【51CTO.com特別報(bào)道】2011年11月2日，RSA 2011中國(guó)大會(huì)在北京中國(guó)大飯店舉行。今年的RSA Conference從年初的美國(guó)大會(huì)到10月份的歐洲大會(huì)，11月終于來(lái)到中國(guó)。RSA 2011中國(guó)大會(huì)全稱：RSA Conference2011信息安全國(guó)際論壇。

該大會(huì)一直致力于吸引安全領(lǐng)域的全球精英，為大會(huì)與會(huì)者創(chuàng)造機(jī)會(huì)與同行、杰出人士及新興和成熟公司直接互動(dòng)，了解IT安全最重要的問(wèn)題。隨著IT安全領(lǐng)域的重要性和影響力不斷增長(zhǎng)，RSA大會(huì)信息安全國(guó)際論壇在讓全球安全專家保持聯(lián)絡(luò)，獲得新知方面起到不可或缺的作用。

這次會(huì)議上，我們?cè)谝蝗和饧葜v嘉賓中注意到一位來(lái)自波蘭的滲透測(cè)試專家，她年紀(jì)輕輕，卻已經(jīng)是波蘭女性技術(shù)小組的領(lǐng)導(dǎo)者、微軟企業(yè)安全的MVP和安全顧問(wèn)，還創(chuàng)建了自己的安全公司——CQURE。

兩天的行程，她司職“黑客與威脅”類別的兩個(gè)分會(huì)場(chǎng)。給大家?guī)?lái)了《揭示密碼的秘密！所有你想知道，但卻不敢問(wèn)的......》和《啟動(dòng)掃描！網(wǎng)絡(luò)發(fā)現(xiàn)的先進(jìn)技術(shù)》這兩個(gè)貼近實(shí)戰(zhàn)的主題演講。

俗話說(shuō)“知道入侵的方式，才能知道怎么防御”……她不但向大家演示了黑客是如何解密或捕獲密碼的，還將自己的一些滲透測(cè)試技巧和常用工具分享給了大家。普通的一個(gè)Nmap掃描器、Aircrack-ng無(wú)線攻擊軟件，略改參數(shù)便在她手里發(fā)揮出強(qiáng)大的效果……

當(dāng)然，這兩個(gè)主題的演講和所涉及黑客技術(shù)都是為了各位安全從業(yè)者更好的測(cè)試和保護(hù)好自己或客戶的服務(wù)器和網(wǎng)絡(luò)而準(zhǔn)備的，并不提倡將其用于非法目的。而Paula Januszkiewicz本人也是一位白帽子安全審計(jì)人員……

Paula Januszkiewicz不但技術(shù)實(shí)力高超，而且性格活潑開朗。在演講中，她不時(shí)的走下講臺(tái)給觀眾比劃系統(tǒng)審計(jì)方式和效果，除了講PPT以外，她還在電腦上跑了一下實(shí)際的操作環(huán)境。讓觀眾對(duì)IT安全審計(jì)有了更深刻的認(rèn)識(shí)。

Paula Januszkiewicz正在演講中

注：本次RSA中國(guó)大會(huì)有不同大主題的分類，分別是：應(yīng)用與開發(fā)，密碼學(xué)與體系結(jié)構(gòu)，黑客與威脅，移動(dòng)與網(wǎng)絡(luò)安全，可信計(jì)算與云計(jì)算。

