RSA2011中國大會:波蘭女杰揭秘黑客技巧
原創【51CTO.com特別報道】2011年11月2日,RSA 2011中國大會在北京中國大飯店舉行。今年的RSA Conference從年初的美國大會到10月份的歐洲大會,11月終于來到中國。RSA 2011中國大會全稱:RSA Conference2011信息安全國際論壇。
該大會一直致力于吸引安全領域的全球精英,為大會與會者創造機會與同行、杰出人士及新興和成熟公司直接互動,了解IT安全最重要的問題。隨著IT安全領域的重要性和影響力不斷增長,RSA大會信息安全國際論壇在讓全球安全專家保持聯絡,獲得新知方面起到不可或缺的作用。
這次會議上,我們在一群外籍演講嘉賓中注意到一位來自波蘭的滲透測試專家,她年紀輕輕,卻已經是波蘭女性技術小組的領導者、微軟企業安全的MVP和安全顧問,還創建了自己的安全公司——CQURE。
兩天的行程,她司職“黑客與威脅”類別的兩個分會場。給大家帶來了《揭示密碼的秘密!所有你想知道,但卻不敢問的......》和《啟動掃描!網絡發現的先進技術》這兩個貼近實戰的主題演講。
俗話說“知道入侵的方式,才能知道怎么防御”……她不但向大家演示了黑客是如何解密或捕獲密碼的,還將自己的一些滲透測試技巧和常用工具分享給了大家。普通的一個Nmap掃描器、Aircrack-ng無線攻擊軟件,略改參數便在她手里發揮出強大的效果……
當然,這兩個主題的演講和所涉及黑客技術都是為了各位安全從業者更好的測試和保護好自己或客戶的服務器和網絡而準備的,并不提倡將其用于非法目的。而Paula Januszkiewicz本人也是一位白帽子安全審計人員……
Paula Januszkiewicz不但技術實力高超,而且性格活潑開朗。在演講中,她不時的走下講臺給觀眾比劃系統審計方式和效果,除了講PPT以外,她還在電腦上跑了一下實際的操作環境。讓觀眾對IT安全審計有了更深刻的認識。
Paula Januszkiewicz正在演講中
注:本次RSA中國大會有不同大主題的分類,分別是:應用與開發,密碼學與體系結構,黑客與威脅,移動與網絡安全,可信計算與云計算。
在第一天的演講結束后,Paula Januszkiewicz接受了部分中國媒體的采訪。下面是采訪實錄:
#p#
陳毅東:全球IT審計的整體狀況是怎樣的?未來的發展趨勢是怎么樣的?
Paul Januszkiewicz:對IT審計來說,我們要做的是對這個技術進一步了解,因為新的技術還沒有實施,還處于測試的階段,所以我們要了解技術的相關情況然后進行審計,我們覺得在IT審計這塊,不斷了解新技術、新東西是非常正常的現象。我覺得未來的趨勢應該不會有太大的改變,唯一的改變可能就是人們對安全的意識不斷加強。比如我們今天開的信息安全國際論壇就是進行充分的溝通,加強安全意識。因為現在我們會發現安全問題確實會影響到我們的生活和發展。人們也越來越多的意識到安全問題。因為總是有不同的新技術,新技術會帶來新問題,新問題出現以后人們可能還會再看老技術帶來老的問題,人們還要進一步推動新技術,所以會不斷進展。
李玲玲:傳統的安全審計到云計算環境下,差別大嗎?
Paul Januszkiewicz:基本的理念還是一樣的,我們還是針對相關的服務進行審計,但是在云的環境中還是有所不同,我們會比較關注信息和數據在不同端傳輸中的情況。技術不同,但基本的理念還是一樣的。數據傳輸方面,在云端、客戶端、私有云環境下、合作伙伴環境下數據的傳輸和加密過程是我們關注的重要方面。
王文文:作為經驗豐富的網絡安全專家,您常用的安全審計工具能介紹一下嗎?
Paul Januszkiewicz:這要看哪個領域,比如WEB安全測試,我會用Acunetix,工具可以自動做一些工作,我們也做一些手動工作。
王文文:您目前的工作中,哪一類滲透測試做的比較多?
