20140514 XP“裸奔” 挑战安全–《经济半小时》

　【5月13日，是XP停止服务后的第一个补丁日，微软官网公告最新补丁共有8个，包括高危漏洞补丁2个，重要漏洞补丁6个。而随着这些漏洞信息的披露，没有补丁的XP系统会否成为黑客重点攻击的靶子？第三方安全软件又能否有效保护XP系统？】 XP被弃，上亿XP用户如何面对“裸奔”的系统？而谁又能接下这个系统护卫者的接力棒。系统安全这个与国家安全息息相关且尚未攻克的难题，政府将如何面对。

　　一、微软停止技术支持 XP正式进入“裸奔”时代

　　微软的XP操作系统，正式发行于2001年，至今服役了13年，很多用户都认为XP是一款很经典的操作系统，但就在上个月的8号，微软在全球停止了为XP操作系统提供技术支持。在充斥着各种病毒和木马的网络世界，停止服务支持以后会给我们的电脑带来怎样的影响？

微软官方发布关于维护XP系统的进一步说明

　　央视财经《经济半小时》记者：那目前仍然使用XP的（电脑）总共有多少（台）？

　　泰康人寿公司的信息安全主管翁京海：不完全统计还是超过一万台以上的规模。

　　翁京海是泰康人寿公司的信息安全主管，微软宣布停止对视窗XP系统提供更新服务以来，公司里的电脑前总能看到他忙碌的身影。目前，泰康人寿在全国各地装有XP系统的电脑依然超过一万台，对于负责信息安全的翁京海来说，每一台电脑都是沉甸甸的压力。

　　泰康人寿公司的信息安全主管翁京海：作为保险公司来说，可能最核心的资产就是我们的客户信息。我们的所有的电脑都接收到我们的系统当中，如果是这个电脑，作为一个终端来说，它存在漏洞，它就有可能会被别人利用，或者作为跳板来进入到我们整个的系统里，使系统暴露在很大的风险之中。

　　翁京海告诉记者，近年来，公司也在陆续更新系统。然而由于资金和软件兼容的压力，依然无法在短期内实现全部更新。

　　泰康人寿公司的信息安全主管翁京海：一方面，一直在使用XP系统是因为我们作为我们公司可能一部分的应用系统原先是基于XP系统这个平台开发的，就是目前还没有可能需要还需要一段的时间迁移到更高系统上去，所以这是一个原因，还有一个原因，硬件更换。作为这么多数量的电脑的更换，其实也是需要一个时间的。

　　为了应对XP系统存在的潜在风险，翁京海也在抓紧时间给公司的上万台电脑制定信息保护方案。

　　泰康人寿公司的信息安全主管　翁京海：在过渡的期间，采取一些合适的安全防护的措施，把微软之前的所有的补丁全部打齐，这是一种办法。同时也是加强终端的一些安全管控吧。

　　央视财经《经济半小时》记者：咱们现在还在用XP系统有多少台？

　　某公司服务机构网络运行维护人员　吴先生：如果说是总数的话，差不多是20多台。

　　吴先生供职的是一家公共服务机构，单位一共有将近60台电脑，其中依然还有20台依然使用XP系统。

　　某公司服务机构网络运行维护人员吴先生：如果说是我们缺乏了这种防护，对于我们机构来说，承担最大的一个问题，他可能会出现大量的停机，可能会出现，因为这种情况，一旦发生的话，我们的整个业务部门，可能就要全部瘫痪掉了。

　　吴先生告诉记者，这种系统瘫痪，对于银行或者涉及到大笔资金流动的商业机构来说，往往意味着直接的经济损失。虽然他自己所在的是家公共服务机构，经济方面的损失不会那么立竿见影，但是业务暂停也会引发严重后果。

