ftofficer|张聪的blog

最近有不少人问我，在网上流传的一些事情的真假，其实就是两家安全公司的事情：先是瑞星爆出漏洞，360为其打补丁；然后是360爆出漏洞，瑞星说是后门。然后大家就晕了，到底谁可信。中午吃过饭休息的时间，说说这两个事情。这些观点都仅代表个人，我无权也无能力代表公司，只是从个人角度说说我看到的这两件事情。

首先第一点，瑞星和360的漏洞都是真的，都是波兰的白帽黑客组织ntinternals发现的。ntinternals发布了大量的安全软件本身的漏洞，漏洞列表当中编号为NTIADV1001的是瑞星的，NTIADV1002和NTIADV1003的两个是360的。被发现漏洞的安全公司，瑞星和360不是第一家，也不会是最后一家。作为白帽子黑客，ntinternals比较遵守一些规矩，比如说发现的漏洞会先通知厂家，待厂家修复之后再公开细节。“白帽子”(White Hat)和与其相对的“黑帽子”(Black Hat)是安全界的一种称呼，通常用来区分不同的人或者组织对待安全问题的方式和态度。简单的可以认为，白帽子是为了修复安全问题而去寻找漏洞，而黑帽子是为了利用安全漏洞做坏事儿去寻找漏洞。

说说漏洞本身。这三个漏洞都是“本地提权”漏洞。所谓“本地提权”漏洞，是通过这个漏洞，应用程序可以绕过Windows的安全限制，来做一些它本来不可以做的事情。Windows经过这么多年的发展，其安全模型是相当完善的。每个运行的程序都是以一定的角色运行，有些事情可以做，有的不能做。如果程序试图做他们不能做的事情，就会被Windows拒绝，或者弹一个要求用户确认授权的窗口。因此Windows现在很依赖这种机制来保护用户的安全。常见的例子是，上网用的程序（浏览器）可能就被赋予很小的权限，除了访问网络什么都干不了，这样就算因为浏览器的漏洞导致它运行了某些恶意软件（通常是在用户未知的情况下），这个恶意软件也被框在一个安全的框里面，不能访问你的帐号、密码等等敏感信息，很大程度上保护了用户的安全。

但是如果一个漏洞有本地提权漏洞，就好象这个安全的框被打开了一个洞，恶意程序可以通过这个洞绕过Windows的限制访问敏感的东西。因为很多程序比浏览器重要，所以被赋予的权限比浏览器高，然后恶意软件利用这个高权限程序的漏洞，就可以做高权限的事情了。这种漏洞很多，Windows自己也爆出来过，第三方软件也爆出来过。瑞星和360爆出来的都是系统内核提权漏洞，可以以系统最高权限做事情，因此比较严重。

漏洞通常都是设计或者编码上面的疏忽造成的，补上就行了。而且对于安全软件，一般都有自动升级的机制，因此只要补上，发布出来就没问题了。另外，只要在昨天凌晨之后打开过360，这个补丁应该已经打上了。

但是某些枪文说的这是360留下的后门，甚至扣上了绿坝的帽子，就是纯粹的泼脏水了。按照枪文的逻辑，只要是漏洞都可以归结成故意留下的后门：因为可以被利用，而且你永远不能 证明这个漏洞不是故意留下的。不过现在无数双眼睛盯着360，有一个漏洞都会被大书特书，如果刻意留后门，众目之下，和自杀有什么区别。

大家的不安全感是很正常的，在这个国家生活，你要是很有安全感就不正常了。这也是国内很多安全公司的营销手段和宣传手段，包括用来扣大帽子和恐吓用户，对此我个人很不爽。但是不要因为这些不安全感而见风就是雨，认为每个软件都在盯着自己。真的有敏感的信息存在电脑上，不是卸载一两个软件可以搞定的，也不是装个保密软件可以搞定的。按照现在的计算机软件安全模型，只要是安装的软件就可以访问你的系统，就可以访问你的数据，如果有漏洞（无意），或者安后门（故意），谁都跑不了。关键的是，我们如何制约这些公司的所作所为，不要指望政府，只能我们自己来。而作为技术人员，客观的批露事实，基于分析的结果而不是忽悠，让大家根据事实来采取行动，这也是我写这篇文章的原因。

说到到最后，这又变成了一个社会问题，牵涉到监管和信任问题。社会如此，大家对各种软件的恐惧，也就不足为奇了。真的很重要的东西，离线保存，才是最靠谱的。

– update –

我怕了，推上的各位到后来开始断章取义了。关于最后两段，我只是表示我能够理解大家对于国内软件的担心。请不要以此证明360有问题，也不要以此证明其他软件有问题。事实上，就我所知，现在所谓的360会监控xxxx，和政府如何如何的问题，我都是没有听闻的。我只是不爽，有的人见风就是雨，所以建议他们，离线存储一切。

类似文章：

• liboi – 管理基于OpenInkpot的电子书设备的支持库
• 2007这一年
• 我的博客2007报告
• Think Different
• 最近的生活