Paul Januszkiewicz:我做的測試主要是IT系統內部,比較少做網絡測試,主要針對的是邊界測試,所謂邊界就是一邊是網絡,一邊是客戶自己的系統,在這兩個主體中間,邊界是我們的工作重點,通過滲透測試可以看到,從Web網絡角度看,客戶系統有哪些顯而易見的漏洞。是我們也會做內部測試看看存在哪些潛在的風險。所以我們有三方面,一方面做Web測試,Web測試主要是意見收集,看看網絡情況如何,第二方面是邊界測試,所謂邊界測試是看數據安全的問題,第三方面是內部的系統測試,主要是看內部系統本身的配置。
王文文:您現在還自己挖掘漏洞嗎?
Paul Januszkiewicz:這是我個人的興趣,但我不是專業做這個的。
王文文:像您這樣的專業人士是否會使用MSF和BT 5這樣的工具?
Paul Januszkiewicz:當然。比如Back track系列吧,我之前常用的版本就有BT2和BT4。
陳毅東:您今天有一個關于密碼學的主題演講,密碼學現在有很多安全方面的新定義,比如移動安全、虛擬化安全、云安全。對于基礎性的傳統密碼學帶來哪些挑戰?
Paul Januszkiewicz:我不能說一點挑戰都沒有,但出現的新技術并不是完全全新的東西,很多協議被破壞的時候只是對一些技術產生挑戰,但對現用密碼學所有的方法來說,它的功能還是比較完善的,而且比較適用于當下的情況,沒有出現什么問題。比如你在云中發布應用軟件,一般來說不允許再進行修改,如果修改的話需要重新輸密碼。但現在有新的技術,允許自己的環境和云環境進行對話,從而不需要進行密碼修改。這就是以需求為基礎的技術,這種技術是新發展,當然會給我們帶來一些新問題。但也會給我們帶來全新的防護模式。一旦出現新技術的時候,就有一些原有的技術做全新模式的搭建,在搭建的基礎上保證新技術還是安全的,所以這更多的是架構師要考慮的,在新的IT架構下如何讓原有技術和新技術在新環境下保持安全。
范平:云計算時代數據中心虛擬化水平越來越高,這是否意味著數據的安全性風險也越來越大?數據中心如何平衡安全和應用的關系?
Paul Januszkiewicz:這主要看SLA(服務水平協議),公司用數據中心是購買服務,服務供應商會告訴你SLA中規定一定時間內99.9%的情況不會出問題,也許會有一些風險,但虛擬化帶來的風險并不是這么大,比較大的問題是你和數據中心的溝通和交流不如以前頻繁了,另外你這里出了問題后,服務商會說我這面的數據中心沒有出現問題,責任很難追究。也許技術以后會出現新的突破并帶來新的挑戰,但目前問題還不大,你的數據安全還是取決于你和服務商之間簽訂的SLA協議。
陳毅東:你創建這家公司主要從事什么業務,另外看您的個人簡介,你對新的安全技術很關注,也在研究,我想知道是指哪些最新的安全技術?
Paul Januszkiewicz:不管技術設施方面,還是新的操作系統方面,一旦有新的發展我們都會進行關注,因為客戶會用新技術、新系統,我們肯定要率先熟悉,熟悉后才可以幫助客戶提供服務進行相關的測試。2002年微軟發布了新的操作系統,我們就要去了解相應的功能,因為這個功能可能和以前的微軟操作系統不同。我們本身是給微軟提供服務,所以說微軟會多一點。基本上我們要對新技術、新系統進行調查研究才能提供各種各樣的測試服務,同時我是企業安全的MVP,所以可以訪問微軟源代碼。有這樣的權限可以幫助我了解具體的問題出在哪兒或者說具體發生了什么情況。
陳毅東:您有獲取微軟源代碼的資質?
Paul Januszkiewicz:只限于我個人。不是公司。這完全是個人的權限,我們不會通過這個權限,用公司的名義銷售服務。此外我們也非常關注客戶對我們的反饋,2004年之前我們就開始談虛擬化的問題,2011年我們才真正談虛擬,因為現在虛擬化才得到了真正的應用,可能也要過好幾年云技術才會有成熟的應用,我們才會去談云安全的問題。現在并非很多企業決定轉向云技術,云技術現在的環境下,我們可以談風險,問題是根本沒有實例去研究并證實相關的問題,所以可能要過上幾年,當云技術真正應用下去,出現安全問題,客戶給我們提供反饋的意見,我們可能才能進一步研究。
王文文:就你們公司搜集到的數據來看,Vmware、Ctrix、微軟這三家的虛擬系統,哪個漏洞更多一點?
