1. 微软停止支持XP,正式进入“裸机”时代
微软的XP操作系统于2001年正式发布,至今已服务了13年。很多用户都认为XP是一款经典的操作系统,但是上个月8号微软在全球范围内停止了对XP操作系统的技术支持。在充斥着各种病毒、木马的网络世界里,停止服务支持会对我们的电脑造成什么影响呢?
微软官方发布关于维护XP系统的进一步说明
中央电视台财经《经济半小时》记者:还有多少电脑在使用XP?
泰康人寿信息安全总监翁静海:据不完全统计,规模还在1万台以上。
翁景海是泰康人寿保险公司信息安全总监。自从微软宣布停止提供Windows XP系统更新服务后,公司电脑前总能看到他忙碌的身影。目前,泰康人寿在全国仍有1万多台安装XP系统的电脑。对于负责信息安全的翁景海来说,每一台电脑都是沉重的压力。
泰康人寿信息安全总监翁静海:作为保险公司,最核心的资产可能就是我们的客户信息了,我们所有的电脑都和我们的系统相连,如果这台电脑作为终端出现漏洞,就有可能被别人利用或者被别人利用作为跳板进入我们整个系统,使系统面临很大的风险。
翁景海告诉记者,公司近年来一直在对系统进行更新,但迫于资金、软件兼容等压力,短期内还无法完成更新。
泰康人寿信息安全总监翁景海:一方面我们一直在用XP,因为我们公司的一些应用系统原来就是基于XP平台开发的,现在还没有迁移到更高的系统,可能还需要一些时间,这是一个原因。还有一个原因是硬件的更换,更换这么多电脑其实是需要时间的。
为了应对XP系统可能带来的风险,翁京海还在抓紧制定公司上万台电脑的信息保护方案。
泰康人寿信息安全总监翁静海:在过渡期间,我们可以采取一些适当的安全措施,把微软之前发布的补丁全部打上,这是一个办法,也是一个加强终端安全管控的办法。
中央电视台财经《经济半小时》记者:还有多少电脑在使用XP系统?
某公司服务机构网络运维吴先生:如果按总数来算的话,大概有二十多台吧。
吴先生在一家事业单位工作,总共有近60台电脑,其中20台仍在使用XP系统。
某公司服务机构网络运维吴先生:如果缺少这种保障,我们机构面临的最大问题就是出现大量断电,一旦出现这种情况,我们整个业务部门可能都会陷入瘫痪。
吴先生告诉记者,这种系统瘫痪对于涉及大量资金流动的银行或商业机构来说,往往意味着直接的经济损失,虽然他所在的是事业单位,经济损失不会那么直接,但业务暂停也会造成严重后果。
某企业服务机构网络运维人员吴先生:我们的业务数据会不会丢失?我们的敏感信息会不会被外人获取?
吴先生给记者算了一笔账,20台电脑的升级费用总共就需要1万元,更麻烦的是,有的电脑根本没法升级。
某公司服务机构网络运维人员吴先生:很多业务系统是直接和系统绑定的,也就是只适合XP,升级到Windows 7会带来很多繁琐的工作,不是一天两天就能搞定的,等用完XP再说吧,这是唯一的办法。
计算机管理器软件发现系统存在高危漏洞
如今,这20台电脑成了吴先生最牵挂的。对微软停服感到担忧的,不只吴先生和翁景海。薛晓宇是一家网络安全服务公司的客户经理,主要客户是中小企业。在他的客户中,有20%的电脑因为系统绑定问题无法升级。随着停服日期临近,不少客户纷纷向他表达了担忧。
启明星辰信息技术有限公司客户经理薛晓宇:大家担心系统可能裸运行,因为过去几年来,我觉得信息安全问题,不管是CIH病毒也好,熊猫烧香病毒也好,都给用户带来了危害,包括木马账号窃取等等问题。
信息经理杜晓斌:企业级用户,包括金融行业、大型国有企业、中央企业,甚至政府行业,因为这些用户更新速度没有国际上那么快,所以XP的应用量比较大。
杜晓斌是国家级信息化管理师,目前分管企业信息安全管理工作,他告诉记者,资金、软件兼容性问题是目前大多数企业仍在使用Windows XP的主要原因。
信息经理杜晓斌:一是应用层面的限制,很多程序、个人应用都是基于XP构建的,应用的改动非常困难。二是资金成本预估的问题。
随着用户信息安全受到威胁,安全软件行业自然也忙碌起来。裴志勇就是其中之一。他告诉记者,对于安全软件行业来说,5月13日是一个考验他们技术的日子。因为按照以往惯例,微软会在每个月的第二个星期二向用户提供系统补丁。而自从微软在4月8日宣布停止更新Windows XP系统以来,第一个补丁日就是5月13日。这意味着微软的Windows XP系统真正进入了裸奔时代。
360安全专家 裴志勇:5月13日是微软停止更新XP后的第一个补丁日。这一天微软会继续为Windows 7和Windows 8打补丁,但不会再为XP打补丁。他们为win7和win8打补丁的一些漏洞可能也存在于XP中。那么这个漏洞就不会被修复。因此从这一天开始,XP已知的漏洞会越来越多,所以我们说这一天是XP的“裸日”。
那么微软向用户提供的补丁与安全软件厂商向用户提供的防御功能到底有什么区别呢?
