It's time to say goodbye 。
2014年4月8日如期而至,這一天,微軟停止對XP系統的支持,這意味著微軟歷史上服役時間最長的一款產品進入了“裸奔時代”。說它裸奔是因為沒有了微軟的官方補丁,“漏洞百出”的XP系統要直面全球黑客們的攻擊。另一方面,傳統的殺毒軟件失靈——殺毒軟件殺的是木馬、病毒,對操作系統的漏洞,防護能力幾乎是零。
但即便如此,仍然有眾多人不愿意舍棄那一份“藍天白云”。第三方的數據顯示,全球范圍內XP的市場份額約占25%,而中國XP市場份額高達70%以上,目前中國有超過2億臺電腦仍然在使用XP系統。此外,還有眾多的政府機構以及企事業單位因為各種各樣的原因留守XP。
倪光南不止一次地呼吁,XP停止服務是一個重大的信息安全事件,需要認真應對。“特別是對中國而言,應集中我國信息安全領域的力量協同攻關,采用自主創新的可信計算技術進行安全加固。” 倪光南認為,在微軟停止對XP支持后,中國應推出有公信力的安全云服務,接管國內XP電腦用戶的服務支撐,以此可防止在微軟停止支持XP后,繼續使用XP的電腦出現嚴重安全事件。
微軟把善后工作甩給了第三方安全廠商,而這對于已經甚囂塵上的中國安全產業來說,無疑“火上澆油”。
XP曲終人不散,真正的大戲剛剛開演。
中國網絡安全的分水嶺
“XP停服”是一場有明確時間表的“陣地戰”。微軟早早地發布公告稱2014年4月8日是最后期限,幾輪廣而告之下來的結果是,用戶以及黑客們都清楚地明白4月8日這個時間節點。
“這就好像當年孟良崮戰役,敵我雙方都很清楚對方的實力。”一位不愿意透露姓名的安全圈人士這樣分析:“敵,就是全球的黑客。我,就是微軟以及安全公司們。”當然,在4月8日之后,微軟已經完成了交接棒的工作,將防護XP系統安全的工作交接給了安全公司。
4月9日,微軟通過其全球官網,向留守XP的用戶推薦了24款安全防護產品。令人遺憾的是在這24款安全防護產品中,只有360一家中國大陸的安全廠商。
微軟的謹慎和苛刻是有道理的。正如倪光南預言的那樣,XP停服是“一個重大的信息安全事件”,波及范圍廣,用戶數多,第三方統計的2億用戶只是保守的估計,其中或許沒有包括眾多的盜版用戶。
除了普通消費者外,眾多政府機構、企事業單位在使用XP。XP系統在中國上市一周年時,媒體公開披露的信息顯示,包括中國海關、江蘇省國家稅務局、廣東省財政廳、昆山市政府等在內的諸多機構都采用了。
而且,政府和大企業用戶有很多專屬應用系統,早年間都是基于Windows XP環境下開發的,升級到Vista、Windows 8后無法運行,需要付出二次開發成本。這些因素決定了政府和大企業用戶短期內無法遷移或升級系統。
以教育領域為例,全國41萬多所學校中,機房和IT平臺安裝使用的大多是XP系統。有業內人士預言,校園很可能因此成為黑客攻擊的重災區。據教育部公布的相關數據,全國初等教育(小學)學校數量超過32萬所,中學和高校數量也分別達到近9萬所和2000余所。在教育辦公自動化建設中,很多辦公軟件是基于XP系統開發,短期內無法支持Win7和Win8系統。
當然還有眾多大型企業的ERP系統幾乎都基于XP系統開發。以國內最大的管理軟件廠商用友為例,2002年其旗艦產品U8管理軟件就通過了微軟Windows XP兼容性測試。根據用友公司的統計,U8已經累計擁有60萬家用戶,涵蓋多個行業以及領域。
