【51CTO.com特別報道】2011年11月2日，RSA 2011中國大會在北京中國大飯店舉行。今年的RSA Conference從年初的美國大會到10月份的歐洲大會，11月終于來到中國。RSA 2011中國大會全稱：RSA Conference2011信息安全國際論壇。

該大會一直致力于吸引安全領域的全球精英，為大會與會者創(chuàng)造機會與同行、杰出人士及新興和成熟公司直接互動，了解IT安全最重要的問題。隨著IT安全領域的重要性和影響力不斷增長，RSA大會信息安全國際論壇在讓全球安全專家保持聯(lián)絡，獲得新知方面起到不可或缺的作用。

這次會議上，我們在一群外籍演講嘉賓中注意到一位來自波蘭的滲透測試專家，她年紀輕輕，卻已經(jīng)是波蘭女性技術小組的領導者、微軟企業(yè)安全的MVP和安全顧問，還創(chuàng)建了自己的安全公司——CQURE。

兩天的行程，她司職“黑客與威脅”類別的兩個分會場。給大家?guī)砹恕督沂久艽a的秘密！所有你想知道，但卻不敢問的......》和《啟動掃描！網(wǎng)絡發(fā)現(xiàn)的先進技術》這兩個貼近實戰(zhàn)的主題演講。

俗話說“知道入侵的方式，才能知道怎么防御”……她不但向大家演示了黑客是如何解密或捕獲密碼的，還將自己的一些滲透測試技巧和常用工具分享給了大家。普通的一個Nmap掃描器、Aircrack-ng無線攻擊軟件，略改參數(shù)便在她手里發(fā)揮出強大的效果……

當然，這兩個主題的演講和所涉及黑客技術都是為了各位安全從業(yè)者更好的測試和保護好自己或客戶的服務器和網(wǎng)絡而準備的，并不提倡將其用于非法目的。而Paula Januszkiewicz本人也是一位白帽子安全審計人員……

Paula Januszkiewicz不但技術實力高超，而且性格活潑開朗。在演講中，她不時的走下講臺給觀眾比劃系統(tǒng)審計方式和效果，除了講PPT以外，她還在電腦上跑了一下實際的操作環(huán)境。讓觀眾對IT安全審計有了更深刻的認識。

Paula Januszkiewicz正在演講中

注：本次RSA中國大會有不同大主題的分類，分別是：應用與開發(fā)，密碼學與體系結構，黑客與威脅，移動與網(wǎng)絡安全，可信計算與云計算。

在第一天的演講結束后，Paula Januszkiewicz接受了部分中國媒體的采訪。下面是采訪實錄：

 #p#

陳毅東：全球IT審計的整體狀況是怎樣的？未來的發(fā)展趨勢是怎么樣的？

Paul Januszkiewicz：對IT審計來說，我們要做的是對這個技術進一步了解，因為新的技術還沒有實施，還處于測試的階段，所以我們要了解技術的相關情況然后進行審計，我們覺得在IT審計這塊，不斷了解新技術、新東西是非常正常的現(xiàn)象。我覺得未來的趨勢應該不會有太大的改變，唯一的改變可能就是人們對安全的意識不斷加強。比如我們今天開的信息安全國際論壇就是進行充分的溝通，加強安全意識。因為現(xiàn)在我們會發(fā)現(xiàn)安全問題確實會影響到我們的生活和發(fā)展。人們也越來越多的意識到安全問題。因為總是有不同的新技術，新技術會帶來新問題，新問題出現(xiàn)以后人們可能還會再看老技術帶來老的問題，人們還要進一步推動新技術，所以會不斷進展。

