防毒軟體的安全漏洞俯拾即是，以及暗自跟蹤你的網頁瀏覽軌跡的瀏覽器程式，這是微軟上周五舉行的BlueHat駭客大會的兩大焦點。

　　這場只限受邀者參加的會議每六個月舉行一次，已舉辦了三年，邀請頂尖資安研究員到全球最大軟體公司來討論最新、最強的駭客程式(exploits)以及電腦安全議題。

　　資安公司IOActive的Dan Kaminsky接受電話訪問時表示：「軟體開發人員出席會議，豎耳傾聽破解軟體的駭客說話，這是很酷的事。」

　　根據Kaminsky的說法，這場會議的精彩處包括：Argeniss創辦人兼執行長Cesar Cerrudo談論Windows設計上的弱點，「嚇壞了一堆在場者」；獨立資安研究員Manuel Caballero談論隱形的小程式(script)如何跟蹤網頁瀏覽者在網際網路上的每一步，讓「壞人監控瀏覽器」；另一獨立資安研究員Alex "kuza55"談論網頁瀏覽器的缺失；Nevis Networks研究室技術領隊Feng Xue(別名「Sowhat」)談防毒軟體的漏洞。

　　Kaminsky說：「我們都心知肚明，防毒軟體的漏洞百出。」他說，Xue舉例證明「如何簡單地對AV碼動手腳，就達到破解目的。有趣的是，竟然不費吹灰之力。」

　　例如，據Kaminsky轉述，Xue說明如何傳中毒的檔案給某人，然後得到回傳的資料，裡面顯示那人用的是哪一款防毒掃描產品，如此一來駭客便可使用專為那款防毒產品打造的駭客程式。

　　Xue本人接受訪問時，提到如何利用網頁、P2P網路和IM的安全漏洞，並示範用試圖讓程式當掉的「fuzzing」技術找出防毒程式的安全弱點。他拒絕指出該防毒軟體公司的名稱，因為該公司仍在趕製這項安全弱點的修補程式。

　　Xue表示，他也曾用逆向工程(reverse engineering)與原始碼auditing方式，找出20種最熱門防毒產品的弱點。他所屬的公司將把這些資訊提供給相關的軟體公司。他認為，AV 公司必須明白，光是為了查明檔案是否內含病毒而掃瞄可能的惡意檔案，就可能讓AV軟體曝露於風險之中，因為該檔案可能正是為攻擊AV軟體而寫的。

真係一山還有一山高

咁大間公司都鬥唔過Ｄ人