【51CTO.com特别报道】2011年11月2日,RSA 2011中国大会在北京中国大饭店举行。今年的RSA Conference从年初的美国大会到10月份的欧洲大会,11月终于来到中国。RSA 2011中国大会全称:RSA Conference2011信息安全国际论坛。

该大会一直致力于吸引安全领域的全球精英,为大会与会者创造机会与同行、杰出人士及新兴和成熟公司直接互动,了解IT安全最重要的问题。随着IT安全领域的重要性和影响力不断增长,RSA大会信息安全国际论坛在让全球安全专家保持联络,获得新知方面起到不可或缺的作用。

这次会议上,我们在一群外籍演讲嘉宾中注意到一位来自波兰的***测试专家,她年纪轻轻,却已经是波兰女性技术小组的领导者、微软企业安全的MVP和安全顾问,还创建了自己的安全公司——CQURE。

两天的行程,她司职“***与威胁”类别的两个分会场。给大家带来了《揭示密码的秘密!所有你想知道,但却不敢问的......》和《启动扫描!网络发现的先进技术》这两个贴近实战的主题演讲。

俗话说“知道***的方式,才能知道怎么防御”……她不但向大家演示了***是如何解密或捕获密码的,还将自己的一些***测试技巧和常用工具分享给了大家。普通的一个Nmap扫描器、Aircrack-ng无线***软件,略改参数便在她手里发挥出强大的效果……

当然,这两个主题的演讲和所涉及***技术都是为了各位安全从业者更好的测试和保护好自己或客户的服务器和网络而准备的,并不提倡将其用于非法目的。而Paula Januszkiewicz本人也是一位白帽子安全审计人员……

Paula Januszkiewicz不但技术实力高超,而且性格活泼开朗。在演讲中,她不时的走下讲台给观众比划系统审计方式和效果,除了讲PPT以外,她还在电脑上跑了一下实际的操作环境。让观众对IT安全审计有了更深刻的认识。


Paula Januszkiewicz正在演讲中

注:本次RSA中国大会有不同大主题的分类,分别是:应用与开发,密码学与体系结构,***与威胁,移动与网络安全,可信计算与云计算。

在第一天的演讲结束后,Paula Januszkiewicz接受了部分中国媒体的采访。下面是采访实录:

陈毅东:全球IT审计的整体状况是怎样的?未来的发展趋势是怎么样的?

Paul Januszkiewicz:对IT审计来说,我们要做的是对这个技术进一步了解,因为新的技术还没 有实施,还处于测试的阶段,所以我们要了解技术的相关情况然后进行审计,我们觉得在IT审计这块,不断了解新技术、新东西是非常正常的现象。我觉得未来的 趋势应该不会有太大的改变,唯一的改变可能就是人们对安全的意识不断加强。比如我们今天开的信息安全国际论坛就是进行充分的沟通,加强安全意识。因为现在 我们会发现安全问题确实会影响到我们的生活和发展。人们也越来越多的意识到安全问题。因为总是有不同的新技术,新技术会带来新问题,新问题出现以后人们可 能还会再看老技术带来老的问题,人们还要进一步推动新技术,所以会不断进展。

李玲玲:传统的安全审计到云计算环境下,差别大吗?

Paul Januszkiewicz:基本的理念还是一样的,我们还是针对相关的服务进行审计,但是在云的环 境中还是有所不同,我们会比较关注信息和数据在不同端传输中的情况。技术不同,但基本的理念还是一样的。数据传输方面,在云端、客户端、私有云环境下、合 作伙伴环境下数据的传输和加密过程是我们关注的重要方面。

王文文:作为经验丰富的网络安全专家,您常用的安全审计工具能介绍一下吗?

Paul Januszkiewicz:这要看哪个领域,比如WEB安全测试,我会用Acunetix,工具可以自动做一些工作,我们也做一些手动工作。

王文文:您目前的工作中,哪一类***测试做的比较多?

Paul Januszkiewicz:我做的测试主要是IT系统内部,比较少做网络测试,主要针对的是边界测 试,所谓边界就是一边是网络,一边是客户自己的系统,在这两个主体中间,边界是我们的工作重点,通过***测试可以看到,从Web网络角度看,客户系统有哪 些显而易见的漏洞。是我们也会做内部测试看看存在哪些潜在的风险。所以我们有三方面,一方面做Web测试,Web测试主要是意见收集,看看网络情况如何, 第二方面是边界测试,所谓边界测试是看数据安全的问题,第三方面是内部的系统测试,主要是看内部系统本身的配置。

王文文:您现在还自己挖掘漏洞吗?