媒體的公開報道顯示如八方達公交集團這樣的公司,擁有運營車輛6525部,總資產169億元。該集團使用用友U8軟件,涉及財務管理、人力資源、資產管理幾大模塊,共涉及分公司12家,分布站點580點,每日在線運行資源200點左右。這樣的企業級用戶要進行系統級遷移,無疑要耗費大量的時間以及人力成本,并非一蹴而就。
此前,甚至有傳言稱 “4月8日后到ATM機存取現金有風險!” 盡管這在安全專家看來,不過是市井傳說與危言聳聽,但XP停服之后復雜的網絡安全環境卻不容小覷。
原因在于常規的殺毒軟件查殺的是病毒和木馬,不是防御系統級的漏洞。“系統有漏洞,就像一個房間的墻壁損壞,小偷可以隨便出入。”中國國家信息安全漏洞庫特聘專家、360漏洞實驗室主任袁仁廣說:“以往安全軟件只能防木馬病毒,對漏洞缺乏抵抗力。在沖擊波蠕蟲爆發、伊朗核設施被Stuxnet(震網)破壞、谷歌公司遭遇極光攻擊等安全事件中,黑客攻擊都是通過漏洞發起,安全軟件基本形同虛設。”
安全公司深知,必須推出針對XP的專版防護產品,但知易行難。事實上,針對XP停服,中國網絡安全產業只推出了三款專版產品,分別是360 安全衛士XP盾甲、騰訊電腦管家(XP專屬版本)、金山毒霸(XP防護盾)。但是,最終入選微軟全球推薦名錄的只有360的安全產品。
老牌的瑞星、江民等傳統殺毒軟件廠商似乎沒能跟上,沒有開發出針對XP停服的專版產品,而安全新軍百度殺毒不過雷聲大、雨點小。
“XP停服是客觀事實,與其怨天尤人,不如自己創新。” 360公司總裁齊向東說:“360的產品是我們給用戶的一個交代,希望用戶能看到中國本土廠商的實力。”他認為,相信騰訊、金山、百度等等能慢慢成長起來,中國本土的安全廠商還是有希望的。
攻防無止境
安全對于整個互聯網來說,一開始并非主流的應用。時光如果倒退10年,互聯網行業言必稱門戶,倒退5年言必稱搜索。安全行業持續升溫恐怕是最近2-3年的事情,原因可能在于互聯網的各項應用持續深入,已經與普通人的日常生活息息相關。
另一方面,沒有網絡安全就沒有國家安全已經成為共識。中央網絡安全和信息化領導小組3月成立,無論是廟堂之高抑或江湖之遠都已經感受到了某種氛圍。一向以嗅覺靈敏、反應迅速的互聯網行業更是迎來了進軍安全領域的小陽春。
XP停服,更是成了中國網絡安全公司的盛宴。
2014年2月份,360搶先推出了XP盾甲產品。
3月,騰訊、微軟、聯想等幾個大佬級的公司聯手推出了“扎籬笆計劃”,稱將為XP用戶提供安全防護。這個計劃的參與者相當廣泛,除了三大巨頭和一些安全公司外,亦包括了騰訊入股的搜狗公司。而在發布會上,金山公司CEO傅盛高調表態,XP用戶支持行動希望通過聯合防御體系,規范XP系統保護市場,制止利用XP漏洞恐嚇用戶的行為。
雖然在發布會現場,扎籬笆計劃并未推出實質性的產品。但隨后,騰訊和金山拿出了專門的XP防護專版產品。 金山毒霸承諾,將提供第三方的XP安全升級補丁及相關產品解決方案。
緊接著,百度衛士宣布將推出“XP用戶解決方案”;瑞星殺毒宣布將為用戶提供漏洞監控服務;北信源發布了北信源金甲衛士和企業版的北信源金甲防線兩種具體的產品。
中國的XP用戶們是否可以高枕無憂了?4月5日,微軟XP系統退役的前三天,一家名為合天智匯的安全公司組織了一場專門針對XP系統的黑客攻擊大賽。只有360、騰訊、金山三款針對XP的專版防護產品入選,成為黑客們攻擊的目標,其它產品甚至沒有入選。
比賽開始42秒,騰訊被爆;不到一分鐘,金山被爆;只有360熬過了13個小時。騰訊公司副總裁丁珂回應稱:“從專業角度看,所謂現場1分鐘,更多可能屬表演性質。客觀說,沒有任何軟件是完美不可攻破的。現實世界也沒有攻不破的安全系統的。如果不限制時間,再高安全級別的系統都遲早會被打破。”