在第一天的演講結(jié)束后，Paula Januszkiewicz接受了部分中國(guó)媒體的采訪。下面是采訪實(shí)錄：

 #p#

陳毅東：全球IT審計(jì)的整體狀況是怎樣的？未來(lái)的發(fā)展趨勢(shì)是怎么樣的？

Paul Januszkiewicz：對(duì)IT審計(jì)來(lái)說(shuō)，我們要做的是對(duì)這個(gè)技術(shù)進(jìn)一步了解，因?yàn)樾碌募夹g(shù)還沒有實(shí)施，還處于測(cè)試的階段，所以我們要了解技術(shù)的相關(guān)情況然后進(jìn)行審計(jì)，我們覺得在IT審計(jì)這塊，不斷了解新技術(shù)、新東西是非常正常的現(xiàn)象。我覺得未來(lái)的趨勢(shì)應(yīng)該不會(huì)有太大的改變，唯一的改變可能就是人們對(duì)安全的意識(shí)不斷加強(qiáng)。比如我們今天開的信息安全國(guó)際論壇就是進(jìn)行充分的溝通，加強(qiáng)安全意識(shí)。因?yàn)楝F(xiàn)在我們會(huì)發(fā)現(xiàn)安全問(wèn)題確實(shí)會(huì)影響到我們的生活和發(fā)展。人們也越來(lái)越多的意識(shí)到安全問(wèn)題。因?yàn)榭偸怯胁煌男录夹g(shù)，新技術(shù)會(huì)帶來(lái)新問(wèn)題，新問(wèn)題出現(xiàn)以后人們可能還會(huì)再看老技術(shù)帶來(lái)老的問(wèn)題，人們還要進(jìn)一步推動(dòng)新技術(shù)，所以會(huì)不斷進(jìn)展。

李玲玲：傳統(tǒng)的安全審計(jì)到云計(jì)算環(huán)境下，差別大嗎？

Paul Januszkiewicz：基本的理念還是一樣的，我們還是針對(duì)相關(guān)的服務(wù)進(jìn)行審計(jì)，但是在云的環(huán)境中還是有所不同，我們會(huì)比較關(guān)注信息和數(shù)據(jù)在不同端傳輸中的情況。技術(shù)不同，但基本的理念還是一樣的。數(shù)據(jù)傳輸方面，在云端、客戶端、私有云環(huán)境下、合作伙伴環(huán)境下數(shù)據(jù)的傳輸和加密過(guò)程是我們關(guān)注的重要方面。

王文文：作為經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專家，您常用的安全審計(jì)工具能介紹一下嗎？

Paul Januszkiewicz：這要看哪個(gè)領(lǐng)域，比如WEB安全測(cè)試，我會(huì)用Acunetix，工具可以自動(dòng)做一些工作，我們也做一些手動(dòng)工作。

王文文：您目前的工作中，哪一類滲透測(cè)試做的比較多？

Paul Januszkiewicz：我做的測(cè)試主要是IT系統(tǒng)內(nèi)部，比較少做網(wǎng)絡(luò)測(cè)試，主要針對(duì)的是邊界測(cè)試，所謂邊界就是一邊是網(wǎng)絡(luò)，一邊是客戶自己的系統(tǒng)，在這兩個(gè)主體中間，邊界是我們的工作重點(diǎn)，通過(guò)滲透測(cè)試可以看到，從Web網(wǎng)絡(luò)角度看，客戶系統(tǒng)有哪些顯而易見的漏洞。是我們也會(huì)做內(nèi)部測(cè)試看看存在哪些潛在的風(fēng)險(xiǎn)。所以我們有三方面，一方面做Web測(cè)試，Web測(cè)試主要是意見收集，看看網(wǎng)絡(luò)情況如何，第二方面是邊界測(cè)試，所謂邊界測(cè)試是看數(shù)據(jù)安全的問(wèn)題，第三方面是內(nèi)部的系統(tǒng)測(cè)試，主要是看內(nèi)部系統(tǒng)本身的配置。

王文文：您現(xiàn)在還自己挖掘漏洞嗎？

Paul Januszkiewicz：這是我個(gè)人的興趣，但我不是專業(yè)做這個(gè)的。

王文文：像您這樣的專業(yè)人士是否會(huì)使用MSF和BT 5這樣的工具？

Paul Januszkiewicz：當(dāng)然。比如Back track系列吧，我之前常用的版本就有BT2和BT4。

陳毅東：您今天有一個(gè)關(guān)于密碼學(xué)的主題演講，密碼學(xué)現(xiàn)在有很多安全方面的新定義，比如移動(dòng)安全、虛擬化安全、云安全。對(duì)于基礎(chǔ)性的傳統(tǒng)密碼學(xué)帶來(lái)哪些挑戰(zhàn)？