Paul Januszkiewicz:我沒辦法講哪個系統有更多的漏洞。但是否有漏洞,是否有問題取決于系統提出的解決方案,現在有很多大的服務公司和供應商都在用這些系統,每個系統都有自己的好處和劣勢,同時這個系統背后都有完整的團隊在做這些事。一旦問題出現是否可以及時響應。
王文文:您個人比較喜歡使用哪個虛擬機軟件?
Paul Januszkiewicz: (調皮的擠擠眼睛)當然是微軟啦。(笑)不過也用VMware。我們看到客戶會同時使用不同的虛擬化產品,具體要用哪個,得比較各個虛擬化系統的優劣之后再進行判斷。
陳毅東:審計測試需要注意一些什么?
Paul Januszkiewicz:第一個建議一定要得到公司管理層的批準,否則無法獲取資源,也沒有什么意義。另外要和財務人員進行事先溝通,讓公司知道審計是做什么,目標是什么,付出了這些成本后,對公司的安全防范有什么樣的好處。第三讓公司內部IT人員知道審計的目的和意義是什么。我們現實中碰到很多案例,由于事先溝通沒做好,審計的時候IT部門非常抵觸,認為是要把IT的問題暴露給管理層,要告訴他們審計是為提供更好的環境和管理,另外也需要IT的支持。
王文文:貴公司的名稱是CQURE,能解釋一下這個名字的含義嗎?
Paul Januszkiewicz:這個名字比較好玩的,CQURE用英文讀是“安全”的意思,用CQURE來寫,看起來很專業(笑著擺出得意的樣子)。
王文文:我看您公司現在主要是做IT審計和滲透測試比較多,以后是否會推出自己的安全工具?
Paul Januszkiewicz:目前還沒有這個想法,過兩年可能會有這種想法。但至少未來三年內我是不會做這樣的事。我自己也有很多想法,但這些想法沒有整合到工具中去,有時候你在網上開發了工具,別人用了之后會在此基礎上進行功能完善,第三個人會進一步做功能完善,這樣不斷循環下去,我也是這樣。每個人都會用很多工具,每種工具都有自己的功能特點,我會根據功能需求進行整合,開發出自己需要的工具,覆蓋自己需要的功能,但這只是想法,目前還沒有進行落實。
李玲玲:您認為Windows8相比之前Windows版本,在安全方面有沒有提升?
Paul Januszkiewicz:“Windows8”現在還只是一個臨時的稱謂。一般操作系統出來前都會有一個預覽版,主要是針對開發者。以后是否就叫“Windows8”還不一定。這個版本對安全性能方面肯定會有一定的改進,但就安全來說目前版本已經做得很好了。
王文文:CQURE有沒有在波蘭之外設分公司?盈利情況如何?
Paul Januszkiewicz:公司總部設在波蘭的原因是因為我住在波蘭,但公司所有的人都是在全球范圍內提供服務。今年我在波蘭只接了兩個項目,完全是因為覺得這兩個項目還算有意思。
陳毅東:公司現在有多少員工?
Paul Januszkiewicz:我不雇傭員工,只是和別人進行合作,而且只和我相信的人進行合作,而且這些人一定要非常棒,我不會和普通人進行合作。這些人普遍來說都是我過去共事過的同事或者是我的朋友,最終要達成的目標是提供非常完整的全面的安全服務,但是在安全服務提供當中,每一塊業務都要是行業內的頂尖人士來做,每個人都專注于自己那塊,這樣才會非常專業,我是不會接受任何的例外。
李玲玲:你是波蘭女性技術小組的領導者,能否介紹一下女性技術小組是做什么工作?
Paul Januszkiewicz:這是一個現實情況,做技術的女性一般非常少,兩年前我成立這樣一個小組,告訴大家女性可以在技術方面做得很好,但這不是宣揚女權思想,主要是想告訴大家技術圈子里,女性可以和男性做得一樣好,甚至比男人更好。在工作的時間,很多情況下一個房間里都是男性,只有一個女性,我們希望女性不要受這種環境影響,而是要把技術發揮的更好。
王文文:最后一個私人問題,能否透露一下,您平時用的彩虹表有多大?
Paul Januszkiewicz:(笑)32G。因為我的硬盤只有這么大點地方。不過用彩虹表不需要在自己的硬盤上存太多的數據,通過網絡資源就夠了。因為如果你自己存儲數據的話,這個成本是非常高的。
采訪結束后的合影
【2011 RSA中國大會相關推薦】