李玲玲：傳統(tǒng)的安全審計到云計算環(huán)境下，差別大嗎？

Paul Januszkiewicz：基本的理念還是一樣的，我們還是針對相關的服務進行審計，但是在云的環(huán)境中還是有所不同，我們會比較關注信息和數(shù)據(jù)在不同端傳輸中的情況。技術不同，但基本的理念還是一樣的。數(shù)據(jù)傳輸方面，在云端、客戶端、私有云環(huán)境下、合作伙伴環(huán)境下數(shù)據(jù)的傳輸和加密過程是我們關注的重要方面。

王文文：作為經(jīng)驗豐富的網(wǎng)絡安全專家，您常用的安全審計工具能介紹一下嗎？

Paul Januszkiewicz：這要看哪個領域，比如WEB安全測試，我會用Acunetix，工具可以自動做一些工作，我們也做一些手動工作。

王文文：您目前的工作中，哪一類滲透測試做的比較多？

Paul Januszkiewicz：我做的測試主要是IT系統(tǒng)內(nèi)部，比較少做網(wǎng)絡測試，主要針對的是邊界測試，所謂邊界就是一邊是網(wǎng)絡，一邊是客戶自己的系統(tǒng)，在這兩個主體中間，邊界是我們的工作重點，通過滲透測試可以看到，從Web網(wǎng)絡角度看，客戶系統(tǒng)有哪些顯而易見的漏洞。是我們也會做內(nèi)部測試看看存在哪些潛在的風險。所以我們有三方面，一方面做Web測試，Web測試主要是意見收集，看看網(wǎng)絡情況如何，第二方面是邊界測試，所謂邊界測試是看數(shù)據(jù)安全的問題，第三方面是內(nèi)部的系統(tǒng)測試，主要是看內(nèi)部系統(tǒng)本身的配置。

王文文：您現(xiàn)在還自己挖掘漏洞嗎？

Paul Januszkiewicz：這是我個人的興趣，但我不是專業(yè)做這個的。

王文文：像您這樣的專業(yè)人士是否會使用MSF和BT 5這樣的工具？

Paul Januszkiewicz：當然。比如Back track系列吧，我之前常用的版本就有BT2和BT4。

陳毅東：您今天有一個關于密碼學的主題演講，密碼學現(xiàn)在有很多安全方面的新定義，比如移動安全、虛擬化安全、云安全。對于基礎性的傳統(tǒng)密碼學帶來哪些挑戰(zhàn)？

Paul Januszkiewicz：我不能說一點挑戰(zhàn)都沒有，但出現(xiàn)的新技術并不是完全全新的東西，很多協(xié)議被破壞的時候只是對一些技術產(chǎn)生挑戰(zhàn)，但對現(xiàn)用密碼學所有的方法來說，它的功能還是比較完善的，而且比較適用于當下的情況，沒有出現(xiàn)什么問題。比如你在云中發(fā)布應用軟件，一般來說不允許再進行修改，如果修改的話需要重新輸密碼。但現(xiàn)在有新的技術，允許自己的環(huán)境和云環(huán)境進行對話，從而不需要進行密碼修改。這就是以需求為基礎的技術，這種技術是新發(fā)展，當然會給我們帶來一些新問題。但也會給我們帶來全新的防護模式。一旦出現(xiàn)新技術的時候，就有一些原有的技術做全新模式的搭建，在搭建的基礎上保證新技術還是安全的，所以這更多的是架構師要考慮的，在新的IT架構下如何讓原有技術和新技術在新環(huán)境下保持安全。

范平：云計算時代數(shù)據(jù)中心虛擬化水平越來越高，這是否意味著數(shù)據(jù)的安全性風險也越來越大？數(shù)據(jù)中心如何平衡安全和應用的關系？

Paul Januszkiewicz：這主要看SLA（服務水平協(xié)議），公司用數(shù)據(jù)中心是購買服務，服務供應商會告訴你SLA中規(guī)定一定時間內(nèi)99.9%的情況不會出問題，也許會有一些風險，但虛擬化帶來的風險并不是這么大，比較大的問題是你和數(shù)據(jù)中心的溝通和交流不如以前頻繁了，另外你這里出了問題后，服務商會說我這面的數(shù)據(jù)中心沒有出現(xiàn)問題，責任很難追究。也許技術以后會出現(xiàn)新的突破并帶來新的挑戰(zhàn)，但目前問題還不大，你的數(shù)據(jù)安全還是取決于你和服務商之間簽訂的SLA協(xié)議。

