微軟談Vista安全 黑帽大會反應佳

| | | | | | 留下回應

    

微軟公司針對Windows Vista作簡報，不像典型的黑帽(Black Hat)討論話題，但與會者仍對一窺微軟幕後乾坤興致勃勃。

過去十年來，一年一度的黑帽簡報(Black Hat Briefings)安全會議的討論焦點一向是揭露軟體瑕疵和電腦攻擊的手法。但今年破天荒舉行座談會討論一家軟體公司的安全性--而非不安全性。微軟就是這家軟體公司，以白金級贊助者的身分，在黑帽會議簡報Vista訊息。

事前不少人擔心，黑帽社群會對軟體巨人在會中發表的資訊式廣告(infomercial)報以噓聲。但微軟3日早晨舉行的簡報會會場幾乎座無虛席，比參加典型黑帽座談會的人數還踴躍。

多年來積極參加黑帽會議的金融機構資安人員Josh Hoover說：「我不覺得這是行銷噱頭，這是一場技術性極高的討論會，探討微軟內部如何執行程式碼檢查。當然，此刻還只是口頭說說而已，要到程式碼發布後才能實地測試。」

微軟在黑帽發放初具雛形的Vista，徵求與會者的意見。微軟安全工程資深經理Steven Lipner說：「我們會參考這些意見。如果找到任何安全問題，希望他們告訴我們。」

他說，在黑帽發布的Vista版本，不是專為這場會議而製作，而是最新、穩定的build版本。

Vista內部堂奧

微軟在黑帽的簡報涵蓋最新作業系統安全性的各個層面，包括基本技術的概況、安全工程，並舉行專題座談會討論網路技術、Wi-Fi、堆積管理(heap management)的改良，以及Internet Explorer第七版。Vista預定明年元月盛大推出，將取代Windows XP。

微軟經理John Lambert 3日講述微軟軟體工程過程中對安全性的重視。他指出，Vista是歷年來第一款經過微軟安全性開發生命周期(Security Development Lifecycle)檢驗的用戶端作業系統。實施這個檢驗過程，是為了在出貨前預防軟體瑕疵並檢查程式碼。

另一項提升Vista安全性的措施，是偵測新瑕疵並使用掃瞄工具。這意味動員微軟內部及外部的人力共同除錯。Lambert提到，微軟曾舉行「藍帽」(Blue Hat)會議，邀請駭客到微軟公司總部討論軟體安全性。

Lambert說：「這(Vista上市前經過的種種安全測試)是有史以來，規模最大的商業滲透測試。」

聽眾似乎對微軟的簡報聽得津津有味，席間不時傳出哄堂大笑。例如，Lambert談到，IE 7 Beta 2測試版一發布就暴露出重大瑕疵時，微軟如何回應呢？Lambert展示一段男子用頭猛撞鍵盤的動畫，引起聽眾爆笑。

包括Hoover在內的幾位聽眾表示，微軟的簡報會引人入勝。他說：「我來此，不是想學如何當駭客。我是來聽聽微軟如何改善軟體。如果他們說的真正付諸實行，絕對是朝正確的方向邁進。」

第一次參加黑帽會議的澳洲某銀行資安專家Ross Mackenziek也呼應：「這場會議談的是Vista安全性，當然最好從微軟口中得到第一手資訊。」

IBM駐丹麥系統管理員Richard Bjerregaard說，他很高興得知微軟正使用程式稽核工具。他說：「他們已採用正確的做法。」

儘管有些人仍認為，微軟的黑帽秀不過是行銷宣傳，但Hoover說，事實上，微軟早已掌控市場。他說：「人們喜歡挑微軟的毛病，但大多數人還是照樣用微軟的軟體。」

（唐慧文／譯）