360公司副總裁、首席隱私官譚曉生也坦言這個過程并不輕松:“攻防無止境。”
全球性安全組織Owasp中國區負責人、長城重點安全實驗室主任陳亮認為,出現這樣的狀況是必然的:金山由于人員流失,技術實力已經不如以往;而騰訊畢竟是做社交應用起家,在安全領域的積累和沉淀不夠。360則是一直專注于安全領域,尤其是在操作系統級別的安全防護上有豐富的經驗,勝在綜合能力強。
黑客們不到2分鐘先后拿下騰訊、金山或許不乏“炫技”的意味,但有專業安全人士分析稱,這次比賽在安全專業領域的重要性不啻于一次“反恐演習”,這背后折射出的是XP停服后形勢嚴峻的網絡安全環境。“就和體育比賽一樣,挑戰賽是在比賽環境下舉行的,XP停服后是個漏洞百出的操作系統,到那個時候真實的網絡安全環境只會比比賽環境更嚴峻、更復雜、更多變。”
其實國際上對此問題有著更加清醒的認識。海外知名云服務公司Evolve IP的首席技術官Scott Kinka就表示:“任何一個單獨的桌面安全風險,都將在這之后被無限放大,因為微軟不會再為這個老舊的系統提供官方修復。各種惡意軟件將洶涌而至,而你的每一個密碼、商業機密,以及個人信息,都將處于風險之中。” 云安全服務公司Qualys的首席技術官Wolfgang Kandek也深表贊同。
即便有專門的安全產品也并非能真正有用,這次XP挑戰賽就是模擬XP停服后的系統安全真刀真槍比拼了一把。這也是大會組織的初衷之一,主辦方合天智匯在比賽前接受媒體采訪時就表示,“后XP時代”的信息安全一直備受關注,但國內安全廠商推出的防護軟件究竟效果如何,普通用戶委實很難辨別。
也有樂觀的觀點認為這次XP挑戰賽開了個好頭,一來是起到了重要的科普作用,通過這種“實戰演習”的方式讓大家意識到網絡安全嚴峻形勢,更能夠幫助公眾識別出那些“不安全”的安全軟件,讓略顯神秘的網絡安全逐步走向大眾化。
“類似的比賽應該持續搞下去。”國家安全應急技術工程實驗室主任杜躍進博士認為,今后如果由第三方來辦賽,或者有中立的第三方機構能發揮監督作用,那么比賽的公信力和權威性將會得到進一步提升。
360是僥幸嗎?
XP挑戰賽的失敗者們認為360贏得僥幸。而譚曉生則認為,之所以360能夠在“守護XP”一戰中取得領先,是360長期站在與黑客攻防的第一線,在安全領域有長期積累。“比如安全軟件給系統打補丁就是360發明的,我們在防護微軟系統安全上曾經獲得微軟全球18次致謝。”而這次被挑戰的360安全衛士“XP盾甲”有系統加固、程序加固、補天熱補丁、關鍵程序隔離四大引擎,其中隔離引擎的Sandbox(沙箱) 技術是攻擊難度最高的,當天參加比賽的不少黑客都能攻破應用層面的漏洞,但都過不了沙箱技術。
譚曉生這樣比喻: “如同給一輛桑塔納裝上寶馬的發動機,并對整個轎車進行了加固。或者說,像個小區保安一樣,為用戶把門,有程序過來先問清楚,你是誰,從哪來,要做什么?查清楚戶口才能放行”。
“以前黑客更多是技術專業人士,做病毒是為了炫技,但后來越來越多的黑客變成了就是要騙錢,有一個黑色產業鏈。”譚曉生說,“我們有網購先賠,每天就是為了保護用戶的錢包和這些黑客們斗智斗勇,積累了大量的實戰經驗。”
360安全中心2013年共處理新型網購木馬220例,平均每周更是接到200多個新增釣魚網站舉報,涉及網購釣魚、網上博彩、兼職、游戲等多種欺詐形式。
