊代碼的編寫者,安全專家Dino Dai Zovi,請他談了對操作系統安全的看法。
起初這一漏洞被指為在Safari
瀏覽器身上,後來又變成了QuickTime播放器,這是怎麼回事?
我一直很清楚漏洞在哪裡。我一開始沒有確切指出漏洞的位置,是為了防止其他人通過這些信息反編譯我的漏洞代碼。最終,那次比賽的主辦方公佈了漏洞的具體信息,影響Mac OS X上所有基於Java的瀏覽器,甚至包括安裝了QuickTime的
Windows系統。
你在9個小時內編寫出了攻擊代碼,這是真的麼?
我以前也發現過Mac OS X甚至是QuickTime的漏洞,因此對這些代碼很熟悉。但是對於這一漏洞,我確實是在那天晚上發現並進行攻擊的。這就像釣魚,有時候你一天都釣不到一條,但有時你可以釣到很棒的。你會聽說到哪個地方很容易釣到魚,然後人們就開始都到那裡釣魚,那邊的魚就又變少了。這裡,QuickTime就是那個容易釣到魚的地方,我就去那裡找,很幸運的在很短時間內找到了。當然,我「釣魚」已經很久了。
你對Mac用戶的安全問題有什麼建議?
我建議Mac用戶將他們日常使用的帳戶設定為非管理員帳戶,為重要的數據設定單獨的密碼,並且在隔離開的加密磁盤上儲存敏感數據。
既然你在雙平台上進行研究,你認為Mac OS X 10.4和
Vista之中有誰的安全性更好麼?
在安全領域中,Vista的代碼質量比Mac OS X 10.4好的多。從安全更新中可以明顯看出,
微軟引入的「安全開發生命週期」(SDL)體系讓新編寫代碼中的漏洞數量明顯減少。我希望越來越多的軟件廠商學習
微軟的這套軟件開發安全管理體系。
http://www.enet.com.cn/article/2007/0504/A20070504571043.shtml
