Cloud & Telecom Security

NetworkAsia上有一篇Gregg Keizer的文章讲这次MS08-067与两年前，也就是2006年8月份的RPC漏洞MS06-040不是同一个原因。这句话援引的是微软公司的一个专家Michael Howard所述。这句话的下文是：所以大家并不应该对微软公司没有一起发现这个新的漏洞MS08-067感到惊讶。Howard最后还表示了他对于微软软件安全生命周期SDL(Security Development Lifecycle)的满意。坦白说，我对这位老兄的话还是也没有什么特别意见，软件吗，流程吗，测试吗，不可能完美，出个漏洞也不是什么新鲜事。

可是，这次MS08-067捅出的的篓子可不是一般漏洞可比。有一句话很准确地描述了其影响： 基本上指哪打哪！更为不幸的是，现在我们的桌面已经被Windows独占了，非关键应用也基本上跑在Windows服务器上，稍大型的企业都会有数百上千台Windows服务器。此类漏洞一出，基本上企业的IT基础设施都是“不设防”城市了。

从这次补丁的发布和蠕虫出现的时间序列看，这个漏洞在野肯定有段时间了，有篇报道也证实了这一点。蓄意者很容易利用这样的漏洞建立起数百万、数千万的僵尸网或者其它类型的利用方式，或者控制搞定、敲诈、窃取一个企业的关键基础设施或应用、数据等等，anything.

今天在大潘的博客上读到“中国计算机学会关于微软公司“黑屏事件”的声明”，看到很多专家对微软公司“黑屏”的反应，我也颇有同感，虽然我没有考虑到国家那么高的程度。我考虑的是企业在供应商上的风险和基础设施的单点故障SPOF(Single Point of Failure)。

到联想后的这两年多时间了，经历的较为重大的安全事件(Event)大概有三次：
其一是2007的518事件，即发生在5月18日的Symantec误杀Windows系统文件的事件，那次安全团队和Helpdesk、Deskside紧急动员，所幸反应迅速，最后中招的终端大概在数百台左右。
其二是今年的奥运季，基本上是我们自己的准备和训练drill，我们动员了市场部门、Web应用部门、电信运营商和自己的安全团队，后来还算顺利
其三就是这个MS08-067了。如前文所述，我们动员了所有的服务器团队，安全团队和相关领导。现在正处于关键时刻，虽然大家已经竭尽全力，但是能否顺利完成，还属未定之数。

IT基础设施在企业数据中心、呼叫中心等关键路径上必须避免单点故障，这是常识 – 基本上大家都会采取相当的高可用性和冗余设计，否则很容易被业界、咨询和审计顾问、甚至管理层挑战。可是，事实上，现在Windows桌面服务器、反病毒系统已经给了我很强烈的单点故障的痛楚。有个影子杀手可以“一招制敌”，我们的稳定和安全依赖于微软公司和Symantec的漏洞补丁和病毒代码上 – 日复一日，年复一年。

当白老师问到我关于黑屏事件的看法时，我干脆地说：微软可以左右大部分企业的IT系统的稳定、可用性、安全，进而公司的竞争力，微软Windows已经像单点故障。桌面OS应该多样化。