黑客评点Vista

微软说“vista是最安全的windows版本”的话还言犹在耳吧。现在对于这一点，也许更应多听听黑客们是怎么说的？简而言之，黑客们认为这是一次进步，但归根结底，它仍如其他以往他们所剖析过的产品一样，也是可攻破的。
           通过认证仅需500美元
      “vista并不能检测到所有的bugs。”著名黑客h.d摩尔（h.d. moore）指出，“看看一个黑客可以如何来获得访问权的吧：刚才我就使metasploit通过了微软的自动化处理认证，总共才花了500美元。”作为metasploit project创始人兼metasploit framework（领先的开源漏洞开发平台）核心开发者的摩尔，同时还是breakingpoint systems的安全研究主任。他的话里隐隐讽刺，vista总盲目信任微软认证过的所有程序——即便这些程序可能包括一个黑客漏洞平台，要通过前门程序也仅需区区的500美元来通过批准就可以了。
        3月14日在纽约召开的2007安全高峰会，吸引了众多白帽黑客，这次会议完全是有关vista安全性的讨论会，摩尔也是其中一员。讨论会主题为“vista：我们有多安全？”，是由chips computer consulting的合作创始人兼首席技术官大卫.唐（david tan）所提呈的。与摩尔同时出席的还有同样享有盛名的黑客——coseinc安全研究员乔安娜. 鲁特克丝卡（joanna rutkowska）以及《hacking exposed wireless》一书作者艾尔奇（jon "johnny cache" ellch）。
       鲁特克丝卡表示，从她个人来讲她是同意摩尔这种观点的： 的确，要攻占一个vista 系统的一种方式是使rootkit获得认证；但如果仅仅只是想要一个带有隐患的系统，你甚至不必浪费时间和金钱去通过认证。“比如说一张带有愚蠢的bug的显卡驱动就行，”她表示。“对此你无可奈何。你并不能由于出现这bug就控告显卡供应商。你甚至不能证明这是故意行为。”
        此外，鲁特克丝卡还表示，直到微软及一些安全供应商整理出一张带有bug驱动程序的黑名单为止， vista都会是潜在攻击目标。当然，有些人则认为在内存中bugs总是能检测出来，对吧？别抱这种期望，鲁特克丝卡在几周前的黑帽大会上就已证明，漏洞利用程序事实上可以使用内存修补方法来隐藏他们的足迹。
        而大卫.唐之前虽也曾指出vista存在的安全弱点，但此次在与会的众多黑客面前，他还是表示这一新操作系统在安全功能方面的确做了一些改进。他对微软发起的可信赖计算（trustworthy computing）以及重新拟定的开发周期表示赞赏，评价按这种开发周期所生产出许多产品都“卓有成效”，比如sql server 2005的一款数据库版本到目前为止还未发现一个大的安全漏洞或缺陷。他表示：“微软这点上无疑是值得称道的。
        uac惹人烦
       此外，大卫.唐还表示，随着对安全性的日益关注，微软有针对客户端操作系统必然会关心的系统保护和数据保护这两个方面在vista中添加了一系列的安全功能。这些功能包括uac（用户访问控制），它强制用户使用有限制权限的账户，取代之前windows版本用户传统上都拥有系统管理员权限的情况。在vista上uac功能对所有用户是默认激活的，甚至是管理员账户也仅获得中度完整级权限，当然你还是可以关掉它。
       不过，也有人批评uac警告框实在是令人厌烦：首先uac使用了很突兀的颜色，桔红色代表警报，绿中带蓝则代表安全；其次如果用户想要继续已被警告行为，它总要提出征询确认。不过，鲁特克丝卡则完全不认同对uac的这种评价，她在博客中写道：“虽然uac是vista中引入的最重要的安全机制，但还是可以通过许多方式绕过它。”鲁特克丝卡的观点不久后就得到了赛门铁克研究科学家奥利.怀特豪斯（ollie whitehouse）跟贴。贴子发的时间在2月20日，标题为“为什么不能总是相信vista的uac提示的一个例子”；他在其中写道，这是由于要绕过uac很容易，仅使用社会工程学就能欺骗用户来批准违法用户获得权限提升。
        唐也在陈述过程中表示出他的担忧：频繁的uac征询对话框会造成一种“点击这里才能开始工作”的局势。“uac征询对话框过于频繁出现将会迫使用户关掉这项功能吗？”他表示。“倘若由此影响用户的日常活动，惹得用户最后不胜其烦也是有可能的。”
