我们来讨论一下Tavis Ormandy关于杀软漏洞的言论吧

显示全部楼层 · 发表于 2016-1-28 22:43:37

在Wilders看到有人提到Tavis，就去翻了一下他的推——日常找漏洞，喷杀软。大约看到2015年5月，其中提到了几个大家熟悉的安全软件，比如趋势，卡巴斯基，Avast，AVG，Comodo。

我来摘抄几条，大家可以讨论一下。简单翻译了一下，有错漏敬请指出

另外，我只转载，不持任何观点（虽然我转载的不是全部）

关于具体杀软的：

Well, Comodo wins as the most braindead and shady software I've seen so far. If you work for Comodo, please contact me.

好吧，Comodo是我见过的最脑残傻缺的软件。如果你在Comodo工作，请联系我。

A metasploit module written by @Meatballs__ 3 yrs ago still worked against Avast's sandbox and nobody noticed.

@Meatballs__ 三年前写的Metasploit模块现在仍然对Avast的沙盒有效，没人注意到。
注：Metasploit Framework是一个用来编写和执行漏洞攻击程序的框架。
注：推文发布于1月20日。Avast在1月28日修复了这个Bug，从ProjectZero报告到Avast修复共花费100天。

（1月11日）Dear @trendmicro, wtf were you thinking? This bug is completely ridiculous. Will send full report in a minute. Sigh.

亲爱的 @trendmicro，你特么想什么呢？这个Bug太荒唐了。我会很快发送一份完整报告。唉……
注：原文附图显示了对趋势密码管理器的一个漏洞的攻击结果，我就不转了……

If you work for AVG, please email me - I'm about to give up trying to find an address to report vulns to. Also, your code makes zero sense.

如果你为AVG工作，请联系我——我实在是找不到用来报告漏洞的地址。另外，你们的代码毫无意义。

Here's a trivial Kaspersky LPE from bad ACL https://code.google.com/p/google ... ssues/detail?id=535, and here's a simple UaF in the Zip decompressor https://code.google.com/p/google ... ssues/detail?id=521

（这条不翻了，链接是卡巴的两个漏洞细节，都修了）

关于他对行业的看法的：

I think the security software industry is in denial, it's going to take a few $1B worms before they even acknowledge there's a problem.

我觉得整个安全软件行业在自欺欺人，也许只有一些造成十亿损失的病毒才能让他们意识到问题的存在。

Sentences I really should not have to write. #seriously #wtf #antivirus

Nevertheless, my concern is that your security software is disabling web security for 9 million Chrome users, apparently so that you can hijack search settings and the new tab page.

这些话我真的本不应该需要写出来的。#我是认真的 #WTF #杀毒软件
不过，我关注的是，你的安全软件禁用900万Chrome用户的Web安全功能，明显仅仅是为了劫持搜索选项和新标签页。

（有人回复上条，问是否有杀软厂商在做“正确的”事情）

@pzb No. Windows Defender/MSE is probably the closest if you insist on antivirus, and it's free.

@pzb 没有。WD可能是最接近的，如果你一定要用杀软。而且它免费。

显示全部楼层 · 发表于 2016-1-28 22:46:00

Kbugersky...你懂的，虽然我依然很喜欢。

显示全部楼层 · 发表于 2016-1-29 01:13:26

这种人要是来了卡饭，只是法虫一流的人物

显示全部楼层 · 发表于 2016-1-29 08:59:36

对三楼的言论保持谨慎关注

人气后补

显示全部楼层 · 发表于 2016-1-29 09:44:46

劫持搜索，这不就是诺顿么

显示全部楼层 · 发表于 2016-1-29 09:49:20

本帖最后由 jefffire 于 2016-1-29 09:50 编辑

绝大部分安全产品对中低水平的攻击提供了一定防御提升的基础上，增加了对于高水平攻击可利用的“后门”与漏洞数量。
当然软件都有漏洞。但行业里很多公司连漏洞挖掘团队都没有，即便是有相关团队的公司，也是挖其他公司的而不分析自己公司的，因为挖其他公司的能拿奖金，挖自己公司的吃力不讨好。对自身产品的安全检查远远不足，对漏洞的响应也是非常迟缓。

显示全部楼层 · 发表于 2016-1-29 15:01:09

jefffire 发表于 2016-1-29 09:49
绝大部分安全产品对中低水平的攻击提供了一定防御提升的基础上，增加了对于高水平攻击可利用的“后门”与 ...

希望挖了漏洞之后通知厂商的人多一些。

显示全部楼层 · 发表于 2016-1-29 20:49:09

人家用心写出来的代码还免费给你们用
你们那么厉害你们写啊

[讨论] 我们来讨论一下Tavis Ormandy关于杀软漏洞的言论吧

评分