360安全专家裴志勇:以前XP软件负责查杀木马,微软负责修复漏洞,双方各有分工,安全软件其实是在系统没有漏洞的情况下查杀木马,但由于XP服务暂停,很多用户因为各种原因,无法一次性升级XP系统。
网上宣传视频普及系统补丁知识
为了向用户普及系统补丁的知识,360公司曾经制作了一个视频发布在网上,叫做《关于补丁鲜为人知的10个事实》。从这个视频中我们可以看出补丁有多么的重要。它就像一所房子,不管前门加了多少把锁,设置了多少保安,如果不打补丁,黑客还是可以通过房子的缝隙,甚至是敞开的后门进入房子。
360安全专家裴志勇:当系统存在已知漏洞时,黑客更容易攻击你的电脑,或者木马更容易感染你的电脑,使你的电脑变得不那么安全。有时,即使没有木马或病毒,黑客也可以利用系统直接入侵你的电脑。
其实在早期Windows XP系统就曾遭受过历史上几次大规模的黑客攻击,就是因为很多用户没有意识到补丁的重要性,没有及时更新。
360安全专家裴志勇:我们来看一个历史上最著名的事件,就是2003年8月的“冲击波病毒”攻击。它利用了Windows系统的一个远程漏洞,然后在用户不知情的情况下,自动在互联网上搜索存在漏洞的计算机,并自动发起攻击。这个冲击波病毒在很短的时间内攻击了全球几乎80%的计算机,但其实如果你及时打上了操作系统的补丁,这个病毒就不会发作了。
这次微软停止更新Windows XP,历史会重演吗?裴志勇认为,这是未来3到5年内安全软件行业和Windows XP用户需要共同应对的问题。
360安全专家裴志勇:由于XP服务暂停事件,XP软件被迫考虑对系统进行保护,以防出现漏洞。
中央电视台财经《经济半小时》记者:以前没有出现过这种情况吗?
360安全专家裴志勇:这种情况在过去基本上没有出现过。比如我们做XP盾的时候,其实就是一种防护。应该说在各种防护中,到现在为止还没有人能够突破这个防护网。所以其实当系统有漏洞的时候,如何针对漏洞进行防护,是安全软件必须面对的一个新问题、新课题,而且这个课题至少在未来三到五年内可能不会发生根本性的变化。
2. 软件公司发布安全工具,吸引黑客攻击
5月13日,也就是昨天,是XP停产后的第一个补丁日。微软官网公布了总共8个最新补丁,包括2个高危漏洞补丁和6个重要漏洞补丁。随着这些漏洞信息的披露,没有补丁的XP系统将成为黑客攻击的主要目标。因此,5月13日被业界公认为“XP裸日”。那么,对于黑客来说,裸系统意味着什么呢?我们来听听黑客们怎么说?