　　某公司服务机构网络运行维护人员吴先生：我们业务数据会不会丢失，我们的敏感信息会不会被外部人员获得。

　　吴先生给记者算了笔帐，20台电脑总共需要一万元的升级费用，更为麻烦的是，这些电脑有的根本无法升级。

　　某公司服务机构网络运行维护人员吴先生：很多业务系统它是跟系统直接绑定的，也就是说，它只适合于XP用，升级到windows7，会带来很多复杂的工作，这不是一天两天能做的。我先等着，我先用XP了，用着再说，只能这样。

电脑管家软件发现系统高危漏洞

　　现在，这20多台电脑成了吴先生的重点关照对象。而对微软停服忧心忡忡的人并不止吴先生、翁京海。薛晓宇是一家网络安全服务企业的客户经理，主要客户是中小企业，在他的客户中，有20％的电脑都因为系统绑定的问题而无法升级。随着停服日期的临近，不少客户向他表示了担忧。
　　启明星辰信息技术有限公司客户经理薛晓宇：大家就担心说系统可能在裸跑，因为在前几年的时候，我想可能信息安全这块，不管是CIH病毒还是熊猫烧香病毒，给用户带来这种损伤，包括木马盗帐号等等这些问题。

　　信息管理师杜晓斌：企业的用户，包括金融行业，一个大型的国企、央企，乃至政府行业，因为这些用户更新速度没有像国际那么更新速度快，所以XP的应用的量是比较大的。

　　杜晓斌是国家级信息管理师，目前也在企业负责信息安全管理。他告诉记者，资金和软件兼容问题是多数企业依然使用视窗XP系统的重要原因。

　　信息管理师杜晓斌：一个是应用层面的限制，就是有很多的程序，以及个人的应用都是在XP性质基础上所建立的，那么更改应用的时候是非常困难的，这是一种。第二种就是预测资金成本的问题。

　　用户的信息安全受到威胁，安全软件行业自然也忙碌了起来，裴智勇便是其中的一员。他告诉记者，对于安全软件行业来说，5月13日是一个考验看家本领的日子。因为按照以往的惯例，每个月的第二个星期二，微软会向用户提供系统补丁。而自从4月8日微软宣布停止为视窗XP系统停止更新后，第一个补丁日便是5月13日。这意味微软视窗XP系统真正进入了裸奔时代。

　　360安全专家裴智勇：　因为5月13号是微软停止对XP系统进行更新以后的第一个补丁日，那么在这一天微软会继续为Windows7、Windows8打补丁，但是不会再为XP打补丁，那么为win7、win8打补丁呢，其中他们所修补的某些漏洞，可能在XP系统也是存在的。那么这个漏洞就不会被修复。因此从这一天以后，　XP就会有越来越多的已知的漏洞存在，所以我们说这一天是XP的“裸奔日”。

　　那么微软给用户提供的补丁与安全软件商为用户提供的防御功能有什么区别呢？

　　360安全专家裴智勇：　因为以前是XP软件负责杀木马病毒，微软负责修复漏洞，双方是各有分工的。安全软件实际上都是在系统没有漏洞的情况下，去查杀木马病毒。但是由于XP的停服，实际上由于各种原因，很多用户是没办法一下子把XP系统进行升级的。

 

 

网络宣传片普及系统补丁的知识

为了给用户普及系统补丁的知识，360公司曾制作了一个视频发布到网上。名为关于补丁的10个冷知识。从这段视频我们可以看到补丁是如此重要。这就好比一栋房子，前门加上再多的锁，设置了再多的保安，没有补丁就意味着黑客依然可以从房子的裂缝中甚至从敞开的后门进入房屋。
　　360安全专家裴智勇：当系统存在已知漏洞的时候，黑客对电脑发动攻击或者是木马对路感染电脑就会变得更容易，你的电脑会更加不安全，甚至有的时候即使没有木马病毒，黑客也能利用系统直接入侵你的电脑。

