今年的黑帽大会再次成为博客圈中议论的热点话题,而苹果最新推出的Mac OS X系统暴露出的安全性漏洞则成为焦点中的焦点。大家普遍认为相比之下,微软的Windows系统在保护用户,尤其是在对抗网络协议类攻击方面,所表现出来的能力远远胜过苹果。在黑帽安全大会的概念层面证明环节中,一台涉及企业安全信息的Mac电脑被迅速侵入,攻击者在短时间内就能够收集到此类环境中Mac机中所存储的各类身份验证资料。
从笔者个人的角度来说(我目前是微软公司的首席安全架构师),上述结果并不令人意外。Mac电脑上其实一直以来都存在着比Windows类电脑更多的安全漏洞,无论是从哪个角度来分析。如果大家不认同我的说法,不妨到任何一套漏洞数据库(我个人偏向于使用Secunia公司的咨询数据库)里将过去五年中任意时期内微软及苹果的操作系统乃至应用程序所包含的安全漏洞逐条进行比较。令绝大多数人错愕不已的是,微软出品的软件,尤其是Windows系统,在漏洞方面比苹果的Mac OS X系统及相关应用程序要少得多。
但仅仅罗列漏洞数量还不足以描绘出二者对比的全貌。在操作系统供应商中,苹果向来以执牛耳者的身份出现,而其中最重要的原因之一就是其所推行的强大的安全保护措施。然而,事实真是如此吗?苹果公司是最后一家实施缓冲区内存溢出保护的供应商,同时也是最后一家采取地址空间随机化布局的供应商,他们是最后一家提供全磁盘加密功能(此功能在新近发布的Mac OS X狮子系统中才出现)的操作系统供应商,而且他们常常在漏洞出现数月之后、已经广为人知的时候,才慢吞吞地发布相关补丁。
而当Password有限公司总裁Dmitry Sumin上周告知我,苹果的Mac OS X狮子是当前惟一一款仍然将登录密码以纯文本的形式存储在内存当中的主流操作系统时,我的直觉告诉我这太正常了,这不正是他们的一贯作风吗?
刚刚提到的各项事实对于苹果用户来说可能会造成不小的冲击,但同时应对Windows及Mac平台的安全专家们对此则早已心知肚明。这种状况已经持续了很长一段时间,在几年前的黑帽大会上,我就曾向黑客专家Charlie Miller询问过,为何他将矛头直指Mac电脑,而不像大多数其他黑客那样专注于Windows。他的回答是"因为攻击苹果电脑更简单。"苹果在设备设计、用户界面以及其它许多重要环节方面都为整个世界带来了巨大的影响及贡献。然而,在计算机安全领域,苹果只能算作是亦步亦趋的跟班级角色。
这是不是表示Mac用户只要转向Windows平台就能增强自身安全性?答案是否定的。
当下Mac电脑所面临的攻击威胁要远远低于Windows电脑所要应对的数量,而这事实上也构成了我们对苹果产品安全性感受的基石。虽然从客观角度上说Mac比Windows更脆弱,但请注意,我并没有说Mac更"不安全"。漏洞很容易被感知,但"不安全"之类的评价描述的却是难以界定的安全风险概念。目前,Mac电脑所面临的安全风险远远低于Windows电脑。微软Windows仍然是黑客们的主要攻击目标,因为世界上80%到90%的电脑都使用这款操作系统。简而言之,正因为Mac电脑是用户群体中的"小众",因此使用Mac会比使用Windows相对来说更"安全"。
至少就现在来说,黑帽大会中的各类攻击操作展示往往是对现实情况的一种预演,这才是最悲摧的情况。Mac用户们长久以来依赖且衷心喜爱的安全保障系统正走向灭亡。苹果电脑及各类设备受到攻击的几率越来越高,大量木马及蠕虫型病毒也开始冲破Mac OS X及iOS那形同虚设的安保体系,尽情肆虐。在坐飞机出行时,虽然我帮不上什么忙,但还是会注意到头等舱中有多少乘客在使用Mac系列产品及iPad。一般来说使用者都是些IT安全人员或者C级管理人员,我想黑客们肯定也早已注意到了这一点。
因此,如果大家确实是苹果产品的用户——当然如今每个人手头都或多或少有几件苹果产品——那么现在就该像Windows用户那样思考问题了:为设备安全部署定期且持续的保障措施。也就是说,我们要开始使用高强度密码(而且系统、网络、Facebook以及其它各类账号的内容必须各自独立)、在第一时间安装官方发布的安全补丁、别大大咧咧地乱开不必要的网站、仔细辨别仿冒类网站及钓鱼站点。最后,只要我们不能100%信任某款软件,就不要进行安装。
我当然期待苹果能够提供更好的安全保障及安全默认设置。说起苹果当下所面临的安全威胁,我总会想起想当初微软在1999年日进斗金的辉煌时代——众所周知,Gartner在那一年发布通告,建议消费者不要购买互联网信息服务产品,因为该产品屡屡遭受攻击。
微软用了十年时间将原本孱弱的产品安全性打造成如今坚实的保障后盾。苹果完全可以从微软那里取取经,以期快速增强自身的薄弱环节。苹果公司目前已经将微软前安全主管之一Window Snyder招至麾下,并在产品链中引入了微软的安全开发周期这一编程理念。苹果公司无疑在微软过去的坎坷经历中获益匪浅。
例如迫使Mac机调用版本较旧、安全性较差的协议漏洞。微软十年前也曾遇到过此类问题,当时他们以默认禁用后备身份验证协议的方式解决了该麻烦。这一解决方案花了微软不少时间,但苹果如今却可以站在巨人的肩膀上,直接靠一个补丁平息事态。