Paul Januszkiewicz：我不能說(shuō)一點(diǎn)挑戰(zhàn)都沒有，但出現(xiàn)的新技術(shù)并不是完全全新的東西，很多協(xié)議被破壞的時(shí)候只是對(duì)一些技術(shù)產(chǎn)生挑戰(zhàn)，但對(duì)現(xiàn)用密碼學(xué)所有的方法來(lái)說(shuō)，它的功能還是比較完善的，而且比較適用于當(dāng)下的情況，沒有出現(xiàn)什么問(wèn)題。比如你在云中發(fā)布應(yīng)用軟件，一般來(lái)說(shuō)不允許再進(jìn)行修改，如果修改的話需要重新輸密碼。但現(xiàn)在有新的技術(shù)，允許自己的環(huán)境和云環(huán)境進(jìn)行對(duì)話，從而不需要進(jìn)行密碼修改。這就是以需求為基礎(chǔ)的技術(shù)，這種技術(shù)是新發(fā)展，當(dāng)然會(huì)給我們帶來(lái)一些新問(wèn)題。但也會(huì)給我們帶來(lái)全新的防護(hù)模式。一旦出現(xiàn)新技術(shù)的時(shí)候，就有一些原有的技術(shù)做全新模式的搭建，在搭建的基礎(chǔ)上保證新技術(shù)還是安全的，所以這更多的是架構(gòu)師要考慮的，在新的IT架構(gòu)下如何讓原有技術(shù)和新技術(shù)在新環(huán)境下保持安全。

范平：云計(jì)算時(shí)代數(shù)據(jù)中心虛擬化水平越來(lái)越高，這是否意味著數(shù)據(jù)的安全性風(fēng)險(xiǎn)也越來(lái)越大？數(shù)據(jù)中心如何平衡安全和應(yīng)用的關(guān)系？

Paul Januszkiewicz：這主要看SLA（服務(wù)水平協(xié)議），公司用數(shù)據(jù)中心是購(gòu)買服務(wù)，服務(wù)供應(yīng)商會(huì)告訴你SLA中規(guī)定一定時(shí)間內(nèi)99.9%的情況不會(huì)出問(wèn)題，也許會(huì)有一些風(fēng)險(xiǎn)，但虛擬化帶來(lái)的風(fēng)險(xiǎn)并不是這么大，比較大的問(wèn)題是你和數(shù)據(jù)中心的溝通和交流不如以前頻繁了，另外你這里出了問(wèn)題后，服務(wù)商會(huì)說(shuō)我這面的數(shù)據(jù)中心沒有出現(xiàn)問(wèn)題，責(zé)任很難追究。也許技術(shù)以后會(huì)出現(xiàn)新的突破并帶來(lái)新的挑戰(zhàn)，但目前問(wèn)題還不大，你的數(shù)據(jù)安全還是取決于你和服務(wù)商之間簽訂的SLA協(xié)議。

陳毅東：你創(chuàng)建這家公司主要從事什么業(yè)務(wù)，另外看您的個(gè)人簡(jiǎn)介，你對(duì)新的安全技術(shù)很關(guān)注，也在研究，我想知道是指哪些最新的安全技術(shù)？

Paul Januszkiewicz：不管技術(shù)設(shè)施方面，還是新的操作系統(tǒng)方面，一旦有新的發(fā)展我們都會(huì)進(jìn)行關(guān)注，因?yàn)榭蛻魰?huì)用新技術(shù)、新系統(tǒng)，我們肯定要率先熟悉，熟悉后才可以幫助客戶提供服務(wù)進(jìn)行相關(guān)的測(cè)試。2002年微軟發(fā)布了新的操作系統(tǒng)，我們就要去了解相應(yīng)的功能，因?yàn)檫@個(gè)功能可能和以前的微軟操作系統(tǒng)不同。我們本身是給微軟提供服務(wù)，所以說(shuō)微軟會(huì)多一點(diǎn)?；旧衔覀円獙?duì)新技術(shù)、新系統(tǒng)進(jìn)行調(diào)查研究才能提供各種各樣的測(cè)試服務(wù)，同時(shí)我是企業(yè)安全的MVP，所以可以訪問(wèn)微軟源代碼。有這樣的權(quán)限可以幫助我了解具體的問(wèn)題出在哪兒或者說(shuō)具體發(fā)生了什么情況。

