WebSphere MQ 安全性炙手可热

核心提示：维加斯发生了什么IBM WebSphere MQ 安全性实现并非总是得到了其应有的重视或优先，正如我在之前的 developerWorks 专栏文章中提到的，WebSphere MQ 安全性炙手可热，很多 WebSphere MQ 安装都没有安全机制，或者更糟糕，会议室已经爆满，走廊和会议室后面挤满了与会人员，实现了漏

维加斯发生了什么

IBM WebSphere MQ 安全性实现并非总是得到了其应有的重视或优先。正如我在之前的 developerWorks 专栏文章中提到的，很多 WebSphere MQ 安装都没有安全机制，或者更糟糕，实现了漏洞百出的安全措施却认为此安装是安全的。我去年一月撰写那篇文章的时候，WebSphere MQ 在其管理员和开发人员社区外还算不上非常重要的产品。从某种程度而言，您可以说我们所有的人都受到“未知”所带来的安全性的保护。所有这些于 2007 年 8 月 3 日在拉斯维加斯突然之间全改变了。

去年 7 月，WebSphere MQ 列表服务器充满了关于 Def Con 15 上即将举行详细讨论 WebSphere MQ 的安全漏洞利用的专题会议的信息。此专题会议由 MWR Infosecurity 的 Martyn Ruks 主讲，会议主题是“MQ Jumping”，其内容摘要包括以下描述：

此次演讲将揭示部署在实际环境中的 WebSphere MQ 安全性背后的真相，将了解攻击者如何滥用此软件来进行远程代码执行。演讲将重点讨论用于分析可用来保护 MQ 安装的安全控制的方法及其各自的局限。此后，将讨论用于通过 MQ 服务比较消息数据和操作系统的一系列方法。我们将演示演讲中提到的一些攻击，从而将此专题会议推向高潮，然后将讨论用于保护安装和确保不会出现安全违规的方法。

有的读者可能不了解 Def Con，宣称它是“世界上最大的地下黑客会议”。演讲摘要本身非常有诱惑力。其向这个特殊的受众宣传的概念显然非常可怕。第二天我预了班机飞往维加斯，并在会议举行的酒店订了房间。

听众如期而至，演讲按部就班举行。“MQ Jumping”部分尚未开始，甚至前一个演讲者尚未结束其演讲，主会场就开始拥挤起来。当 Ruks 先生登上讲台，会议室已经爆满，走廊和会议室后面挤满了与会人员。想像一下您曾经在所有电影电视中看到的每个中坚黑客分子：他们都在那里。