Paul Januszkiewicz:这是我个人的兴趣,但我不是专业做这个的。

王文文:像您这样的专业人士是否会使用MSF和BT 5这样的工具?

Paul Januszkiewicz:当然。比如Back track系列吧,我之前常用的版本就有BT2和BT4。

陈毅东:您今天有一个关于密码学的主题演讲,密码学现在有很多安全方面的新定义,比如移动安全、虚拟化安全、云安全。对于基础性的传统密码学带来哪些挑战?

Paul Januszkiewicz:我不能说一点挑战都没有,但出现的新技术并不是完全全新的东西,很多协 议被破坏的时候只是对一些技术产生挑战,但对现用密码学所有的方法来说,它的功能还是比较完善的,而且比较适用于当下的情况,没有出现什么问题。比如你在 云中发布应用软件,一般来说不允许再进行修改,如果修改的话需要重新输密码。但现在有新的技术,允许自己的环境和云环境进行对话,从而不需要进行密码修 改。这就是以需求为基础的技术,这种技术是新发展,当然会给我们带来一些新问题。但也会给我们带来全新的防护模式。一旦出现新技术的时候,就有一些原有的 技术做全新模式的搭建,在搭建的基础上保证新技术还是安全的,所以这更多的是架构师要考虑的,在新的IT架构下如何让原有技术和新技术在新环境下保持安 全。

范平:云计算时代数据中心虚拟化水平越来越高,这是否意味着数据的安全性风险也越来越大?数据中心如何平衡安全和应用的关系?

Paul Januszkiewicz:这主要看SLA(服务水平协议),公司用数据中心是购买服务,服务供应 商会告诉你SLA中规定一定时间内99.9%的情况不会出问题,也许会有一些风险,但虚拟化带来的风险并不是这么大,比较大的问题是你和数据中心的沟通和 交流不如以前频繁了,另外你这里出了问题后,服务商会说我这面的数据中心没有出现问题,责任很难追究。也许技术以后会出现新的突破并带来新的挑战,但目前 问题还不大,你的数据安全还是取决于你和服务商之间签订的SLA协议。

陈毅东:你创建这家公司主要从事什么业务,另外看您的个人简介,你对新的安全技术很关注,也在研究,我想知道是指哪些最新的安全技术?

Paul Januszkiewicz:不管技术设施方面,还是新的操作系统方面,一旦有新的发展我们都会进行 关注,因为客户会用新技术、新系统,我们肯定要率先熟悉,熟悉后才可以帮助客户提供服务进行相关的测试。2002年微软发布了新的操作系统,我们就要去了 解相应的功能,因为这个功能可能和以前的微软操作系统不同。我们本身是给微软提供服务,所以说微软会多一点。基本上我们要对新技术、新系统进行调查研究才 能提供各种各样的测试服务,同时我是企业安全的MVP,所以可以访问微软源代码。有这样的权限可以帮助我了解具体的问题出在哪儿或者说具体发生了什么情 况。

陈毅东:您有获取微软源代码的资质?

Paul Januszkiewicz:只限于我个人。不是公司。这完全是个人的权限,我们不会通过这个权限, 用公司的名义销售服务。此外我们也非常关注客户对我们的反馈,2004年之前我们就开始谈虚拟化的问题,2011年我们才真正谈虚拟,因为现在虚拟化才得 到了真正的应用,可能也要过好几年云技术才会有成熟的应用,我们才会去谈云安全的问题。现在并非很多企业决定转向云技术,云技术现在的环境下,我们可以谈 风险,问题是根本没有实例去研究并证实相关的问题,所以可能要过上几年,当云技术真正应用下去,出现安全问题,客户给我们提供反馈的意见,我们可能才能进 一步研究。

王文文:就你们公司搜集到的数据来看,Vmware、Ctrix、微软这三家的虚拟系统,哪个漏洞更多一点?