陳毅東：您有獲取微軟源代碼的資質(zhì)？

Paul Januszkiewicz：只限于我個(gè)人。不是公司。這完全是個(gè)人的權(quán)限，我們不會(huì)通過(guò)這個(gè)權(quán)限，用公司的名義銷售服務(wù)。此外我們也非常關(guān)注客戶對(duì)我們的反饋，2004年之前我們就開始談虛擬化的問(wèn)題，2011年我們才真正談虛擬，因?yàn)楝F(xiàn)在虛擬化才得到了真正的應(yīng)用，可能也要過(guò)好幾年云技術(shù)才會(huì)有成熟的應(yīng)用，我們才會(huì)去談云安全的問(wèn)題?，F(xiàn)在并非很多企業(yè)決定轉(zhuǎn)向云技術(shù)，云技術(shù)現(xiàn)在的環(huán)境下，我們可以談風(fēng)險(xiǎn)，問(wèn)題是根本沒有實(shí)例去研究并證實(shí)相關(guān)的問(wèn)題，所以可能要過(guò)上幾年，當(dāng)云技術(shù)真正應(yīng)用下去，出現(xiàn)安全問(wèn)題，客戶給我們提供反饋的意見，我們可能才能進(jìn)一步研究。

王文文：就你們公司搜集到的數(shù)據(jù)來(lái)看，Vmware、Ctrix、微軟這三家的虛擬系統(tǒng)，哪個(gè)漏洞更多一點(diǎn)？

Paul Januszkiewicz：我沒辦法講哪個(gè)系統(tǒng)有更多的漏洞。但是否有漏洞，是否有問(wèn)題取決于系統(tǒng)提出的解決方案，現(xiàn)在有很多大的服務(wù)公司和供應(yīng)商都在用這些系統(tǒng)，每個(gè)系統(tǒng)都有自己的好處和劣勢(shì)，同時(shí)這個(gè)系統(tǒng)背后都有完整的團(tuán)隊(duì)在做這些事。一旦問(wèn)題出現(xiàn)是否可以及時(shí)響應(yīng)。

王文文：您個(gè)人比較喜歡使用哪個(gè)虛擬機(jī)軟件？

Paul Januszkiewicz： （調(diào)皮的擠擠眼睛）當(dāng)然是微軟啦。（笑）不過(guò)也用VMware。我們看到客戶會(huì)同時(shí)使用不同的虛擬化產(chǎn)品，具體要用哪個(gè)，得比較各個(gè)虛擬化系統(tǒng)的優(yōu)劣之后再進(jìn)行判斷。

陳毅東：審計(jì)測(cè)試需要注意一些什么？

Paul Januszkiewicz：第一個(gè)建議一定要得到公司管理層的批準(zhǔn)，否則無(wú)法獲取資源，也沒有什么意義。另外要和財(cái)務(wù)人員進(jìn)行事先溝通，讓公司知道審計(jì)是做什么，目標(biāo)是什么，付出了這些成本后，對(duì)公司的安全防范有什么樣的好處。第三讓公司內(nèi)部IT人員知道審計(jì)的目的和意義是什么。我們現(xiàn)實(shí)中碰到很多案例，由于事先溝通沒做好，審計(jì)的時(shí)候IT部門非常抵觸，認(rèn)為是要把IT的問(wèn)題暴露給管理層，要告訴他們審計(jì)是為提供更好的環(huán)境和管理，另外也需要IT的支持。

王文文：貴公司的名稱是CQURE，能解釋一下這個(gè)名字的含義嗎？

Paul Januszkiewicz：這個(gè)名字比較好玩的，CQURE用英文讀是“安全”的意思，用CQURE來(lái)寫，看起來(lái)很專業(yè)（笑著擺出得意的樣子）。

王文文：我看您公司現(xiàn)在主要是做IT審計(jì)和滲透測(cè)試比較多，以后是否會(huì)推出自己的安全工具？

Paul Januszkiewicz：目前還沒有這個(gè)想法，過(guò)兩年可能會(huì)有這種想法。但至少未來(lái)三年內(nèi)我是不會(huì)做這樣的事。我自己也有很多想法，但這些想法沒有整合到工具中去，有時(shí)候你在網(wǎng)上開發(fā)了工具，別人用了之后會(huì)在此基礎(chǔ)上進(jìn)行功能完善，第三個(gè)人會(huì)進(jìn)一步做功能完善，這樣不斷循環(huán)下去，我也是這樣。每個(gè)人都會(huì)用很多工具，每種工具都有自己的功能特點(diǎn)，我會(huì)根據(jù)功能需求進(jìn)行整合，開發(fā)出自己需要的工具，覆蓋自己需要的功能，但這只是想法，目前還沒有進(jìn)行落實(shí)。

