美国的政客们总是开玩笑的把公共安全称作"高压电线"避而不谈,在苹果公司,这个避而不谈的高压线,就是安全。
业界讨论" Mac的安全状态"这个话题已经有段时间了,而本周在旧金山召开的RSA大会 以及上周的CanSecWest 大会上,人们对这个话题又有了新的认识。
不论在哪里,安全方面的话题总是会成为讨论热点,而且每次都会出现 Mac vs. PC 安全性的大比拼。不过本周从我在RSA上与周围人的闲聊中发现,人们对安全威胁的性质变化的关注已经超越了对平台差异的关注。
首先,我来说明一下现状。在与我交流的安全研究人员中,没人能举出运行Mac OS X的苹果机被攻击成功的案例。不论是在 安全测试 中,在show-stopping演示中,还是在针对 pwning 的漏洞攻击中。少数人甚至认为目前Mac系统上还没有什么严重的安全问题,不过去年确实有一个针对Mac的木马 ,只是那个木马是由一个色情网站发布的,需要用户按步骤操作数次才可以被感染。
那么,也许我们可以认为Mac系统是一种非常安全的计算系统。但是这并不意味着Mac OS X绝对安全。系统中的各种软件都是由人编写的,这就使软件中必然存在漏洞。这些漏洞理论上可以被不法分子用来攻击系统,但实际上并未发生过。最主要的原因是什么呢?打个比方,你并不需要一个MBA来帮你分析成本利润。
换句话说,苹果的安全问题还没有进入 "强烈需求" 时代,而这种状态Microsoft早在数年前就已经进入了。 当年上百万的Windows用户要求微软为Windows XP 和Internet Explorer的漏洞负责,而微软为了信誉,几乎放下了全部其它工作,全力解决系统漏洞问题。
这种情况还没有在苹果身上发生。就算Apple的市场占有率每个季度都在提升,但是根据IDC的统计,苹果在美国的市场占有率也仅有5.8%而已。
Charlie Miller上周在CanSecWest大会上 pwns 一台 MacBook Air (Credit: TippingPoint)
Independent Security Evaluators的研究员Charlie Miller表示,对于网络犯罪份子来说,"市场占有率就等于钱"。Miller 在CanSecWest大会的"Pwn to Own" 对抗赛上曾经成功控制了一台MacBook Air。他使用了Apple的Safari浏览器之前未公布的一个漏洞直接控制系统访问了一个含有恶意程序的网站,为他自己和他的团队赢得了一台新MacBook Air。
"就算苹果的市场占有率达到了10%,那么与其攻击这10%的电脑,不如花同样的时间来攻击剩下那90%的电脑。" Miller表示。 与试图利用漏洞攻击Mac系统相比,攻击企业占有率更高的Windows系统会更加容易,最主要的是,获得利益的可能性更大。
威胁的转变
随着时代的发展,通过系统漏洞控制一台电脑,已经不是黑客们追求的目标了,现在流行的是通过浏览器漏洞作为突破口进入系统,或者转而攻击网站, Symantec 公司Mac产品线负责人Mike Romo表示:"木马和病毒已经是昨日黄花了。"
在 CanSecWest大会的比赛中,当攻击对象限定为操作系统时,没人能完全控制三台正在工作的笔记本电脑(MacBook Air,运行Windows Vista Ultimate的富士通笔记本,以及运行Ubuntu 的Sony Vaio笔记本) 。不过Miller的Safari 漏洞攻击,Shane Macaulay, Derek Callaway的 Flash 漏洞攻击 ,以及 Alexander Sotirov针对 Vista的攻击,显示出现在安全威胁的最大来源已经转向了浏览器,而不是操作系统。
另一方面,网络钓鱼和社会工程也成为了犯罪分子诈骗用户钱财的重要手段,而不再是对用户的系统进行攻击。Romo 表示, "对于新一代的网络攻击来说,操作系统已经不是主要目标了,现在的攻击利用了人们在互联网上的时间越来越长的特点。人们对于在网上输入自己的信用卡帐号已经越来越感到自信了。"
这意味着人们讨论的重点已经不再是 Windows vs. Mac OS (至少在安全方面是这样,所以各个阵营的粉丝们都安静下来吧),而是Internet Explorer vs. Firefox vs. Safari vs. Opera等一系列浏览器。另外还有像 QuickTime这样的软件。
Symantec本周发布的调查报告显示,2007年Safari曾经公布了22处弱点,Mozilla类的浏览器如Firefox则有多达88处弱点,IE公布了18处弱点,Opera则是12处。不过需要注意的是,衡量浏览器安全性并不是简单的根据弱点的数量来定的,还需要研究诸如 Firefox 和 Safari这样的浏览器的用户群范围。
浏览器漏洞已经逐渐超越操作系统漏洞成为安全领域的最大威胁来源
(Credit: Symantec)
另外,正如Symantec指出的"随着安全研究人员在浏览器中发现了越来越多的漏洞,通过浏览器进行攻击的理念也在以更快的速度在网络犯罪分子间传递,导致了针对浏览器漏洞的攻击案例和手段层出不穷。" 再一次,IE 成为了众矢之的。这款市场占有率最高的产品背后涉及的经济利益也是最大的。
