【TechTarget中国原创】Gary McGraw是位于美国弗吉尼亚州Dulles市的Cigital安全公司的首席技术官。他是一位安全行业的名人，著有《软件安全：在其中建立安全》、《Java安全》和《利用软件漏洞》等书。他的新书研究了针对基于网络的游戏的威胁。这本书的名称是《利用在线游戏的漏洞》。在本期访谈中，McGraw 谈了为什么IT专业人员要关心针对在线游戏的安全漏洞，为什么rootkits将继续是一个令人头疼的主要安全问题以及软件开发人员在编写代码的时候应该如何做。

　　你即将推出的新书《利用在线游戏的漏洞》是关于《魔兽世界》和《无尽的任务》等网络游戏的。你为什么选择在线游戏作为一个题目?

　　Gary McGraw:这本书确实是关于大规模多玩家在线角色扮演游戏的。今天的游戏正在展示明天的软件安全问题是什么样子。不管你相信不相信，目前《魔兽世界》的用户大约有800万，可能有1200万人玩这些游戏。任何时候都有50万人在一组服务器上玩这些游戏。因此，你对时间和状态会有一些有趣的问题。你不可能有足够大的计算机或者足够快的互联网连接让50万人实时地在一台服务器上工作，因此，服务器将减少一些空间，把游戏的一部分放在用户的PC上，然后，用户玩那部分游戏并且不断地与服务器交换信息。但是，这种信息交换不是实时的。因此就出现了时间和状态问题，这就导致了各种瑕疵，使这些游戏的安全漏洞能够被利用。

　　为什么IT安全人员和软件人员关心在线游戏的安全?

　　McGraw: IT人员需要关心他们的用户在做什么。如果你们的用户正在整天玩这些游戏，那就很糟糕。更重要的是，如果你们的用户在下班以后在自己的计算机上玩这些游戏或者在周末在自己的笔记本电脑上玩这些游戏，这些游戏就会在内核深处安装监视软件不间断地跟踪这些计算机在做什么。这些软件将向回报告有关用户在做什么的各种信息，这些信息可能与玩游戏本身无关。《魔兽世界》有一个称作“Warden”的程序在监视你的PC。有人把这种做法称作侵犯隐私。从IT的角度看，正在发生的事情是你的用户在改变PC，因此这些间谍软件式的软件安装到了用户的计算机中，用户甚至都不知道发现这种事情。这是IT人员真正感到头疼的事情。

　　有些软件听起来好像是rootkit技术。这也是你一直关注的重点。谈谈目前这种威胁的性质以及这种威胁将如何发展。

　　McGraw:这个问题是在索尼决定在其某些CD盘中采用rootkit技术之后曝光的。索尼要使用的是一种强制执行数字版权管理的程序。当你把CD光盘放到PC中的时候，这个程序就会在计算机内核中安装一个rootkit。这个程序能够让你做拷贝光盘等工作。对于IT管理员来说，这个问题是你有一个用户正在自己的PC上使用耳机听音乐。在做这种合法的事情的同时，这个用户的计算机中安装了rootkit，你可以利用这个隐藏的程序的隐蔽功能做与听音乐无关的事情。

　　Windows Vista内置的安全功能有帮助吗?

　　 McGraw:我希望它能有许多帮助。但是，如果你记得赛门铁克和McAfee都曾因为他们不再能够利用这个操作系统的内核而且微软强迫他们使用某些应用程序编程接口等原因而感到非常气愤的话，后来发生的事情是微软被迫做了一些让步。而对于赛门铁克和McAfee有利的事情对于那些要制作内核级的 rootkit的那些人来说也是有帮助的。因此，我认为一直非常保守的内核已经开放了，我们应该预计会看到针对Vista的rootkit。

　　说到赛门铁克和McAfee的反应，他们的牢骚是合法的吗?或者微软应该告诉他们学习如何处理这个事情吗?这个事情应该是什么样子的?

　　McGraw:这是一种非常复杂的情况。McAfee和赛门铁克有合法的权利提出抱怨，因为微软显然是在侵入他们的业务领域并且要把他们强行逐出市场。微软可能利用其拥有操作系统的优势在竞争中胜过其它安全厂商。这是真正令人担心的。

　　你一直主张软件厂商需要尽更大的努力把安全写进代码中。你写了《制作安全的软件》、《利用软件漏洞》和《软件安全：在其中建立安全》这三本书。企业现在做的情况如何呢?

　　McGraw:我对我们所做的事情的进展感到非常乐观。以前，我们甚至都不能让我们的母亲相信软件安全是非常重要的。这种情况发生了很大的变化。现在，每一个人都理解这个问题。许多人都说，我知道，我要做软件安全的事情。我应该做什么呢?我们不要再为这个事情发牢骚而是要提出最佳的做法。微软已经取得了一些好的进步。纽约的银行和手机厂商都为安全做了许多事情。人们努力购买正确的工具。我们已经取得了许多进步。我们为这个事情朝着正确的方向发展感到非常乐观。

　　这些好人会赢的网络战争的胜利吗?

　　McGraw:我认为这种军备竞赛将继续下去。软件安全比担心代码编写更重要。我们看到的一半的问题都与设计和结构的事情有关。一个明显的例子是：忘记识别用户的身份。这是一个结构问题。因此，我们必须要把重点放在这个上面。看一下网络战争，虽然我们已经取得了很大的进步，但是，心怀不轨的人也做了许多事情跟上了安全领域的进步。事情总是这样的。