近日,微軟IE被爆出新的零日漏洞,此漏洞涉及IE 7-IE 9全部產(chǎn)品。據(jù)統(tǒng)計(jì),微軟IE瀏覽器的用戶量超過3.5億。與此同時(shí),還有很多廠商的瀏覽器也基于IE內(nèi)核,從而使用IE內(nèi)核的用戶可能會(huì)達(dá)到6億用戶。一個(gè)威脅6億用戶的IE零日漏洞被黑客成功利用,它帶來的是一望無際的盜號(hào)病毒。
無獨(dú)有偶,IEEE(國際電氣與電子工程師協(xié)會(huì))將近10萬名會(huì)員包括密碼在內(nèi)的隱私信息被意外曝光。作為一個(gè)會(huì)員包括蘋果、Google、IBM等大公司員工的全球最大的軟件工程師專業(yè)組織,這種情況的發(fā)生是相當(dāng)糟糕的,更是愚蠢的。當(dāng)然,與信息泄露相比,IEEE使用明文存儲(chǔ)用戶名和密碼的行為所帶來的麻煩則更大。
“小心駛得萬年船”
筆者從“烏云”網(wǎng)了解到,在9月28日最新發(fā)布的9個(gè)漏洞中,有5個(gè)漏洞為設(shè)計(jì)/邏輯錯(cuò)誤導(dǎo)致的信息泄露。包括有道云筆記Windows客戶端內(nèi)存明文存儲(chǔ)鎖定密碼,Android手機(jī)遠(yuǎn)程擦除漏洞以及139郵箱發(fā)件時(shí)間可以修改等等漏洞。有道云筆記的漏洞在有道詞典中也同樣有效。這就導(dǎo)致了很嚴(yán)重的問題,比如在云筆記中可以查看其他用戶的筆記,上傳的資料。通過有道詞典的注冊(cè)郵箱可以用來“撞庫”,因?yàn)榇蠖鄶?shù)用戶都用少數(shù)幾個(gè)郵箱注冊(cè)很多的網(wǎng)站。這樣黑客就可以破解用戶在不同網(wǎng)站注冊(cè)的賬戶。
然而,再大的風(fēng)險(xiǎn)都是由人造成的,所有的安全問題都可以說是人的問題。比如PHP語言的0字節(jié)截?cái)嗦┒?,其?shí)是由程序員不規(guī)范,不安全的編程習(xí)慣導(dǎo)致的。舉個(gè)貼近普通用戶的例子,黑客在攻陷一臺(tái)電腦之前并不能強(qiáng)迫機(jī)主做任何高風(fēng)險(xiǎn)的事,比如點(diǎn)擊一個(gè)鏈接,而鏈接背后的網(wǎng)站已經(jīng)被黑客通過漏洞植入惡意程式。既然不能強(qiáng)迫計(jì)算機(jī)使用者去點(diǎn)擊惡意鏈接,那么黑客只能通過復(fù)雜多樣的釣魚模式來引誘使用者一步步落入他們的陷阱中。所有的終端用戶都需要有一面護(hù)盾來保護(hù)計(jì)算機(jī)安全和個(gè)人的私隱。所以在小心留意“釣魚”的同時(shí),軟件防御系統(tǒng)也是必不可少的。
安全不是一勞永逸的
但是,當(dāng)今沒有任何一套安全解決方案可以完全由機(jī)器自主完成。要保證計(jì)算機(jī)系統(tǒng)的安全,就要把人的行為和計(jì)算機(jī)的防護(hù)相結(jié)合。自互聯(lián)網(wǎng)誕生伊始,攻防兩端的較量就從未停止過,而攻擊和防御技術(shù)也在不停歇的較量中不斷變化、發(fā)展著?;跊]有任何一個(gè)系統(tǒng)是完美的這一定論,攻擊者從不同的角度和層面尋找系統(tǒng)的安全漏洞。雖然古語有云:以不變應(yīng)萬變,但是對(duì)于安全人員甚至是普通的計(jì)算機(jī)使用者來說,將自己的防范意識(shí)與時(shí)俱進(jìn)是很必要的,不能認(rèn)為有“萬金油”可以讓人高枕無憂,一勞永逸,免除計(jì)算機(jī)漏洞和病毒的威脅。
安全廠商提供的防御系統(tǒng)總是有局限的,更不可能有所謂的“完美”防御。用戶需要從自身角度提升對(duì)安全問題的意識(shí),了解常用的釣魚和攻擊方式,再配合一些軟件防御系統(tǒng),比如入侵檢測/入侵防護(hù)套裝來保障個(gè)人隱私信息的安全。
雙管齊下減輕漏洞危害
當(dāng)然,只要是人設(shè)計(jì)的系統(tǒng)就一定會(huì)有漏洞,自然也會(huì)被發(fā)現(xiàn),并且很多漏洞都被利用為不法牟利的手段。從人的角度來看,漏洞與誤差類似,不可以被避免,但可以通過各種手段減小它的影響。比如代碼安全檢測和操作行為分析。
NIST的報(bào)告顯示,超過90%的安全漏洞是應(yīng)用層漏洞。因此,應(yīng)用程序的安全成為了開發(fā)者們必須要面對(duì)的問題。通過在開發(fā)周期中使用代碼安全檢測程序來保障代碼符合安全規(guī)范是一種比較簡單方便的解決方法。當(dāng)然,軟件也是通過人為規(guī)定的規(guī)則來進(jìn)行代碼的安全檢測,所以開發(fā)者仍然需要不斷提升自己的安全編碼意識(shí),并結(jié)合檢測程序不斷地修正程序,從而保證應(yīng)用程序的安全性及可靠性。
從網(wǎng)絡(luò)管理員角度來說,漏洞被用來發(fā)動(dòng)攻擊是無法避免的,如何減少它帶來危害成為了網(wǎng)管員們需要思考的問題。從IDS到IPS的轉(zhuǎn)變可以看出,安全從業(yè)人員的理念也在發(fā)生著改變,即從基于特征碼的檢測轉(zhuǎn)變?yōu)榛谔卣餍袨橐?guī)則的主動(dòng)防御。對(duì)于惡意網(wǎng)站或者釣魚網(wǎng)站來說,行為分析更關(guān)心它要做的事而不是它是哪一類流量。因?yàn)榇蟛糠謵阂怄溄颖澈蟮哪康亩际悄抉R植入和個(gè)人信息竊取。凡是符合這類行為的動(dòng)作,都會(huì)被屏蔽。對(duì)于惡意地泛洪攻擊來說,比如DDoS、HTTP GET Flood,SYN Flood等,網(wǎng)管員則需要流量特征判斷攻擊類型,決定是否有必要通過流量清洗將攻擊流量和正常請(qǐng)求流量分開,比如使用異常流量清洗設(shè)備,將攻擊流量牽引到遠(yuǎn)離攻擊目標(biāo)的地方。
在如今這樣復(fù)雜多變的互聯(lián)網(wǎng)環(huán)境中,網(wǎng)絡(luò)管理者和程序設(shè)計(jì)者都不能將希望寄托于發(fā)現(xiàn)漏洞就打補(bǔ)丁這一被動(dòng)的理念,更不能讓用戶為上游廠商的錯(cuò)誤買單。共同提升安全意識(shí),規(guī)范安全編碼已經(jīng)成為重中之重,不能再被忽視。