　　事实上，早期由于许多用户没有意识到补丁的重要性未能按时更新补丁，视窗XP系统历史上曾经遭遇过几次大规模的黑客攻击。

　　360安全专家裴智勇：那么我们出一个最有名的历史时间，就是2003年8月，发生了“冲击波病毒”的攻击，它当时就是利用了一个Windows系统的一个远程漏洞，之后它就可以在用户不知情的情况下，在网上自动搜寻有漏洞的电脑，就自动发动攻击。这个冲击波病毒，可以说在很短的时间里边就几乎攻击了全球80％的电脑，但实际上当时如果你及时打了这个操作系统的补丁，实际上这个病毒是不会发生攻击的。

　　那么这次微软停止更新视窗XP系统后，历史是否会再次重现呢？裴智勇认为这是未来3到5年安全软件行业和视窗XP用户需要共同应对的问题。
　　360安全专家裴智勇：　由于XP这个停服的事件出现，迫使XP软件必须考虑在有漏洞的情况下对系统进行防护。

　　央视财经《经济半小时》记者：这是以前没有过吗？

　　360安全专家 裴智勇：　以前是基本说没有这个情况出现的，比如像我们做XP盾甲，实际说就是做的防护，应该来说在各种防护当中，迄今为止还没有能够攻破这个防护网，那么实际上这种，在系统有漏洞情况下，如何在漏洞情况去对漏洞进行防护，这是安全软件必须面临一个新问题和新课题，而且这个课题起码可能在未来三到五年内，不会有根本性的转变。

　　二、软件公司发布安全工具引“黑客”群起攻之

　　5月13日也就是昨天，是XP停止服务后的第一个补丁日，微软官网公告最新补丁共有8个，包括高危漏洞补丁2个，重要漏洞补丁6个。而随着这些漏洞信息的披露，没有补丁的XP系统将成为黑客重点攻击的靶子，5月13日也因此被行业公认为“XP裸奔日”。那么在黑客面前，裸奔的系统到底意味着什么？我们来听听黑客怎么说？

　　记者辗转联系到了一位在黑客圈里技术一流的白帽高手。

　　白帽黑客木须肉：其实黑客里头也是分白帽跟黑帽的，像白帽的话它一般都是会找追求系统的突破，找一些漏洞，并且很乐意把它去做一些分享，让厂家跟这个世界都更安全一些吧。

　　这位化名木须肉的白帽黑客告诉记者，和白帽黑客不同，黑帽黑客往往会为了谋求利益，进而攻击企业或者个人用户。对他们而言，系统的漏洞就是一道后门，只要寻找到准确的位置就可以自由进出，为所欲为。

　　白帽黑客木须肉：比方说黑客可以搜索电脑里头所有的jpg的图片文件office文档，偷偷放到自己指定的一个邮箱或其他的主机里头，像网银、淘宝、QQ这些重要的账号也会因为电脑被入侵而被黑客盗号。

　　除了盗取用户电脑里的任意文件，用户的个人生活起居也可能被监视，而这些技术都算不上高超。入侵企业内网服务器才是一些黑帽黑客的真正目的。

　　白帽黑客木须肉：内部员工可能会去访问一些恶意页面的时候，然后攻击者可以利用类似的漏洞，去获取这个机构或则部门里头一些敏感信息。

　　那么在第三方安全软件防御下的XP系统是否就成为了黑客砧板上的肉，想怎么吃就怎么吃呢？就在一个多月前，木须肉和众多黑客高手参加了一场XP挑战赛。

　　白帽黑客木须肉：就怀着一种挑战的心，特别是跟国内这几家腾讯，金山、360这些，试试看，他们的水平到底有多高，所以就去参加了这样的一次挑战吧。

各大软件保护XP系统　黑客逐一攻击

　　合天智汇技术支持总监皮开元：实际上就是在我们互联网上竖一个靶子，感兴趣的人来进行攻击性的测试，从而验证目标的安全性，你打下了就是不安全，没打下就是安全的。

　　皮开元是湖南合天智汇网络实验室的技术总监，也是这场挑战赛的负责人。他告诉记者，举办这次比赛的目的，就是想看看，XP漏洞在无法得到微软的修复下，国内的安全厂商能否挑起重担拿稳接力棒。比赛选择了三款时下流行的安全防护软件进行测试。选手需要绕过安装在目标机器上的防护软件，获取指定文件，检测软件的漏洞防护能力。

