近日,微软IE被爆出新的零日漏洞,此漏洞涉及IE 7-IE 9全部产品。据统计,微软IE浏览器的用户量超过3.5亿。与此同时,还有很多厂商的浏览器也基于IE内核,从而使用IE内核的用户可能会达到6亿用户。一个威胁6亿用户的IE零日漏洞被黑客成功利用,它带来的是一望无际的盗号病毒。
无独有偶,IEEE(国际电气与电子工程师协会)将近10万名会员包括密码在内的隐私信息被意外曝光。作为一个会员包括苹果、Google、IBM等大公司员工的全球最大的软件工程师专业组织,这种情况的发生是相当糟糕的,更是愚蠢的。当然,与信息泄露相比,IEEE使用明文存储用户名和密码的行为所带来的麻烦则更大。
“小心驶得万年船”
笔者从“乌云”网了解到,在9月28日最新发布的9个漏洞中,有5个漏洞为设计/逻辑错误导致的信息泄露。包括有道云笔记Windows客户端内存明文存储锁定密码,Android手机远程擦除漏洞以及139邮箱发件时间可以修改等等漏洞。有道云笔记的漏洞在有道词典中也同样有效。这就导致了很严重的问题,比如在云笔记中可以查看其他用户的笔记,上传的资料。通过有道词典的注册邮箱可以用来“撞库”,因为大多数用户都用少数几个邮箱注册很多的网站。这样黑客就可以破解用户在不同网站注册的账户。
然而,再大的风险都是由人造成的,所有的安全问题都可以说是人的问题。比如PHP语言的0字节截断漏洞,其实是由程序员不规范,不安全的编程习惯导致的。举个贴近普通用户的例子,黑客在攻陷一台电脑之前并不能强迫机主做任何高风险的事,比如点击一个链接,而链接背后的网站已经被黑客通过漏洞植入恶意程式。既然不能强迫计算机使用者去点击恶意链接,那么黑客只能通过复杂多样的钓鱼模式来引诱使用者一步步落入他们的陷阱中。所有的终端用户都需要有一面护盾来保护计算机安全和个人的私隐。所以在小心留意“钓鱼”的同时,软件防御系统也是必不可少的。
安全不是一劳永逸的
但是,当今没有任何一套安全解决方案可以完全由机器自主完成。要保证计算机系统的安全,就要把人的行为和计算机的防护相结合。自互联网诞生伊始,攻防两端的较量就从未停止过,而攻击和防御技术也在不停歇的较量中不断变化、发展着。基于没有任何一个系统是完美的这一定论,攻击者从不同的角度和层面寻找系统的安全漏洞。虽然古语有云:以不变应万变,但是对于安全人员甚至是普通的计算机使用者来说,将自己的防范意识与时俱进是很必要的,不能认为有“万金油”可以让人高枕无忧,一劳永逸,免除计算机漏洞和病毒的威胁。
安全厂商提供的防御系统总是有局限的,更不可能有所谓的“完美”防御。用户需要从自身角度提升对安全问题的意识,了解常用的钓鱼和攻击方式,再配合一些软件防御系统,比如入侵检测/入侵防护套装来保障个人隐私信息的安全。
双管齐下减轻漏洞危害
当然,只要是人设计的系统就一定会有漏洞,自然也会被发现,并且很多漏洞都被利用为不法牟利的手段。从人的角度来看,漏洞与误差类似,不可以被避免,但可以通过各种手段减小它的影响。比如代码安全检测和操作行为分析。
NIST的报告显示,超过90%的安全漏洞是应用层漏洞。因此,应用程序的安全成为了开发者们必须要面对的问题。通过在开发周期中使用代码安全检测程序来保障代码符合安全规范是一种比较简单方便的解决方法。当然,软件也是通过人为规定的规则来进行代码的安全检测,所以开发者仍然需要不断提升自己的安全编码意识,并结合检测程序不断地修正程序,从而保证应用程序的安全性及可靠性。
从网络管理员角度来说,漏洞被用来发动攻击是无法避免的,如何减少它带来危害成为了网管员们需要思考的问题。从IDS到IPS的转变可以看出,安全从业人员的理念也在发生着改变,即从基于特征码的检测转变为基于特征行为规则的主动防御。对于恶意网站或者钓鱼网站来说,行为分析更关心它要做的事而不是它是哪一类流量。因为大部分恶意链接背后的目的都是木马植入和个人信息窃取。凡是符合这类行为的动作,都会被屏蔽。对于恶意地泛洪攻击来说,比如DDoS、HTTP GET Flood,SYN Flood等,网管员则需要流量特征判断攻击类型,决定是否有必要通过流量清洗将攻击流量和正常请求流量分开,比如使用异常流量清洗设备,将攻击流量牵引到远离攻击目标的地方。
在如今这样复杂多变的互联网环境中,网络管理者和程序设计者都不能将希望寄托于发现漏洞就打补丁这一被动的理念,更不能让用户为上游厂商的错误买单。共同提升安全意识,规范安全编码已经成为重中之重,不能再被忽视。
