安全软件的危险：Sophos软件存在漏洞

　　在上周的黑帽大会中，谷歌研究员Tavis Ormandy批评了Sophos杀毒软件一些领域的欠缺导致其易受攻击或被病毒避开。其他杀毒软件厂商的产品也可能有此问题，只是目前还没发现。

　　Ormandy声称其反向设计了该产品。此外，他还发现以下问题：

　　1 用于加密数据的密钥是与数据一并存储，使之相对容易破译。

　　2 其缓冲区溢出保护只能在Vista系统之前的Windows平台上运行。

　　3 Sophos选用的以辨认病毒的数字签名非常脆弱，并且能够独立于Sophos产生，这可能使用户得到大量误报。

　　就sophos而言，他们已经在Ormandy的批判之前，就与之进行了讨论。基于这些讨论，sophos也作出了相应调整。

　　1 sophos正在逐步淘汰其脆弱的加密算法，该算法并未被用于加密产品中(从一开始也不是用于加密数据)。事实上，加密只是为了改变Sophos更新的代码，这样一旦发现真正的恶意软件模式，其他的安全产品就不会将Sopho的数据文件误认为是恶意文件了。

　　2 sophos正在重新审视其脆弱的缓冲区溢出保护。由于Vista和之后的Windows操作系统自带了缓冲区溢出保护，sophos终止了其运作。

　　sophos发言人Graham Cluely说道：“sophos考虑将Ormandy的批评作为编程审计的内容。”

　　之前Cluely曾与Ormandy产生激烈冲突，因为Ormandy揭露了微软产品的一个漏洞，结果导致该漏洞在现实世界中被人利用。Cluely在博客中猛烈抨击了Ormandy。

　　ormandy说，他对sophos反毒软件的分析和那次事件无关，他选择Sophos也是随性而为，因为Sophos容易获取到。其他杀毒软件也可能存在sophos相似的漏洞，只是不通过反向设计与全面分析不可能知道罢了。他说道：“我不会再做这些烦人的反向设计与分析了，我要做点儿有趣的事儿。”

　　尽管ormandy任职谷歌，但他在业余时间独立完成了对sophos的研究。

　　ormandy说道：“所有杀毒软件厂商的问题都出在：他们都不经过同行审查而秘密进行各自的工作，这就少了成为更坚实平台的重要一步。安全的基本原则是：先假定攻击者清楚你所有的防御措施，然后你加强防御，以此防止被攻破。公众审查可以帮助你发现缺点并进行修正，而不是任其成为漏洞。”

　　“总体来讲，杀毒软件都是在病毒已经造成损害后才能将其发现，因而预防措施事实上更有效。杀毒软件太过复杂会增大终端用户机器被攻击的几率， 这会造成更多潜在的问题。”

　　Cluely说道：“Ormandy的杀毒软件分析只检测了软件组件，而未从整体上分析软件的功用。他也未测试其终止恶意软件的能力，而只关心代码的质量。或许他是对的，我们可能应该做得更好。”