Paul Januszkiewicz:我没办法讲哪个系统有更多的漏洞。但是否有漏洞,是否有问题取决于系统提出的解决方案,现在有很多大的服务公司和供应商都在用这些系统,每个系统都有自己的好处和劣势,同时这个系统背后都有完整的团队在做这些事。一旦问题出现是否可以及时响应。

王文文:您个人比较喜欢使用哪个虚拟机软件?

Paul Januszkiewicz: (调皮的挤挤眼睛)当然是微软啦。(笑)不过也用VMware。我们看到客户会同时使用不同的虚拟化产品,具体要用哪个,得比较各个虚拟化系统的优劣之后再进行判断。

陈毅东:审计测试需要注意一些什么?

Paul Januszkiewicz:第一个建议一定要得到公司管理层的批准,否则无法获取资源,也没有什么 意义。另外要和财务人员进行事先沟通,让公司知道审计是做什么,目标是什么,付出了这些成本后,对公司的安全防范有什么样的好处。第三让公司内部IT人员 知道审计的目的和意义是什么。我们现实中碰到很多案例,由于事先沟通没做好,审计的时候IT部门非常抵触,认为是要把IT的问题暴露给管理层,要告诉他们 审计是为提供更好的环境和管理,另外也需要IT的支持。

王文文:贵公司的名称是CQURE,能解释一下这个名字的含义吗?

Paul Januszkiewicz:这个名字比较好玩的,CQURE用英文读是“安全”的意思,用CQURE来写,看起来很专业(笑着摆出得意的样子)。

王文文:我看您公司现在主要是做IT审计和***测试比较多,以后是否会推出自己的安全工具?

Paul Januszkiewicz:目前还没有这个想法,过两年可能会有这种想法。但至少未来三年内我是不 会做这样的事。我自己也有很多想法,但这些想法没有整合到工具中去,有时候你在网上开发了工具,别人用了之后会在此基础上进行功能完善,第三个人会进一步 做功能完善,这样不断循环下去,我也是这样。每个人都会用很多工具,每种工具都有自己的功能特点,我会根据功能需求进行整合,开发出自己需要的工具,覆盖 自己需要的功能,但这只是想法,目前还没有进行落实。

李玲玲:您认为Windows8相比之前Windows版本,在安全方面有没有提升?

Paul Januszkiewicz: “Windows8”现在还只是一个临时的称谓。一般操作系统出来前都会有一个预览版,主要是针对开发者。以后是否就叫“Windows8”还不一定。这个版本对安全性能方面肯定会有一定的改进,但就安全来说目前版本已经做得很好了。

王文文:CQURE有没有在波兰之外设分公司?盈利情况如何?

Paul Januszkiewicz:公司总部设在波兰的原因是因为我住在波兰,但公司所有的人都是在全球范围内提供服务。今年我在波兰只接了两个项目,完全是因为觉得这两个项目还算有意思。

陈毅东:公司现在有多少员工?

Paul Januszkiewicz:我不雇佣员工,只是和别人进行合作,而且只和我相信的人进行合作,而且 这些人一定要非常棒,我不会和普通人进行合作。这些人普遍来说都是我过去共事过的同事或者是我的朋友,最终要达成的目标是提供非常完整的全面的安全服务, 但是在安全服务提供当中,每一块业务都要是行业内的顶尖人士来做,每个人都专注于自己那块,这样才会非常专业,我是不会接受任何的例外。

李玲玲:你是波兰女性技术小组的领导者,能否介绍一下女性技术小组是做什么工作?

Paul Januszkiewicz:这是一个现实情况,做技术的女性一般非常少,两年前我成立这样一个小 组,告诉大家女性可以在技术方面做得很好,但这不是宣扬女权思想,主要是想告诉大家技术圈子里,女性可以和男性做得一样好,甚至比男人更好。在工作的时 间,很多情况下一个房间里都是男性,只有一个女性,我们希望女性不要受这种环境影响,而是要把技术发挥的更好。

王文文:最后一个私人问题……能否透露一下,您平时用的彩虹表有多大?

Paul Januszkiewicz:(笑)32G。因为我的硬盘只有这么大点地方。不过用彩虹表不需要在自己的硬盘上存太多的数据,通过网络资源就够了。因为如果你自己存储数据的话,这个成本是非常高的。


采访结束后与Paul Januszkiewicz的合影