新趋势 由Mac安全性引发的思考

SAN FRANCISCO-美国的政客们总是开玩笑的把公共安全称作"高压电线"避而不谈，在苹果公司，这个避而不谈的高压线，就是安全。

业界讨论" Mac的安全状态"这个话题已经有段时间了，而本周在旧金山召开的RSA大会 以及上周的CanSecWest 大会上，人们对这个话题又有了新的认识。

不论在哪里，安全方面的话题总是会成为讨论热点，而且每次都会出现 Mac vs. PC 安全性的大比拼。不过本周从我在RSA上与周围人的闲聊中发现，人们对安全威胁的性质变化的关注已经超越了对平台差异的关注。

首先，我来说明一下现状。在与我交流的安全研究人员中，没人能举出运行Mac OS X的苹果机被攻击成功的案例。不论是在 安全测试 中，在show-stopping演示中，还是在针对 pwning 的漏洞攻击中。少数人甚至认为目前Mac系统上还没有什么严重的安全问题，不过去年确实有一个针对Mac的木马 ，只是那个木马是由一个色情网站发布的，需要用户按步骤操作数次才可以被感染。

那么，也许我们可以认为Mac系统是一种非常安全的计算系统。但是这并不意味着Mac OS X绝对安全。系统中的各种软件都是由人编写的，这就使软件中必然存在漏洞。这些漏洞理论上可以被不法分子用来攻击系统，但实际上并未发生过。最主要的原因是什么呢？打个比方，你并不需要一个MBA来帮你分析成本利润。

换句话说，苹果的安全问题还没有进入 "强烈需求" 时代，而这种状态Microsoft早在数年前就已经进入了。 当年上百万的Windows用户要求微软为Windows XP 和Internet Explorer的漏洞负责，而微软为了信誉，几乎放下了全部其它工作，全力解决系统漏洞问题。

这种情况还没有在苹果身上发生。就算Apple的市场占有率每个季度都在提升，但是根据IDC的统计，苹果在美国的市场占有率也仅有5.8%而已。

Charlie Miller上周在CanSecWest大会上 pwns 一台 MacBook Air (Credit: TippingPoint)

Independent Security Evaluators的研究员Charlie Miller表示，对于网络犯罪份子来说，"市场占有率就等于钱"。Miller 在CanSecWest大会的"Pwn to Own" 对抗赛上曾经成功控制了一台MacBook Air。他使用了Apple的Safari浏览器之前未公布的一个漏洞直接控制系统访问了一个含有恶意程序的网站，为他自己和他的团队赢得了$10,000 和一台新MacBook Air。

"就算苹果的市场占有率达到了10%，那么与其攻击这10%的电脑，不如花同样的时间来攻击剩下那90%的电脑。" Miller表示。 与试图利用漏洞攻击Mac系统相比，攻击企业占有率更高的Windows系统会更加容易，最主要的是，获得利益的可能性更大。

威胁的转变

随着时代的发展，通过系统漏洞控制一台电脑，已经不是黑客们追求的目标了，现在流行的是通过浏览器漏洞作为突破口进入系统，或者转而攻击网站, Symantec 公司Mac产品线负责人Mike Romo表示:"木马和病毒已经是昨日黄花了。"

在 CanSecWest大会的比赛中，当攻击对象限定为操作系统时，没人能完全控制三台正在工作的笔记本电脑（MacBook Air,运行Windows Vista Ultimate的富士通笔记本，以及运行Ubuntu 的Sony Vaio笔记本) 。不过Miller的Safari 漏洞攻击，Shane Macaulay, Derek Callaway的 Flash 漏洞攻击 ，以及 Alexander Sotirov针对 Vista的攻击，显示出现在安全威胁的最大来源已经转向了浏览器，而不是操作系统。

另一方面，网络钓鱼和社会工程也成为了犯罪分子诈骗用户钱财的重要手段，而不再是对用户的系统进行攻击。Romo 表示， "对于新一代的网络攻击来说，操作系统已经不是主要目标了，现在的攻击利用了人们在互联网上的时间越来越长的特点。人们对于在网上输入自己的信用卡帐号已经越来越感到自信了。"

这意味着人们讨论的重点已经不再是 Windows vs. Mac OS (至少在安全方面是这样，所以各个阵营的粉丝们都安静下来吧)，而是Internet Explorer vs. Firefox vs. Safari vs. Opera等一系列浏览器。另外还有像 QuickTime这样的软件。

Symantec本周发布的调查报告显示，2007年Safari曾经公布了22处弱点，Mozilla类的浏览器如Firefox则有多达88处弱点，IE公布了18处弱点，Opera则是12处。不过需要注意的是，衡量浏览器安全性并不是简单的根据弱点的数量来定的，还需要研究诸如 Firefox 和 Safari这样的浏览器的用户群范围。

浏览器漏洞已经逐渐超越操作系统漏洞成为安全领域的最大威胁来源
(Credit: Symantec)

另外，正如Symantec指出的"随着安全研究人员在浏览器中发现了越来越多的漏洞，通过浏览器进行攻击的理念也在以更快的速度在网络犯罪分子间传递，导致了针对浏览器漏洞的攻击案例和手段层出不穷。" 再一次，IE 成为了众矢之的。这款市场占有率最高的产品背后涉及的经济利益也是最大的。

对于安全领域来说，最大的问题在于，就算 Microsoft, Mozilla, Apple, 以及 Opera 等所有公司都极大的加强浏览器的安全性，也无法阻止网络钓鱼这样的犯罪发生。如今在各种网络犯罪手法中，最快最轻松赚钱的方法就是发送Nigerian 419 e-mails 之一的邮件，一旦用户通过这些邮件进入了恶意网站并输入了个人信息，几小时后网站就会被犯罪份子关闭并收集整理用户信息。

对于像 Symantec这样的安全公司来说，在用户受到侵害前追踪这种生命期超短的网络钓鱼网站并更新浏览器保护软件来屏蔽这些网站，几乎是不可能的。而犯罪分子经过这种重复性的简单工作，几天内赚到的钱就比花费数周时间利用漏洞攻击Vista 或 Mac OS X系统获得的收入高得多，Romo表示。

这其中的社会性问题并不亚于技术问题，Romo表示，大多数人已经厌烦了整天围着计算机，做那些计算机告诉他们要做的事情。而很多人没有意识到他们其实可以不必这样。

Miller 和 Romo都是Mac用户，他们担心用户对防御自身安全威胁 的需求会迫使苹果改变现在Mac系统的核心任务，影响Mac系统的易用性。Miller 注意到在Leopard版本中已经有了类似的迹象，但是与Vista中的User Account Control功能相比，还没那么烦人。

不过苹果目前还没有打算在Mac OS X上采用微软的安全策略，除非大量用户或者黑客迫使苹果做出如此改变。到那时候，快速有效的补丁和广泛的与全球安全论坛联手，对于维护Mac系统安全来说是最重要的。
与其统计系统或者浏览器的漏洞数量或补丁数量，来规避安全风险，不如在教育和"安全浏览"习惯的培养上下功夫。 也许在安全技术领域的"高压线"是：有时候并不是公司产品的漏洞，而是我们自己的问题。