2011年3月《震痛•震恫•震动》

震痛•震恫•震动

（2011年3月） 文/江海客

本月，世界的焦点是日本，日本的焦点是福岛。在巨大的人员伤亡面前，IT乃至更窄带的信息安全都是浮云。
因此，奇虎360和网秦相继两家安全厂商走到了美国上市的关口的消息，已经不是很突出。但就在网秦发布招股说明书的前一天，遭到了3.15晚会的点名曝光。对产业来说，这也是一次人工地震。
对相关问题，厂商和媒体自然有不同的说法。手机应用界与传统安全界其实一直存在着某种价值观的对立。SP链条上的大小厂商认为一些扣费问题就是手机行业的基础生存模式，不过是常态而已；而很多传统的安全厂商和团队，则似乎一直没有把类似网秦这样的新兴厂商真正看待作为自己的同行。有趣的是，在360崛起的前期，安全阵营也是这样看待360的。但从资本运作的角度，这一次，他们坐在了产业的前排。当每一个中国企业走入关键的资本的关口时，我们祝福它们顺风顺水。但我们也希望，上市后的透明和监管，以及创始人向公众企业家的转型，能让相关企业不仅会延续其进取的基因，也承担起更多的产业责任。
本月，谷歌继续在安全发力，收购了安全团队Zynamics。这是一个小众公司，但其研发的BinDiff等工具，都是漏洞分析者的标配工具。
但谷歌的Android Market模式却遭遇后院起火，不得不宣布撤下了58款蓄意带有提权漏洞代码的软件，这些软件来自几个ID的提交，基本上并非自行编写，而是对其他软件的修改和重新打包。开源主义者一直坚持的“开源是安全的朋友”的巨大光圈基本上到了最终幻灭的程度，现在是讨论“开源是不是安全的敌人”的时候了。而之后谷歌的行为也略显激进，它推出一款安全查杀工具，远程安装到已受害用户的手机上清除恶意软件。这一举动再次引发争议，有安全团队指责如果此前被植入代码已经生效，二次下载或者注入了其他程序，那么谷歌的这一行为不啻于破坏现场，也无法完全消除威胁。戏剧性的是，几天之后，又有攻击者将恶意代码植入这一安全查杀工具并广泛分发。而更让我们觉得需要关注的是，谷歌已经开始逐渐不自觉地走向“大神”角色，但正神也好，邪神也罢，终极都注定是一个平等而安全的信息世界的敌人，无节制的义务期待，将导致无约束的权利聚合。

最新漏洞
国家信息安全漏洞共享平台（CNVD）发布了最新一期漏洞公报，本期共收集、整理信息安全漏洞134个，其中高危漏洞42个、中危漏洞18个、低危漏洞74个。值得一提的是，其中包含北京某公司的工业控制软件kingview的漏洞，这让人在震网蠕虫后再次关注工业系统的安全。

最新趣闻：
水军，美军的最新兵种。
根据英国卫报的披露，美国军方正在开发一种软件，该软件支持一个人管理10个具有令人信服的背景和历史的虚拟身份，用于在Facebook和Twitter等网站进行活动，并且建立了一套机制以避免操作者的实际IP被追踪到。其指定的活动语言包括阿拉伯语，波斯语，乌尔都语和普什图语等。City University of New York的教授Jeff Jarvis对此的评价是“华盛顿显示出一个拙劣的垃圾邮件发送者的道德”。

http://www.guardian.co.uk/technology/2011/mar/17/us-spy-operation-social-networks

Pwn2Own黑客大赛
为期三天的Pwn2Own年度黑客大赛本月在温哥华举行。第一天，法国安全公司VUPEN利用一个0day漏洞攻破Max OS X上的Safari，另一位安全人员在Windows 7 SP1上攻陷IE8。第二天，iPhone 4和黑莓Troch 9800上的浏览器也相继被挑落。最终Firefox、Chrome浏览器和Android、Windows Phone 7系统保持坚挺，原定的攻击演示因为入侵方法不稳定而被安全研究人员放弃。