记者联系上了黑客圈内技术顶尖的白帽子专家。
白帽黑客穆舒柔:其实黑客分为白帽和黑帽,白帽一般追求突破系统,找到一些漏洞,并乐于分享,让厂商、让世界更安全。
这位化名“木舒鲁”的白帽黑客告诉记者,与白帽黑客不同,黑帽黑客为了牟利,经常对企业或个人用户发起攻击,对于他们来说,系统漏洞就是后门,只要找到准确位置,就可以自由出入,为所欲为。
白帽黑客穆舒柔:比如黑客可以搜出电脑里所有的jpg图片文件、办公文档等,偷偷放到指定邮箱或者其他主机里。网银、淘宝、QQ等重要账号,也会因为电脑被入侵而被黑客窃取。
除了窃取用户电脑上的任何文件外,用户的个人生活也可能被监视,这些技术并不算先进,入侵公司内网服务器才是一些黑帽黑客的真正目的。
白帽黑客穆舒柔:当内部员工访问一些恶意页面时,攻击者可以利用类似的漏洞获取组织或部门的敏感信息。
那么,受到第三方安全软件保护的XP系统是否已经成为黑客们任人宰割的砧板上的肉了呢?就在一个多月前,木须柔和众多黑客高手一起参加了一场XP挑战赛。
白帽黑客木舒郎:我就是一种挑战的精神,特别是要跟国内的腾讯、金山、360这些公司竞争,想看看他们的水平到底有多高,所以就决定参加这样的挑战。
各大软件防护XP系统 黑客逐一攻击
和天智汇技术支持总监皮开元:其实就是在我们的互联网上竖立一个目标,有兴趣的人可以进行攻击性测试,验证这个目标的安全性。打中了就是不安全,不打中就是安全。
皮开元是湖南禾天智汇网络实验室技术总监、本次挑战赛的负责人。他告诉记者,举办这次比赛的目的是看在XP漏洞微软无法修复的情况下,国内安全厂商能否担负起重任、接住接力棒。比赛选取了三款热门安全防护软件进行测试,选手需要绕过目标机器上安装的防护软件,获取指定文件,测试软件的漏洞防护能力。
和天智汇技术支持总监皮开元:为了吸引业余黑客高手参与,我们还提供了38万元的奖金,这个奖金不多但也不少。
丰厚的奖金吸引了百余名黑客前来一试身手,4月5日上午8点,XP挑战赛线上正式开启。
工作人员:我几乎一直都在看着大屏幕,然后数据更新得很快,数据更新得很快。
五分钟后,和天智慧官方微博发布最新战况,显示4人攻克金山毒霸,7人攻克腾讯,暂无人攻克360。
白帽黑客穆舒柔:是的,是的,我们被黑客攻击了,目标文件被窃取了。
央视财经《经济半小时》记者:你们发现的这个漏洞是通过IE的吧?
木舒柔:是的。
木姝柔编写的攻击代码在短短几分钟内就窃取了目标文件。
白帽黑客 武士郎:至于腾讯那边xp系统用什么保护软件360好还是电脑管家,也是在一分钟之内,也就是说如果两者加起来应该在三分钟以上。剩下的时间大部分都花在了和360的对抗上。
和天智汇技术支持总监皮开元:蓝色的代表射手刚进入射击场,开始射击;绿色的代表射手已经完成射击,命中目标;红色的代表射手还没有达到目标高度,已经放弃。
最终,经过12个小时的连续攻击,腾讯电脑管家挑战人数为32人,其中9人突破;金山毒霸XP保护盾挑战人数为39人,其中13人成功;而360XP护盾,共有30人攻击,无人突破。
保护Windows XP的系统软件
白帽黑客木舒郎:问题是360加强了沙盒功能,找到对应的内核零对漏洞有点困难。所以下午六点我选择不再继续了。
木舒柔被360的盾挡住,心里有些不甘,他告诉记者,防护软件就像是过安检一样,会分析相应的特征。
白帽黑客穆舒柔:比如说这个人是不是穿着一身看上去毛茸茸的黑色西装,或者他的行李箱里是不是有一些刀子形状的工具?
