在一次黑客竞赛中。一位黑客只用了9个小时找到了Mac OS X操作系统的漏洞,并编写代码攻破了该系统,得到了1万美元的奖金。近日,ComputerWorld杂志采访了这一攻击代码的编写者,安全专家Dino Dai Zovi,请他谈了对操作系统安全的看法。
问:起初这一漏洞被指为在Safari浏览器身上,后来又变成了QuickTime播放器,这是怎么回事?
我一直很清楚漏洞在哪里。我一开始没有确切指出漏洞的位置,是为了防止其他人通过这些信息反编译我的漏洞代码。最终,那次比赛的主办方公布了漏洞的具体信息,影响Mac OS X上所有基于Java的浏览器,甚至包括安装了QuickTime的Windows系统。
问:你在9个小时内编写出了攻击代码,这是真的么?
我以前也发现过Mac OS X甚至是QuickTime的漏洞,因此对这些代码很熟悉。但是对于这一漏洞,我确实是在那天晚上发现并进行攻击的。这就像钓鱼,有时候你一天都钓不到一条,但有时你可以钓到很棒的。你会听说到哪个地方很容易钓到鱼,然后人们就开始都到那里钓鱼,那边的鱼就又变少了。这里,QuickTime就是那个容易钓到鱼的地方,我就去那里找,很幸运的在很短时间内找到了。当然,我“钓鱼”已经很久了。
问:你对Mac用户的安全问题有什么建议?
我建议Mac用户将他们日常使用的帐户设定为非管理员帐户,为重要的数据设定单独的密码,并且在隔离开的加密磁盘上储存敏感数据。
问:既然你在双平台上进行研究,你认为Mac OS X 10.4和Vista之中有谁的安全性更好么?
在安全领域中,Vista的代码质量比Mac OS X 10.4好的多。从安全更新中可以明显看出,微软引入的“安全开发生命周期”(SDL)体系让新编写代码中的漏洞数量明显减少。我希望越来越多的软件厂商学习微软的这套软件开发安全管理体系。
标签: 黑客