在线额外内容：与SecurityFocus的阿尔弗雷德·休格的问答 - 彭博社

早期预警计算机安全的先驱，计算机安全巨头赛门铁克（Symantec）的工程高级总监阿尔弗雷德·A·休格（Alfred A. Huger）几乎每天都在监视网络以防范麻烦。他的公司SecurityFocus现在被赛门铁克收购，是最早跟踪病毒生成的公司之一，监测实验室遍布从加拿大卡尔加里到爱尔兰都柏林。休格和他的“漏洞追踪者”团队为全球企业提供即将出现的病毒威胁的数据。

最近，商业周刊记者布赖恩·格罗（Brian Grow）与他谈到了早期预警计算机安全的发展，以及随着网络空间变得越来越危险，这一领域变得越来越重要。以下是他们对话的编辑摘录：

问：SecurityFocus的起源是什么？

答：

我们关注到大量[计算机]漏洞被定期识别出来——而且没有人知道它们何时会出现。因此，我们在互联网上建立了一个传感器系统，进行数据挖掘。我们在此基础上构建了一个警报系统，并增加了分析师。结果是：如果你我共享同一个攻击者，那么我们可以共享关于该攻击的信息。我们的优势在于我们可以访问我们数据库中的信息。

问：当Sasser病毒袭来时，你们的DeepSight预警技术是如何发挥作用的？

答：

我们有分析师全天候工作，从卡尔加里到都柏林、东京、圣塔莫尼卡和悉尼。Sasser利用了某些Microsoft Windows软件中LSASS [本地安全授权子系统服务]的一个漏洞。问题是，外面每个人都称其为不同的名字。我们的分析师发现英国的一家石化公司和美国的一家大公司存在相同的漏洞。他们的工作是找到那些可能成为蠕虫的漏洞，并尽可能提前通知公司 [进行修补]。

LSASS漏洞于4月13日被宣布。我们在4月15日开始警告客户，并在两天后开始向他们发送补丁。4月29日，我们看到黑客积极利用LSASS漏洞，而Sasser实际上是在5月1日袭来的。

问：有哪些明显的迹象可以让你追踪病毒攻击可能即将来临的情况？

答：

你是根据以往的经验做出判断。但通常这是一个一线软件 [例如Windows]，比起Unix更容易被利用。当蠕虫由黑客编写时，他们需要侵入大量计算机。他们拥有的常规性越多 [像Windows]，就越好。或者该软件在互联网上很容易获得。或者它是远程可利用的——不需要任何身份验证，如用户名和密码。我们还会查看代码，以确定 [病毒编写者] 是否使用相同的特征。

问：为什么早期预警系统越来越受欢迎？

答：

人们厌倦了被突然袭击。 [在漏洞被公布和病毒攻击之间的窗口] 正在急剧缩小，编写蠕虫的人的技能也大幅提升。你现在可以去巴恩斯与诺布尔（BKS）买一本叫做 《Shellcoder的手册》 的书。它讲的是如何编写利用程序，然后这些利用程序变成蠕虫。你也可以在商业企业中看到这一点：人们通过编写利用程序来谋生。

问：病毒变得有多危险？

答：

当Sasser袭来时，我们达到了Threatcon 3 [在1到4的等级中]，每个人都在办公室。如果我们达到Threatcon 4，那么互联网就会崩溃。一个Threatcon 4的病毒看起来会很像我们现在所拥有的，但它会包含一个破坏性的有效载荷，比如格式化硬盘。到目前为止，很少有病毒作者尝试摧毁计算机。这是他们尚未跨越的最后一个禁忌。