有人問帕勃洛·畢加索在他的眾多畫中哪一幅是他最喜歡的。他的回答是:下一幅。如果問微軟首席執行官史蒂夫·鮑爾默哪一款Windows是最安全的,那麼你猜他會怎麼回答呢?
我注意到微軟准備為Windows 2000發布最後一個安全補丁包Rollup 5。它不同於通常的服務補丁,而更像是一個方便性的補丁-自SP4以來的所有hotfix補丁程序積累成一個大的安裝包。這個補丁將在微軟終止對Windows 2000的主流支持之前,也就是本月底之前推出。
五年,難道真的已經過了如此長的時間了麼?我曾經如此急切的放棄NT4而安裝上閃亮的新的Windows 2000,這些好像是發生在不久前的事。但是細想一下,在這五年中發生了太多的事情。互聯網改變了,安全改變了,整個世界都已經改變了。
我認為在整個微軟的發展歷史上,Windows 2000可能是微軟最大的負面新聞的源頭之一。但是它也造就了現在微軟的地位。微軟曾經想把Windows 2000打造成為他們最安全的,但是事實上成為一個絕對的安全災難。微軟一直設法不僅僅要從那場災難中恢復過來,還要把安全性變為他們更大的資本。事實證明Windows 2000是微軟迄今最成功的失敗者。
2000年的情況與現在不同。程序員證明千年蟲問題並沒有帶來巨大的麻煩。我們順利的度過了2000年1月1日,一切都順利進展。隨之在第一季度Windows 2000到來了,更多的人開始對安全有了更多的興趣--Windows是一個不錯的開始的場所。同時一些新的Windows黑客也開始出現了。
那一年在Windows 2000中漏洞潮水般的不斷被發現,其中許多會對IIS造成破壞。任何一名黑客一旦發現他們在攻擊的是一個基於IIS的站點,他們確信他們肯定能發現一個方式來攻破他。換言之,不管這家公司有多大,你都可以侵入他,在數分鐘內就可以侵入他們的IIS服務器。這種情況一直持續到2001年。
情況有那麼糟糕麼?確實。不幸的是,許多入侵是悄無聲息的,而發現被攻擊的公司也對此諱莫如深。銀行、政府、軍方站點、商業站點都無一例外被黑過。但是你能真的完全責備微軟麼?大多數黑客並非能力超群,只是利用了微軟已經修補過的漏洞,只是人們沒有安裝這些補丁來堵住這些漏洞。那個時候,無論我們怎麼努力,似乎沒有人接受安全的重要性。那個時候銷售安全產品幾乎是不可能的。我記得有一次問另一個顧問,“我們該怎麼做才能引起人們對安全的重視,難道非要黑掉每一個人來讓他們明白安全的重要性麼?”
從2001年5月份開始,情況有所改變。我開始接到一些公司的電話,過去我曾經向他們試圖銷售過安全服務,但是他們對此從來沒有興趣。現在他們需要我的幫助因為發生了一些事情。許多人的站點被這樣的詞語所丑化:“fu*k 美國政府,fu*k PoinzonBOx(美國一黑客)。”那時第一次許多公司經歷了蠕蟲病毒的攻擊。當然絕對不是最後一次。
sadmind/IIS蠕蟲病毒比較有意思的是,它給安全業界帶來了一些工作做,但是它與七月份發生的事情是沒法相比的。
我依然非常清楚的記得那一天-網絡變得非常慢,我的入侵監測設備(IDS)快要崩潰了,我發現許多來自Marc Maiffret的郵件出現在不同的安全郵件列表中。人們後來稱它為紅色代碼。當時幾乎每人都感染了它。
從那一晚起,我知道我們大多數人的工作不會像以前那樣了,那就是互聯網安全的911事件。但是,這並不是結束,只是變得更嚴重的惡夢的開始。到年底的時候你把一台裝著Windows 系統的機器聯到網絡上,在你有機會最近的補丁之前可能已經被十幾種病毒感染了。而現在不需要五分鐘的時間。
那時候到處充滿了譴責之聲。有的人譴責安全專家公開了漏洞。追溯每一種主要病毒的根源,幾乎都可以發現其是利用了被有的安全專家公開的漏洞。某些人聲稱假如安全專家不公開這些漏洞的話,他們就不會遭受到黑客的攻擊。但是這種觀點是很虛弱的,因為有的黑客已經知道了這些漏洞,不管你公開不公開並在偷偷的利用這些漏洞。
人們譴責微軟,但是讓我們來看一下真實的情況吧:系統管理員真的需要6個月以上安裝一次更新麼?是的,是微軟程序員寫出的這些有BUG的代碼,但是在那時候他們和大多數程序員有什麼區別麼?他們難道不是整個社會對安全的態度的反映麼?許多代碼都是在5年前寫的,那時候安全是一個增值功能而不是一個用戶必須的要求。那時候的管理員也是懶惰的。
問題是那時候你不能簡單去WindowsUpdate站點看一下你需要安裝那些補丁。你不得不一個一個的浏覽整個補丁列表來確認哪些你沒有安裝。更糟糕的是微軟發布了太多的漏洞修補補丁以使管理員無法機警的迅速安裝任何補丁。不得不承認那時微軟的補丁策略真的是非常混亂的。一切都是那麼不協調的,而且彼此之間缺乏溝通。
然而在企業界很少看到的奇怪的事發生了。微軟不僅僅開始負起責任,而且把他們的失敗變為他們的最高優先的漏洞修補。他們停止努力維護他們的形象,並開始承認他們有安全問題需要修補。正如比爾蓋茨在它的著名的可信頼計算備忘錄裡提到的,“這是一個只有微軟可以解決的挑戰。”
大多數人對這個發言持藐視態度。這次備忘錄聽起來是偉大的,只是不能迅速變為現實。我們真的納悶是什麼使他們突然改變了態度並從那時起開始了改變。
但是蓋茨是正確的,微軟是唯一適合解決這個問題的候選人。他們投入了大量的資金,事情開始慢慢的發生變化。微軟開發著開始討論他們已經知道的安全問題。開始參與了更多安全會議。IIS服務器不再對任何人來說都是很容易侵入的。更令人吃驚的是,當去年Windows XP SP2的到來,我們發現安全功能的重要程度已經優於於其他所有特點的。
當然微軟依然還有許多工作要去做。針對沖擊波和SqlServer蠕蟲病毒的出現,讓他們作出了自己的緊急響應計劃。在振蕩波出現的時候,他們把他們的恢復時間縮減到五天,與沖擊波的38天相比快了很多。微軟安全應答中心(MSRC)的建立讓我們看到了成功的信號。當然這決不是最後的勝利,但是他們已經具備了一定的反應能力。
微軟的問題不僅僅是只讓微軟受益:現在我們都對安全提高了警惕。我的岳母已經在討論防火牆的問題。我的鄰居在談話間偶爾會引用到釣魚(phiishing)攻擊。還有有一天我聽到我的兒子在向他的弟弟解釋木馬軟件帶來的麻煩。
微軟也許要再花十年推出許多更安全的產品,才能最後宣告對安全問題的勝利,但是他們現在已經具備了基礎架構、豐富的經驗和關鍵要素來發生這些改變。