陳毅東：你創(chuàng)建這家公司主要從事什么業(yè)務，另外看您的個人簡介，你對新的安全技術很關注，也在研究，我想知道是指哪些最新的安全技術？

Paul Januszkiewicz：不管技術設施方面，還是新的操作系統(tǒng)方面，一旦有新的發(fā)展我們都會進行關注，因為客戶會用新技術、新系統(tǒng)，我們肯定要率先熟悉，熟悉后才可以幫助客戶提供服務進行相關的測試。2002年微軟發(fā)布了新的操作系統(tǒng)，我們就要去了解相應的功能，因為這個功能可能和以前的微軟操作系統(tǒng)不同。我們本身是給微軟提供服務，所以說微軟會多一點。基本上我們要對新技術、新系統(tǒng)進行調(diào)查研究才能提供各種各樣的測試服務，同時我是企業(yè)安全的MVP，所以可以訪問微軟源代碼。有這樣的權限可以幫助我了解具體的問題出在哪兒或者說具體發(fā)生了什么情況。

陳毅東：您有獲取微軟源代碼的資質(zhì)？

Paul Januszkiewicz：只限于我個人。不是公司。這完全是個人的權限，我們不會通過這個權限，用公司的名義銷售服務。此外我們也非常關注客戶對我們的反饋，2004年之前我們就開始談虛擬化的問題，2011年我們才真正談虛擬，因為現(xiàn)在虛擬化才得到了真正的應用，可能也要過好幾年云技術才會有成熟的應用，我們才會去談云安全的問題?，F(xiàn)在并非很多企業(yè)決定轉向云技術，云技術現(xiàn)在的環(huán)境下，我們可以談風險，問題是根本沒有實例去研究并證實相關的問題，所以可能要過上幾年，當云技術真正應用下去，出現(xiàn)安全問題，客戶給我們提供反饋的意見，我們可能才能進一步研究。

王文文：就你們公司搜集到的數(shù)據(jù)來看，Vmware、Ctrix、微軟這三家的虛擬系統(tǒng)，哪個漏洞更多一點？

Paul Januszkiewicz：我沒辦法講哪個系統(tǒng)有更多的漏洞。但是否有漏洞，是否有問題取決于系統(tǒng)提出的解決方案，現(xiàn)在有很多大的服務公司和供應商都在用這些系統(tǒng)，每個系統(tǒng)都有自己的好處和劣勢，同時這個系統(tǒng)背后都有完整的團隊在做這些事。一旦問題出現(xiàn)是否可以及時響應。

王文文：您個人比較喜歡使用哪個虛擬機軟件？

Paul Januszkiewicz： （調(diào)皮的擠擠眼睛）當然是微軟啦。（笑）不過也用VMware。我們看到客戶會同時使用不同的虛擬化產(chǎn)品，具體要用哪個，得比較各個虛擬化系統(tǒng)的優(yōu)劣之后再進行判斷。

陳毅東：審計測試需要注意一些什么？

Paul Januszkiewicz：第一個建議一定要得到公司管理層的批準，否則無法獲取資源，也沒有什么意義。另外要和財務人員進行事先溝通，讓公司知道審計是做什么，目標是什么，付出了這些成本后，對公司的安全防范有什么樣的好處。第三讓公司內(nèi)部IT人員知道審計的目的和意義是什么。我們現(xiàn)實中碰到很多案例，由于事先溝通沒做好，審計的時候IT部門非常抵觸，認為是要把IT的問題暴露給管理層，要告訴他們審計是為提供更好的環(huán)境和管理，另外也需要IT的支持。