　　合天智汇技术支持总监皮开元：为了吸引民间的黑客高手来踊跃参加，我们还提供了38万的奖金，应该说不多但也不少了。

　　丰厚的奖金吸引了一百多名黑客前来一试身手。4月5日早晨八点，XP挑战赛在网络上鸣锣开战。

　　工作人员：我几乎是一直在看大屏幕，然后就有数据赶紧更新，有数据赶紧更新

　　五分钟后，合天智汇官方微博发布最新战况，已有4人攻克金山毒霸、7人攻克腾讯，暂且无人攻克360。

　　白帽黑客木须肉：对，对，已经中招，而且它的这一个，就是说目标文件已经被窃取了。

　　央视财经《经济半小时》记者：您这一个漏洞是通过IE进去的是吧。

　　木须肉：对。

　　木须肉制作的攻击代码，在短短几分钟内便盗取了目标文件。

　　白帽黑客木须肉：腾讯的话，也是在一分钟之内吧，就是两个加起来的话，应该是三分多钟吧。剩下的时间，大部分的都是投入到跟360的对抗。

　　合天智汇技术支持总监皮开元：这个蓝色的表示打靶者刚进到靶场，开始打，这个绿色的就表示这个打靶者已经打完靶了，他已经把它打到了，红色的是说明打靶者水平还没有到，他就放弃了。

　　最终，经过12小时的轮番轰炸，腾讯电脑管家有32人参与挑战，其中9人攻破；金山毒霸XP防护盾共有39人挑战，13人成功；而遭遇30人进攻的360XP盾甲无人攻克。

一款保护视窗XP的系统软件

　　白帽黑客木须肉：问题就是360后面加强了一个沙箱的功能，找到对应的突破内核零对漏洞的话，有点困难。所以我这边就在下午6点的时候，选择不继续了。

　　木须肉被挡在了360的盾甲之外，心里有些不甘。他告诉记者，防护软件就相当于是过安检，它会分析对应的特征。

　　白帽黑客木须肉：比如说这个人是不是穿着一个黑衣服，看起来又比较蓬松的那种黑衣服，或者他行李里头有一些像一些类似刀形的工具在里头。
　　黑客恰恰是利用防护软件的这个特点，一旦编写出防护软件无法辨认的新代码，便可以顺利过关。而就在近日，全球著名的安全评测机构AV－C、AV－TEST、亚洲知名安全机构COSEINC和PCSL也相继发布了XP防护评测报告，检验安全软件能否有效保护失去微软支持的XP系统，360安全卫士“XP盾甲”在所有评测中均排名第一。

　　三、正版系统个人用户寥寥无几　企业政府成“裸奔”最大受害者

　　根据统计，XP服役期间，安全补丁数量达527个。由于有的补丁会同时修复多个漏洞，XP历史上修复的各类漏洞更多达1256个。也就是说，XP平均每月需要安装3.5个补丁，修复8.3个漏洞。但从5月13日开始，新曝光的XP漏洞则无法得到微软修复，只能使用第三方安全软件进行防御。这是否能从根本上解决用户的系统安全问题？

　　国际开源应用安全专家陈亮：所有的杀毒软件公司它会以先保证它自身软件的稳定为第一位的，假如说这个补丁打完之后，把它自己的这台软件给溢出了，或者说是出现问题，它肯定不会让你去打这个补丁。所以说，所有的杀毒软件也都是以保护自身为主，绝对不会说是以用户为第一位的。
　　从2013年4月8日起，微软公司停止了对中国XP用户的软件更新服务，取而代之的是国内各大互联网公司推出的系统防护。而在陈亮看来，这两种服务的安全性无法同日而语。