       不过鲁特克丝卡表示，她对没完没了地讨论“uac对话框真令人厌烦”这一问题的感到很困惑。“到现在我用vista已有两个月了，”她说。“除了刚安装的几天内，其他时间几乎没怎么注意到uac对话框。我认为uac，从技术角度讲是一个好东西；对一般用户而言，也是一种好的安全机制。”
       不过，鲁特克丝卡表示她不满意的一点是微软的态度。面对uac的批评声一浪高过一浪后，微软只是开始强调uac不是一个象防火墙那类的硬性安全边界，它更多意义上讲是一个导向性的工具。对此，鲁特克丝卡指出，不幸的是微软的这种态度正说明微软还未考虑过攻击的潜在途径也是一种bug。“从低级到高级[用户权限]的违法提升未被其考虑为一种安全bug。”她表示，“但事实上这类权限提升正是一种很好指标，表明设备已存在隐患。

          vista多项安全技术并不完善
        vista上另一个系统保护的功能是windows defender，之前它是作为一种单独的windows功能被下载的。defender会检测并移除任何不该有的应用程序，主动监控受保护区域。这项功能还可与组策略集成，从而能与主动目录（ad）协作使用。
        vista还有的一个系统保护功能是新windows 防火墙，它是在windows xp sp2防火墙基础上进行了扩展，并且通过提供双向保护得到了进一步改进。早先版本并不涉及出站感染的监控，完全忽略了一个受感染设备会继续往网络外扩散病毒。
         vista所添加的最后一个系统保护功能是 windows安全中心，它会检查并显示防火墙、自动更新、恶意软件保护（如，windows defender）以及其他安全设置的状态，包括第三方安全软件（比如，防病毒程序）。
        不过，唐批评了vista对安装程序的识别功能，这一功能会检查兼容数据库、启发式及一个系统的内置清单，来向操作系统声明所运行的是什么内容。唐表示，vista对安装程序的处理方式有潜在危险性，它所有安装程序都是以管理员权限运行，对文件系统及注册表有完全的访问权，也有能力加载内核驱动程序。他表示：“只要你一点击ok，这个应用程序就拥有完整的管理员权限功能，包括下载和安装rootkits。”
       唐还批评internet explorer 7在vista运行的这一版本没有提供保护模式。只有有了保护模式，才能使浏览器运行于受控的沙箱中，也就是说浏览器对系统组件只有有限的读访问权，从而确保不会从恶意站点下载木马或间谍软件。
       以上说的是vista中新的系统保护功能，接下来讲的是数据保护方面。新的操作系统有bitlocker驱动器加密（bitlocker drive encryption）功能，这是一项能对整个windows卷进行加密的功能，当笔记本电脑被盗或丢失时可以防止数据被窃。唐认为这个功能的唯一不足之处在于是它仅应用于vista的企业版及最终版，而在商业版中缺乏这项功能。
       vista的其他数据保护功能包括efs（加密文件系统），可用于加密文件及文件夹；权限管理服务（rms），可用于永久加密文件，若没有特有服务器许可这些文件不能以电子邮件方式被发送到企业以外；设备控制，实现了对即插即用设备（如，usb设备）的更好管理。
       唐还稍提及了一下patchguard技术，这项技术可完全锁定内核并将包括杀毒程序等一些第三方应用程序关在门外。不过patchguard技术除了引起安全软件供应商的不满之外，也在vista推出后不久居然就被攻破了。
        唐表示，vista中还有一些其他不完善的安全解决方案，微软在这些方面绝对是有待加强。比如windows defender性能差强人意，在杀毒测试中其快整扫描模式仅拦截到47%的间谍软件；而onecare安全扫描程序在virus bulletin （病毒公告杂志）的vb100%测试中表现很令人失望，在 av-comparative的测试中也不及格。
         除了所有这些以外，在1月9日发布了在vista的矢量可标记语言（vml）上存在一个高危的远程执行代码bug；在对vista强化对抗老漏洞功能的测试过程中，vista被发现除rootkits外在每一类都继续存在漏洞；对vista安全的主要增强功能仅可用于64位平台上；完全支持vista还需要新的硬件平台。
       虽然存在这些不合人意的地方。不过会议最后，唐以及众多黑客皆一致表示：vista安全防护方面已取得重大进步。“这是安全性的一个进步，而不是一场革命，”唐表示。“vista并不是一款安全解决方案，它至多是一个更安全的windows版本。”