安全咨詢公司Recursion Ventures的首席黑客克麗絲-佩吉特是拉斯維加斯Black Hat和Defcon大會上鼎鼎有名的人物，她在去年現(xiàn)場演示了攔截手機電話的全過程。在今年大會發(fā)言時，她說她不喜歡微軟操作系統(tǒng)的局限性，自己家里只 有兩臺搭載Windows操作系統(tǒng)的設(shè)備。在5年前，她被微軟聘為滲透測試員，負(fù)責(zé)在Windows Vista發(fā)布前對它進行安全測試。她與微軟簽訂了保密協(xié)議，該協(xié)議直到她今年在Black Hat大會上發(fā)言的前一天才到期。

Vista遭到了批評家嚴(yán)厲的批評，他們認(rèn)為該系統(tǒng)速度慢，很多地方的設(shè)計存在缺陷。但是，佩吉特說，她對微軟全面測試該系統(tǒng)安全性的做法感到印象深刻。 “微軟在安全方面獲得了相當(dāng)大的進步。”佩吉特說，“安全是一個過程，而不是一個產(chǎn)品。它是不斷發(fā)展的。微軟在安全方面的名聲素來極差，這其實有點冤屈 它。”

你也許會認(rèn)為，佩吉特拿著微軟的薪水，不可能真正保持獨立性。而且，微軟還是Black Hat大會的贊助商，而且每年都在會議期間舉行大型派對活動。但是，今年大會上的發(fā)言稿必須事先通過獨立評審委員會的審核。Black Hat大會創(chuàng)始人、著名安全專家杰夫-莫斯（Jeff Moss）說，在大會上絕對“不允許為供應(yīng)商唱贊歌”。而且，佩吉特現(xiàn)在已沒有為微軟工作了。

佩吉特總結(jié)說，微軟對待Vista的安全問題非常認(rèn)真，它希望該系統(tǒng)比Windows XP更加安全。Windows XP的安全性能也飽受批評，而且它的漏洞經(jīng)常遭到利用。在三個月的測試活動中，她和一個由其他外部滲透測試員組成的團隊，受邀從安全的角度對 Windows Vista的所有新功能進行了調(diào)查研究。他們審核了源代碼、記錄了漏洞，采訪了一些程序員，并在名為《最終安全評估》（final security review）的報告中記錄了他們的調(diào)查結(jié)果。“微軟在很多很多事情上的做法是正確的。”佩吉特說，微軟在安全方面也是“世界領(lǐng)先”的。

此次調(diào)查工作發(fā)現(xiàn)了很多不得不修復(fù)的嚴(yán)重漏洞，因而導(dǎo)致Vista推遲發(fā)布。但是，微軟總結(jié)說，它花費了25萬美元來解決被發(fā)現(xiàn)的每一個重大漏洞，這筆 投資也得到了不錯的回報。微軟的程序員在規(guī)定的時間內(nèi)修復(fù)了最危險的漏洞，并盡可能多地解決了漏洞名單中的其他漏洞。如果漏洞非常嚴(yán)重，安全顧問有權(quán)警告 相關(guān)責(zé)任人，如果這些漏洞不得到修復(fù)，他們負(fù)責(zé)的功能模塊就不會被推出。“我們被一位內(nèi)部員工稱為‘強奸團伙’。”佩吉特說，因為安全顧問都是鐵面無情 的。

佩吉特說，有一次，她一激動就公開宣稱一項危險的功能為“零日”漏洞，也就是說在發(fā)布漏洞信息的同時尚沒有修復(fù)該漏洞的辦法。她非 常害怕微軟會起訴她，該功能模塊的程序員也非常害怕被微軟解雇。但是，這項功能最終被修復(fù)了。“你能看到微軟讓我們來進行測試是有巨大風(fēng)險的。”佩吉特 說，“沒有什么是絕對安全的。但是，Vista朝這個方向邁出了很大的一步。”現(xiàn)在五年過去了，而Vista早已被Windows 7取代。但是，在那個時候，黑客攻擊是一個日益猖獗的問題。佩吉特沒有統(tǒng)計到底有多少漏洞得到了修復(fù)，但是她對整個過程感到印象深刻。

微軟安全應(yīng)對中心（Microsoft Security Response Center）負(fù)責(zé)人邁克-里維（Mike Reavey）在一次采訪中說，微軟一直在穩(wěn)步增加安全方面的投資。里維也聽過佩吉特的發(fā)言，他說，“很高興有人講述微軟的故事。”里維說，Vista是 微軟全面改善安全措施的開始。微軟稱，它銷售的每一款產(chǎn)品都包含有安全開發(fā)周期（Security Development Lifecycle）這個過程。微軟在最新報告中稱，它的軟件中的漏洞比以前更難被利用了。

在今年早些時候發(fā)布的一份報告中，微軟對安 全問題的自我評估結(jié)果顯示，就漏洞被利用的程度而言，它的安全性已經(jīng)得到了相當(dāng)大的改善。在從2010年7月到2011年5月期間發(fā)布的256個可利用指 數(shù)（Exploitability Index）類別中，有97個問題在最新版本中已不復(fù)存在，或比舊版本的風(fēng)險更低。這意味著，就安全性而言，被發(fā)現(xiàn)的漏洞現(xiàn)在的危害性比以前更小了。

安全咨詢公司iSec Partners的代表在發(fā)言時也盛贊微軟的安全措施，稱微軟目前的網(wǎng)絡(luò)安全性可媲美蘋果。而且，微軟還宣布，對于那些想辦法提高微軟軟件安全性能的安全 研究員，它將會提供25萬美元的獎金。這項獎勵計劃名為Blue Hat，旨在激勵黑客為微軟軟件創(chuàng)造安全保護措施，而不僅僅是找出它的漏洞。

【編輯推薦】

1. 四招教你保障網(wǎng)上支付安全
2. 黑客在大會展示破解Wi-Fi和間諜飛機
3. 邁克菲發(fā)布安全報告 否認(rèn)為其產(chǎn)品推銷
4. 讓IT安全維護飛上“云端”
5. 全球信息安全 用"假定已陷入危險"方式考慮問題