作为端点安全重要组成部分的Sophos有限责任公司的反病毒引擎，最近受到了一名安全研究人员的密切关注和审查，他在2011年黑帽大会上揭示了审查结果，结果对该产品不利。

　　作为漏洞猎人（Vulnerability hunter）的Tavis Ormandy，白天是Google公司的一名信息安全工程师，在黑帽大会上作完演讲后，预计他将把他的发现写成书面形式，同时还有他剖析Sophos引擎所使用的一些工具。

　　Ormandy表示，他在分析中发现，Sophos软件建立和匹配病毒特征使用的是弱或过时的加密方式，过多的依赖于混乱的安全（relies on obfuscation for security too often），而且在其他问题中无法理解某些开发技术。

　　Ormandy在演讲开始时解释道，反病毒产品使用户不用再不得不对他们的安全作出信任决定（keep users from having to make trust decisions about their security）；但代价是攻击面增加了。他承认这是一个适当的交易，因为病毒感染需要迅速采取行动。但供应商们不会公布在他们的防毒产品技术规格，为了防止攻击者利用他们的产品。

　　“我做该项目的意图是提供Sophos反病毒产品缺失的技术规格，从而帮助实现更彻底的反病毒评价，”Ormandy说道，“这样，用户在想要实施反病毒技术时，关于是否应该使用这种产品就可以作出明智的决定。”

　　为了分析该产品的设计和实施，Ormandy对该产品进行了逆向工程；在他的谈话中，他并没有谈到漏洞。他发现的设计问题是使用弱加密散列函数，CRC32，他说这会影响对已知病毒匹配的签名的质量。他发现一些校验是无法进行的，琐碎的或与代码无关的，且非自动生成的签名质量很差，因为签名方案通常比较弱。

　　“没有任何理由，为什么他们会依靠这么弱的计划，”Ormandy说道，“这不是一个性能问题。”

　　在演讲前，Sophos看过了Ormandy的文件草稿。这家英国的厂商已经开始将修复落实到位，并承诺在即将到来的主要版本中作出一系列变化。

　　Sophos的加拿大高级安全顾问Chester Wisniewski表示，他认同Ormandy发现中的部分东西，但一些简单的检查加速了客户的签名实施，且避免阻碍端点上的表现。他补充道，Ormandy对特定引擎组件的深入是学术上的，而Sophos的研究人员每天收到超过15万的恶意软件样本，他们是在业务环境下作出决定。

　　“我们每天都在脚踏实地的试图去解决24小时内随时出现的这15万个样本，”Wisniewski说道，“我们已经有了作出反应的方式，现在我们可以提供保护。Ormandy从学术的角度来看这个问题真的很酷，这是你可以解决这个问题很聪明的方式（He looks at it from an academic perspective where there’s this really cool, clever thing you could be doing that could solve this problem.），但我们将不得不商业化，将它变成可以减轻用户安装的某种形式。”

　　“他不明白我们所面临的挑战是不同的。他在技术上了解这些产品，但他也许不明白为什么它们是产品或者我们为什么要用那些技术，”Wisniewski补充道，“我们不依靠他所提到的技术去提供保护。这只是一个大整体中的一小部分。”

　　Ormandy在做关于Sophos引擎研究的整个过程中发现了加密问题。他们使用了过时和陈旧的64位的Feistel块密码（Feistel block ciphers）或异或密码（XOR cipher），Ormandy表示，它们使用不当，基本上已经成为了模糊处理工具，而不是加密。Sophos的Wisniewski表示，公司正朝着在未来发布的产品版本中淘汰这些弱加密的方向努力。

　　“我们的BOPS系统设计用来为‘早期的Windows版本’提供保护，” Wisniewski说，“据研究人员透露，现在你可以绕过微软的保护。在这里，我们完全理解Tavis Ormandy的观点，并正在为Vista和Windows 7实施一个新的缓冲区溢出系统，因为我们想阻止微软技术的最终运行。”

　　“很多时候，在外界有一双眼力好的眼睛盯着产品是件好事，”Wisniewski说道，“了解外界的观点对我们来说肯定是有帮助的。”