李玲玲：您認(rèn)為Windows8相比之前Windows版本，在安全方面有沒有提升？

Paul Januszkiewicz：“Windows8”現(xiàn)在還只是一個(gè)臨時(shí)的稱謂。一般操作系統(tǒng)出來(lái)前都會(huì)有一個(gè)預(yù)覽版，主要是針對(duì)開發(fā)者。以后是否就叫“Windows8”還不一定。這個(gè)版本對(duì)安全性能方面肯定會(huì)有一定的改進(jìn)，但就安全來(lái)說(shuō)目前版本已經(jīng)做得很好了。

王文文：CQURE有沒有在波蘭之外設(shè)分公司？盈利情況如何？

Paul Januszkiewicz：公司總部設(shè)在波蘭的原因是因?yàn)槲易≡诓ㄌm，但公司所有的人都是在全球范圍內(nèi)提供服務(wù)。今年我在波蘭只接了兩個(gè)項(xiàng)目，完全是因?yàn)橛X得這兩個(gè)項(xiàng)目還算有意思。

陳毅東：公司現(xiàn)在有多少員工？

Paul Januszkiewicz：我不雇傭員工，只是和別人進(jìn)行合作，而且只和我相信的人進(jìn)行合作，而且這些人一定要非常棒，我不會(huì)和普通人進(jìn)行合作。這些人普遍來(lái)說(shuō)都是我過(guò)去共事過(guò)的同事或者是我的朋友，最終要達(dá)成的目標(biāo)是提供非常完整的全面的安全服務(wù)，但是在安全服務(wù)提供當(dāng)中，每一塊業(yè)務(wù)都要是行業(yè)內(nèi)的頂尖人士來(lái)做，每個(gè)人都專注于自己那塊，這樣才會(huì)非常專業(yè)，我是不會(huì)接受任何的例外。

李玲玲：你是波蘭女性技術(shù)小組的領(lǐng)導(dǎo)者，能否介紹一下女性技術(shù)小組是做什么工作？

Paul Januszkiewicz：這是一個(gè)現(xiàn)實(shí)情況，做技術(shù)的女性一般非常少，兩年前我成立這樣一個(gè)小組，告訴大家女性可以在技術(shù)方面做得很好，但這不是宣揚(yáng)女權(quán)思想，主要是想告訴大家技術(shù)圈子里，女性可以和男性做得一樣好，甚至比男人更好。在工作的時(shí)間，很多情況下一個(gè)房間里都是男性，只有一個(gè)女性，我們希望女性不要受這種環(huán)境影響，而是要把技術(shù)發(fā)揮的更好。

王文文：最后一個(gè)私人問(wèn)題，能否透露一下，您平時(shí)用的彩虹表有多大？

Paul Januszkiewicz：（笑）32G。因?yàn)槲业挠脖P只有這么大點(diǎn)地方。不過(guò)用彩虹表不需要在自己的硬盤上存太多的數(shù)據(jù)，通過(guò)網(wǎng)絡(luò)資源就夠了。因?yàn)槿绻阕约捍鎯?chǔ)數(shù)據(jù)的話，這個(gè)成本是非常高的。

[[49066]]
采訪結(jié)束后的合影

【2011 RSA中國(guó)大會(huì)相關(guān)推薦】

1. RSA2011中國(guó)大會(huì)首日?qǐng)D文播報(bào)：Alice和Bob冒險(xiǎn)繼續(xù)
2. 電子學(xué)會(huì)何華康:RSA成為交流分享合作的平臺(tái)
3. 2011 RSA中國(guó)大會(huì) alice & bob的奇幻冒險(xiǎn)
4. RSA China 2011女嘉賓：用更好的武器應(yīng)對(duì)帶槍的敵人！