黑客正是利用了防护软件的这一特性,一旦编写出防护软件无法识别的新代码,就能顺利通过测试。近日,全球知名安全评测机构AV-C、AV-TEST以及亚洲知名安全机构COSEINC、PCSL等也相继发布XP防护评测报告,测试安全软件能否有效保护失去微软支持的XP系统。360安全卫士“XP护盾”在所有评测中均位居第一。
3.正版系统个人用户极少,企业和政府是“裸系统”最大受害者
据统计,在XP的使用寿命期间,安全补丁数量达到527个。由于有些补丁可以同时修复多个漏洞,因此XP在历史上修复的各类漏洞多达1256个。也就是说,XP平均每个月需要安装3.5个补丁、修复8.3个漏洞。然而从5月13日开始,新曝光的XP漏洞微软无法修复,只能借助第三方安全软件进行防御。这能从根本上解决用户的系统安全问题吗?
国际开源应用安全专家 陈亮:所有杀毒软件公司都会把自家软件的稳定性放在第一位,如果打了补丁之后,自家软件溢出或者出现问题,他们肯定不会让你打补丁,所以所有杀毒软件都是以自我保护为主,永远不会把用户放在第一位。
自2013年4月8日起,微软停止向中国XP用户提供软件更新服务,取而代之的是国内各大互联网公司推出的系统保护服务。在陈亮看来,这两种服务的安全性是无法相比的。
国产厂商使用的杀毒软件排行
国际开源应用安全专家 陈亮:以前我每年交钱,可以得到补丁,现在交了也没人给我打补丁,只能相信国内安全厂商能拿出一些补救和防护措施,但跟别人一对比,感觉还是相形见绌。
据微软官方提供的数据,中国正版XP用户数量已达2亿。陈亮告诉记者,个人用户数量非常少。
国际开源应用安全专家 陈亮:受XP影响最大的用户是政府部门、ATM机。但从危害来看,地铁、一些指挥系统仍在使用Windows XP。
不仅在中国,微软停止对XP技术支持也给世界各国政府和金融机构带来了很大麻烦。以银行系统为例,据路透社最新消息,ATM制造商NCR声称,全球约有三分之二的ATM仍在运行XP系统,尽管许多ATM公司和银行已经与微软签署协议,在4月8日之后继续支持XP系统。但这种支持非常昂贵。路透社援引分析师的话称,“英国每家主要银行延长对XP系统的支持并升级到新平台的成本在5000万至6000万英镑之间。”
政府机构的麻烦就更大了。据英国《卫报》报道,英国的税务系统HMRC和医疗系统NHS也使用了微软XP系统。微软为XP系统更新开出的账单令人咋舌,“如果客户想继续获得微软对系统的维护,就必须向微软支付一定的维护费,第一年每台电脑122英镑,第二年每台电脑244英镑,第三年每台电脑490英镑。”
那么在中国,如果所有正版XP用户都升级到Windows 8,经济成本会是多少呢?
国际开源应用安全专家 陈亮:微软现在正在办一个活动,就是说XP打折之后,你再加600块钱就可以升级到Windows 8。虽然是升级到Win8了,但是你的操作系统升级了,你的办公系统也要升级。Office专业版的公价是4899,那么4899加上600,我们假设就是5000块钱。全国有2亿用户,那么5000乘以2亿就是大概一万亿的投入。如果政府单独出钱的话,我觉得会是一个天文数字。
微软依靠用户升级就能赚取巨额利润,不仅如此,在过去近13年的时间里,该系统的更新维护占用了微软巨大的人力和物力,停止XP系统的更新服务也意味着微软可以摆脱这个巨大的包袱。
国际开源应用安全专家 陈亮:微软一个漏洞调试员的平均月薪大概是5万美金,相当于30万人民币一个月,专家的工资就更高了,我初步感觉至少要几千亿(人民币)。
所以无论从哪个角度看,微软放弃XP系统都有利有弊,但对于用户来说,却恰恰相反,被迫升级到Windows 8系统的用户不仅会面临高昂的经济成本,其安全性也将受到极大威胁。
中国工程院院士倪光南:Windows 8的架构意味着将来你作为用户很难控制你的电脑,基本上不可能控制,因为它将完全被微软控制。