王文文：貴公司的名稱是CQURE，能解釋一下這個名字的含義嗎？

Paul Januszkiewicz：這個名字比較好玩的，CQURE用英文讀是“安全”的意思，用CQURE來寫，看起來很專業(yè)（笑著擺出得意的樣子）。

王文文：我看您公司現(xiàn)在主要是做IT審計和滲透測試比較多，以后是否會推出自己的安全工具？

Paul Januszkiewicz：目前還沒有這個想法，過兩年可能會有這種想法。但至少未來三年內(nèi)我是不會做這樣的事。我自己也有很多想法，但這些想法沒有整合到工具中去，有時候你在網(wǎng)上開發(fā)了工具，別人用了之后會在此基礎上進行功能完善，第三個人會進一步做功能完善，這樣不斷循環(huán)下去，我也是這樣。每個人都會用很多工具，每種工具都有自己的功能特點，我會根據(jù)功能需求進行整合，開發(fā)出自己需要的工具，覆蓋自己需要的功能，但這只是想法，目前還沒有進行落實。

李玲玲：您認為Windows8相比之前Windows版本，在安全方面有沒有提升？

Paul Januszkiewicz：“Windows8”現(xiàn)在還只是一個臨時的稱謂。一般操作系統(tǒng)出來前都會有一個預覽版，主要是針對開發(fā)者。以后是否就叫“Windows8”還不一定。這個版本對安全性能方面肯定會有一定的改進，但就安全來說目前版本已經(jīng)做得很好了。

王文文：CQURE有沒有在波蘭之外設分公司？盈利情況如何？

Paul Januszkiewicz：公司總部設在波蘭的原因是因為我住在波蘭，但公司所有的人都是在全球范圍內(nèi)提供服務。今年我在波蘭只接了兩個項目，完全是因為覺得這兩個項目還算有意思。

陳毅東：公司現(xiàn)在有多少員工？

Paul Januszkiewicz：我不雇傭員工，只是和別人進行合作，而且只和我相信的人進行合作，而且這些人一定要非常棒，我不會和普通人進行合作。這些人普遍來說都是我過去共事過的同事或者是我的朋友，最終要達成的目標是提供非常完整的全面的安全服務，但是在安全服務提供當中，每一塊業(yè)務都要是行業(yè)內(nèi)的頂尖人士來做，每個人都專注于自己那塊，這樣才會非常專業(yè)，我是不會接受任何的例外。

李玲玲：你是波蘭女性技術小組的領導者，能否介紹一下女性技術小組是做什么工作？

Paul Januszkiewicz：這是一個現(xiàn)實情況，做技術的女性一般非常少，兩年前我成立這樣一個小組，告訴大家女性可以在技術方面做得很好，但這不是宣揚女權思想，主要是想告訴大家技術圈子里，女性可以和男性做得一樣好，甚至比男人更好。在工作的時間，很多情況下一個房間里都是男性，只有一個女性，我們希望女性不要受這種環(huán)境影響，而是要把技術發(fā)揮的更好。

王文文：最后一個私人問題，能否透露一下，您平時用的彩虹表有多大？

Paul Januszkiewicz：（笑）32G。因為我的硬盤只有這么大點地方。不過用彩虹表不需要在自己的硬盤上存太多的數(shù)據(jù)，通過網(wǎng)絡資源就夠了。因為如果你自己存儲數(shù)據(jù)的話，這個成本是非常高的。

[[49066]]
采訪結束后的合影

【2011 RSA中國大會相關推薦】

1. RSA2011中國大會首日圖文播報：Alice和Bob冒險繼續(xù)
2. 電子學會何華康:RSA成為交流分享合作的平臺
3. 2011 RSA中國大會 alice & bob的奇幻冒險
4. RSA China 2011女嘉賓：用更好的武器應對帶槍的敵人！