几十年来,在每一个Vista之前的Windows操作系统中,微软都依赖于第三方安全软件商的贡献来保证其用户的安全。**
这些产品保护消费者和企业用户免受病毒、间谍软件、木马、蠕虫和最新的rootkit木马等各类恶意软件的破坏。这些来自独立厂商的安全产品甚至可以使得人们的电脑在微软自身的严重软件程序缺陷面前保证安全——值得注意的是,这样的情况在最近几年越来越多。
遗憾的是,微软自身的“缓冲区溢出”和“Internet Explorer漏洞利用”在今天的词典中已经成为常见词。但是,来自McAfee、赛门铁克和CheckPoint软件技术等公司的多种安全产品再一次使得人们可以保证他们的计算过程是安全的。多年以来,像你、我、我们的家人和同事这样的用户一直可以从各种提供成熟和创新的安全产品的公司中选择适合他们的最佳安全解决方案。这种合作而相对安全的计算经历在Vista中却将向不好的方向发展。在这一新操作系统的核心部分,我们看到微软公司使用了PatchGuard以阻止任何对核心服务进行访问,而这样的访问在过去所有版本的Windows中都是被允许进行的。
简单地说,PatchGuard在计算机检测到特定的内部数据结构被"截获"时使得计算机崩溃,这样的情形通常是恶意软件开始进行破坏的方式。然而,行为检测软件和入侵保护软件的某些有用的高级特性也以这种方式工作。于是,通过试图阻止坏家伙,PatchGuard也阻止了这些高级安全特性的正常工作,这使得用户更为不安全。下面是这一严重情形的一个简单的例子:假设一种新型的通过邮件大规模传播的蠕虫突然大量出现。在过去,已知的病毒是在传播过程中被拦截的,此时含有病毒的文件被扫描以发现恶意软件的特征信号。如果这种定义一个已知病毒的比特模式与所检测文件中的模式吻合,则根据控制这台计算机的方案该文件将被隔离或删除。然而,一种新的病毒由于还没有被病毒研究小组研究,将不具有一个针对它的特征信号。因此这一零天攻击将不被内核中的传统病毒检查发现。随后,当被感染的带毒文件被执行从而该病毒最终被执行时,它便在电脑上扎根并立刻开始进行它的一系列卑劣行径。在它是大规模邮件传播病毒的情况下,它将肆意使用电子邮件客户端的地址簿并开始发送大量的电子邮件。
后面的故事有趣的地方发生于在安全软件参与进来以阻止病毒继续执行时。所有现代的反病毒软件在刚才提到的基本的特征文件扫描功能之外都包括了一种被成为启发式行为检测的技术,这一技术被用于阻止像前面描述的大规模电子邮件蠕虫这样的零天攻击。 该蠕虫为进入内核进行的调用被反病毒软件以截获API(应用程序访问接口)的方式研究,从特定的API调用和这些调用的顺序/频率可以确定该蠕虫正在系统中活动。于是反病毒软件通过向内核发送程序中止信号杀掉蠕虫,从而使用户再次安全。当然,有一些其他的细节没在这一简单的示例中描述。但是重要的是这是当今最先进的反病毒软件工作的方式:首先检查病毒特征信号,然后使用行为技术检测新的零天攻击病毒爆发。而将一例子扼杀使其无法进行的正是PatchGuard,它将阻止这类基于行为的零天检测的正常工作。
安全软件上已经使用多年的标准技术——截获API并杀掉应用程序——正在被专门阻止。此外,并没有类似检测技术的微软公司正在阻止安全软件商的反病毒软件使用这些高级特性——即使微软并没有能力自己做这些。最后的结果是不言而喻的:与现在安全软件可以使用其行为检测特性的XP系统相比,用户们显然更加不安全。我并不确定我们如何以正面的态度结束这个故事。随着微软的Windows安全中心和PatchGuard的设计,用户对于安全解决方案选择所受到的限制、该产业不得不进行的沉闷的创新、以及最重要的用户安全大规模下降所导致的显而易见的危险,都在Vista上达到顶峰。 或许我们只能寄希望于微软公司可以尽快认识到它们必须认真对待并执行业界对Vista所提出的变化建议。
