北京時間8月8日下午消息，谷歌安全工程師塔維斯·奧曼迪(Tavis Ormandy)上周四在拉斯維加斯舉行的黑帽安全大會上宣布，在對反病毒公司Sophos的企業(yè)安全產品進行研究后，他發(fā)現(xiàn)該產品的簽名和加密系統(tǒng)存在缺陷，有可能會破壞這款殺毒軟件的完整性，從而幫助惡意軟件繞過該產品的掃描或產生不真實的結果。

他說：“反病毒企業(yè)的營銷材料都很虛偽。他們虛構了好萊塢式的名稱，但根本沒有多少技術含量。所以我才發(fā)布Sohpos在技術方面的一些不足。”

雖然奧曼迪是谷歌的安全工程師，但他僅以個人身份參加本次會議。他還表示，他的研究也完全是利用私人時間完成的，并沒有借助谷歌的幫助。

奧曼迪表示，Sophos的簽名認證系統(tǒng)較弱。該公司使用了一種專有機制來驗證簽名的真實性，但奧曼迪發(fā)現(xiàn)這一系統(tǒng)很容易被欺騙。

除此之外，奧曼迪還表示，Sophos在產品中使用的加密系統(tǒng)同樣比較糟糕。在很多情況下，加密密鑰與數(shù)據本身被存儲在同一個地方，使得黑客可以輕而易舉地找到密鑰。奧曼迪表示，這些漏洞可以被用于訪問受保護的數(shù)據，并破壞程序的完整性，從而導致系統(tǒng)無法掃描惡意軟件。

奧曼迪還對Sophos的漏洞挖掘緩解(exploitation mitigation)系統(tǒng)進行了研究。這一系統(tǒng)可以在第一時間阻止惡意軟件的安裝，而不必等到安裝后再去清理。但奧曼迪發(fā)現(xiàn)，Sophos只會對一小部分惡意代碼的漏洞挖掘行為進行檢查，效果“非常差”。

Sophos研究員凡賈·斯瓦吉瑟(Vanja Svajcer)表示，奧曼迪已經與該公司取得了聯(lián)系，并且接受了他的批評。Sophos計劃對部分安全措施進行升級。

斯瓦吉瑟說，Sophos尚未發(fā)現(xiàn)有黑客利用這一漏洞。但奧曼迪稱，這是因為惡意軟件編寫者希望開發(fā)具有普遍攻擊能力的軟件，但Sophos目前在企業(yè)市場的占有率僅為10%，因此沒有必要針對該軟件編寫代碼。

奧曼迪與Sophos之間早有過結。在奧曼迪公布了微軟的幾個新漏洞后，Sophos研究員格雷翰姆·克魯利(Graham Cluley)就曾經批評奧曼迪急于公布漏洞會導致用戶被黑客攻擊。但奧曼迪隨后表示，他早已將此事通知微軟。奧曼迪還特意強調，本次公布Sophos的缺陷并非出于個人恩怨。(鼎宏)

【編輯推薦】

1. 惡意軟件無孔不入 反病毒軟件希望何在？
2. 如何評估、比較和實施企業(yè)級反病毒軟件？
3. VDI消除了對反病毒軟件的需求？