摘要:作为端点安全重要组成部分的Sophos有限责任公司的反病毒引擎,最近受到了一名安全研究人员的密切关注和审查,他在2011年黑帽大会上揭示了审查结果,结果对该产品不利。 |
“没有任何理由,为什么他们会依靠这么弱的计划,”Ormandy说道,“这不是一个性能问题。”
在演讲前,Sophos看过了Ormandy的文件草稿。这家英国的厂商已经开始将修复落实到位,并承诺在即将到来的主要版本中作出一系列变化。
Sophos的加拿大高级安全顾问Chester Wisniewski表示,他认同Ormandy发现中的部分东西,但一些简单的检查加速了客户的签名实施,且避免阻碍端点上的表现。他补充道,Ormandy对特定引擎组件的深入是学术上的,而Sophos的研究人员每天收到超过15万的恶意软件样本,他们是在业务环境下作出决定。
“我们每天都在脚踏实地的试图去解决24小时内随时出现的这15万个样本,”Wisniewski说道,“我们已经有了作出反应的方式,现在我们可以提供保护。Ormandy从学术的角度来看这个问题真的很酷,这是你可以解决这个问题很聪明的方式,但我们将不得不商业化,将它变成可以减轻用户安装的某种形式。”
“他不明白我们所面临的挑战是不同的。他在技术上了解这些产品,但他也许不明白为什么它们是产品或者我们为什么要用那些技术,”Wisniewski补充道,“我们不依靠他所提到的技术去提供保护。这只是一个大整体中的一小部分。”
Ormandy在做关于Sophos引擎研究的整个过程中发现了加密问题。他们使用了过时和陈旧的64位的Feistel块密码(Feistel block ciphers)或异或密码(XOR cipher),Ormandy表示,它们使用不当,基本上已经成为了模糊处理工具,而不是加密。Sophos的Wisniewski表示,公司正朝着在未来发布的产品版本中淘汰这些弱加密的方向努力。
“我们的BOPS系统设计用来为‘早期的Windows版本’提供保护,”Wisniewski说,“据研究人员透露,现在你可以绕过微软的保护。在这里,我们完全理解TavisOrmandy的观点,并正在为Vista和Windows7实施一个新的缓冲区溢出系统,因为我们想阻止微软技术的最终运行。”
“很多时候,在外界有一双眼力好的眼睛盯着产品是件好事,”Wisniewski说道,“了解外界的观点对我们来说肯定是有帮助的。”
责任编辑:Lily