国内厂商使用杀毒软件排行榜

　　国际开源应用安全专家陈亮：原本的时候我每年掏出了钱，我还有补丁可打，现在我掏钱都没有人给我出补丁了，而且我只能是相信国内这些安全厂商能出一些什么补救措施、防护措施，但是真正和人家比的话我觉得是小巫见大巫。

　　根据微软公司提供的官方数据显示，中国有2亿正版xp系统用户。陈亮告诉记者，其中个人用户微乎其微。

　　国际开源应用安全专家陈亮：受XP影响最大的用户其实应该还是政府部门，还有ATM机，这个影响最大。但是从危害角度来考虑的话，是地铁，包括一些指挥系统都还在使用windowsXP。

　　不仅在中国，微软停止XP技术支持，也让世界各地的政府、金融机构焦头烂额。以银行系统为例，根据《路透社》最新消息，ATM机制造商NCR声称全球约有三分之二的ATM机目前仍在运行XP系统，虽然许多ATM机公司和银行已与微软签署协议在4月8日以后继续支持XP系统。但这个支持非常昂贵，《路透社》援引分析人士称，“每家英国主要银行延长支持XP系统并升级新平台的费用在5000万到6000万英镑之间。”

　　而政府机构更是麻烦重重，根据英国卫报的报道，英国的税务系统HMRC　和医疗系统 NHS 同样使用的是微软xp系统。而微软开出的对xp系统更新的账单让人咋舌，‘顾客如果想要继续得到微软对该系统的维护，必须给微软支付一定的维护费，第一年为122英镑每台电脑，第二年为　244英镑每台电脑，第三年为490英镑每台电脑。

　　那么在中国，如果xp正版用户全部升级到“视窗8”系统，将付出多大的经济代价呢？

　　国际开源应用安全专家陈亮：现在微软现在正在搞一个活动，就是说把XP折价之后，然后加可能是600块钱就可以升级到Win8，那么它虽然升级到Win8，但是它这个里面你的操作系统升级了，你的办公系统也要升级。那么office的公开报价，专业版就是4899，那么4899再加上600，我们就算它是5000元钱，现在全国有2亿用户，那么5千乘以2亿，大概就是上万亿的资金投入，这块里面如果光靠政府去买单的话，我觉得这是一个天文数字。

　　依靠用户升级，微软可以获得巨额收益，不仅如此，在过去近13年间，这款系统的更新维护，占用了微软公司巨大的人力物力成本，停止xp系统的更新服务，也意味着微软可以甩掉这个庞大的包袱。

　　国际开源应用安全专家陈亮：它（微软公司）里面的员工大概普通的漏洞调试人员基本上的一个月薪就是五万美金，也就是说一个月合30万人民币，专家级的就更高。我初步感觉应该至少在上千亿（元人民币）左右。

　　所以不论从哪个角度而言，微软抛弃xp系统是有百利而无一害，但对用户而言则恰恰相反，被迫升级视窗8系统的用户们，除了面临高昂的经济代价之外，安全状况也将受到很大威胁。

　　中国工程院院士倪光南：视窗8的架构，意味着今后你这个电脑（用户）很难掌控，基本上不可掌控，完全由微软控制。

　　倪光南院士告诉记者，电脑上的应用程序都是在操作系统的支持之下工作的。举个例子来说，操作系统就好像地基，应用程序就好像地基上的房子。也就是说，在电脑联网的情况下，谁掌控了操作系统，也就掌握了这台电脑上所有的操作信息。2006年微软发布“视窗Vista”时，就由于其架构会使用户电脑被微软高度掌控，所以并未被列入政府采购目录中。