在網購安全領域,360積累了一份大數據。今年3月12日,360發布了《2013年中國網購安全報告》。報告顯示,去年共有30613例消費者反映網購被騙,其中22259例遭遇木馬和釣魚欺詐網站,剩余8354例都屬交易糾紛。在網購欺詐中,上午10點到12點間是高峰時段,90后則是最容易上當被騙的群體。“這些數據背后是血淋林的教訓。”譚曉生說。
到2014年1月,360的網購先賠開啟用戶已超過1億人。譚曉生透露:“2013年,我們為將近3000名網購受害者挽回或部分挽回了損失,一共賠付了180萬元。”
另外,則是技術領域長期的厚積薄發。360發明了基于白名單的云殺毒技術,進而成為整個行業的游戲規則。此外還有上述提到的隔離沙箱防護技術,這是近年興起的一種防范漏洞攻擊最有效的安全技術。如果電腦中運行危險代碼,會通過沙箱隔離令其不能隨意獲取電腦中的數據和操控權,從而達到保護電腦安全的目的。蘋果的iOs操作系統、谷歌的Chrome瀏覽器和360XP盾甲都采用了沙箱技術,來防范未知漏洞的攻擊,目前國內只有360在XP上實現了完善的沙箱防護。
360的互聯網安全中心下設漏洞研究實驗室、網絡攻防實驗室、網絡安全研究院、移動安全研究院,此外還包括360學院,這樣的立體架構為360延攬了一批網絡安全界的頂尖人才。
漏洞實驗室主任是袁仁廣,江湖人稱“袁哥”,2008北京奧運會特聘信息安全專家。在百度一個黑客聚集的貼吧中,有人這樣描述他:“網名:袁哥(大兔子),姓名:袁仁廣,中聯綠盟的核心成員,中國的第一代黑客。”
網絡攻防實驗室主任鄭文彬,人稱驅動神童、中國內核安全頂尖高手,曾因發現微軟Windows “DirectShow視頻開發包”等多個漏洞被微軟官方公開致謝。
原天融信副總裁宮一鳴是新近加盟360的技術大牛,出任360網絡安全研究院院長。宮一鳴具有14年大型網絡及運營商安全行業從業經驗,在安全圈無人不曉,在此前引發全球關注的300G流量DDoS攻擊事件中,宮一鳴也是參與此次網絡安全防御的唯一華人代表。
移動安全研究院的負責人則是360首席科學家、北萊羅納州大學蔣旭憲教授。他與360移動研究人員一共發現了全球9個主流安卓手機廠商的安全漏洞,包括三星S4在內共20多款主流手機。
而在互聯網安全產業生態構建上,360在中國互聯網協會和國家計算機網絡應急技術處理協調中心(CNCERT/CC)的指導下組織召開了第一次互聯網安全大會,這個在去年9月份召開的大會是第一個聚焦在互聯網安全領域的專業會議,持續了三天時間,吸引了近2萬人次的廣泛參與。企業安全、新型安全技術、ATP攻擊,云計算,網絡犯罪與防范,基于云的數據在被恢復與存儲安全等多個議題被廣泛探討,為國內外互聯網安全廠商提供了一個難得的交流合作平臺。
360目前也是國家信息安全漏洞一級機構,也是唯一的互聯網安全公司。在與CNCERT等政府主管機構聯動上,360在嘗試摸索一條道路,即定期匯報+重大突發事件第一時間通報。一個鮮為人知的事實是,360在獲得CNCERT致謝上遠超綠盟、安天等公司。CNCERT即國家互聯網應急中心,是工信部領導下的國家級網絡安全應急機構。
不過, 僅以一場挑戰賽就妄下論斷國內安全企業的優劣,還為時尚早。必須清醒的認識,目前國產安全公司的保護XP安全方案依舊只能稱之為“過渡性產品”,并非“標本兼治”的終極解決辦法。伴隨XP終將退出歷史舞臺,最根本的解決辦法還是需要國產化操作系統的勇擔重任。
京公網安備 11010502049343號