倪光南院士告诉记者,所有计算机应用程序都是在操作系统的支持下运行的。举个例子,操作系统就像地基,应用程序就像地基上的房子。也就是说,当计算机连上互联网后,谁控制了操作系统,谁就控制了计算机上所有的运行信息。微软在2006年发布“Windows Vista”时,由于其架构会让微软高度控制用户的计算机,因此没有被列入政府采购目录。
中国工程院院士倪光南:当时微软提出的Vista在架构上有一些变化,这个变化我们学术界叫可信架构,你运行的所有软件都要经过微软审核,甚至要签名才能运行,比如说对某个端口加一些改动,增加一个设备都是不允许的。从用户的角度来说,你没有任何控制权,你的电脑所有实际控制权都在微软手里。
业内人士表示,Windows 8的不可控性远大于Vista,因此升级到Windows 8的用户将面临巨大的信息安全风险。事实上,微软对用户电脑的绝对控制权在2008年的黑屏计划中就已凸显。2008年10月,微软以“打击盗版、保护知识产权”的名义,在中国启动黑屏计划。如果用户的微软操作系统和办公软件无法通过验证,用户的桌面背景将每小时变黑一次。
国际开源应用安全专家 陈亮:那你要明白,让机器黑屏的能力,就是它对你最大的控制权,它肯定拥有最高的权限,既然它控制了你,那么你机器上的所有信息,也可能被它收集。
陈亮告诉我们,从安全性上来说,一个叫Linux的操作系统,要比Windows安全很多,而两者最大的区别就在于是否开源。所谓开源,就是指系统的基础源代码是否可以共享,而不是被某家公司控制。
如今,越来越多的外国政府和社会部门开始自发抵制目前市场占有率最高的Windows系统,而选择Linux系统。在美国,包括白宫、美国陆军等多个政府部门都选择了基于Linux的操作系统作为主要内容管理系统,甚至在美国核潜艇上也使用这一操作系统。法国、德国、土耳其、荷兰等国家也纷纷打造自己的Linux系统并投入使用。2010年底,时任俄罗斯总理的普京作出决定,强制政府在2015年前将办公平台迁移到Linux和开源软件上。但不可否认的是,Linux系统的操作体验与Windows相差甚远,如何更好地开发和适配这一操作系统,在中国大陆还是一片空白。
国际开源应用安全专家 陈亮:在台湾花莲,现在都是,大家都不用Windows了,政府部门也不用Windows办公系统了。Linux是开源的,是免费的,Linux本身还有openoffice等等,这些办公软件也是免费的。但是我们最大的印象是什么?有一群人,这些来自台湾的技术人员,他们每周都会义务去政府部门培训、交流,大概两个月的时间。除了老人不太会用Linux系统,那里的部门其他人,都是灵活使用Linux系统的。
在陈亮看来,只有更多的技术人员参与到全民学习、应用Linux系统,中国才能真正摆脱Windows系统的束缚。
工业和信息化部总工程师张峰:我们工业和信息化部会继续加大对我国Linux操作系统研发和应用的支持力度,也希望光大用户对这些产品给予更多的支持。
【半小时观察】
上世纪90年代,海湾战争、科索沃战争爆发xp系统用什么保护软件360好还是电脑管家,由于伊拉克、南联盟等国的计算机操作系统100%来自微软等外国公司,这为美国成功瘫痪了他们的通讯系统提供了便利。这也为我们自主研发计算机操作系统敲响了警钟。此后,中科院受命进行研发,1999年红旗Linux 1.0版本发布,到去年已经发布了8.0版本,主要用于关系到国家安全的重要政府部门。但今年2月,媒体报道了中科院红旗关闭的消息,宣告国产操作系统的失败。但对于一个大国来说,在国家安全领域,自主研发依然是未来坚定不移的道路。 建国初期,我们曾以不可动摇的决心,克服各种难以想象的困难,研制出“两弹一星”,至今仍是国家安全不可替代的杀手锏。所以现在“红旗Linux”已经倒下,有关部门更应该重视,重整旗鼓,下定决心,克服一切困难,让倒下的“红旗”早日飘扬起来。