　　中国工程院院士倪光南：那时候微软提出的vista，在架构上有种变动，这个变动从我们学术界叫做可信的架构，你所有的运行的软件，必须通过微软的审核，甚至是签名以后都可以运行，比如说单口上加一些变动，加一个设备都是不可以的，在用户方面就是你没有控制权，就是你电脑实际所有的控制权都是由微软掌控。

　　而在业内人士看来，目前“视窗8”的不可控程度远远超于“vista”，因此用户升级到“视窗8”将面临巨大的信息安全风险。其实，微软对用户计算机的绝对控制权早在2008年的黑屏计划中就已经凸显。2008年10月，微软公司以“打击盗版行为，维护知识产权”为名，在中国启动了黑屏计划。如果用户的微软操作系统和办公软件没有通过验证，用户的桌面背景将会每小时被刷黑一次。

　　国际开源应用安全专家陈亮：那你要明白这个里面能让机器黑屏就掌握你最大的一个控制权，它绝对是拥有最高权限的控制权，它既然拥有你的控制权，那你机器上的所有的信息是不是也有可能会被它信息收集。

　　陈亮告诉我们，就安全性而言，一种叫做Linux的操作系统安全性要远好于视窗系统，二者最大的区别就在于是否开源。所谓开源，就是系统的基础源代码是否能被共享，而不是只掌握在某个公司手中。

　　如今国外越来越多的政府、社会部门都开始自发的抵制当前市场占有率最高的视窗系统，而选择Linux系统。在美国，包括白宫和美国陆军在内的众多政府部门，都选择基于Linux的操作系统作为主要的内容管理系统，甚至在美国的核潜艇上也使用这一操作系统。法国、德国、土耳其、荷兰等国家也纷纷创立自己的Linux系统并投入使用。2010年末，时任俄罗斯总理的普京作出决定，强制政府在2015前将办公平台迁移到Linux和开源软件上。但不可否认的是，Linux系统的操作体验与视窗相比相距甚远，如何能更好的开发并适应这一操作系统，在中国大陆当前仍处于一片空白。

　　国际开源应用安全专家陈亮：在台湾的花莲（音），他们现在都在，大家都不再使用windows了，政府部门不再使用windows办公系统。linux本是开源的，它是免费的，同时linux自身也有一个openoffice等等，这些办公软件也是不用收费的。但是，给我们最大的感触是什么呢？是有一帮人，台湾的这些技术人员去做义工，就是每周去跟这个里面政府部门里面去培训他们，交流他们，大概用了两个月时间，人家那边的部门里面除了上年龄的人，不好使用Linux系统，其他都在灵活使用Linux系统。

　　在陈亮看来，只有更多的技术人员参与到全民学习，应用Linux系统上，中国才能真正摆脱视窗系统的束缚。

　　工业合信息化部总工程师张峰：我们工信部也将继续加大力度支持我国Linux操作系统研发合应用，也希望光大用户给予这些产品更多的支持。

　　【半小时观察】

　　上世纪90年代，海湾战争和科索沃战争爆发。由于伊拉克和南联盟的计算机操作系统100％是微软和其它外国公司的，这为美国成功瘫痪其通讯系统提供了方便。这也给我们敲响了必须拥有自主研发的计算机操作系统的警钟。此后，中科院奉命实施研发，1999年发布红旗Linux1.0版，到去年已发布8.0版，主要用于关系国家安全的重要政府部门。但就在今年2月，媒体报道了中科红旗倒闭的消息，宣告国产操作系统的失败。然而对于一个大国而言，在关乎国家安全的领域，自主研发仍然是未来坚定不移的道路。建国初期，我们曾以毫不动摇的决心，克服各种难以想象的困难搞出了“两弹一星”，至今都是国家安全无可替代的杀手锏。那么现在对“红旗linux”倒地，相关部门更应该给予高度关注，重整旗鼓，下定决心，排除万难，让倒地的“红旗”早日飘扬起来。