近日，微軟IE被爆出新的零日漏洞，此漏洞涉及IE 7-IE 9全部產(chǎn)品。據(jù)統(tǒng)計(jì)，微軟IE瀏覽器的用戶(hù)量超過(guò)3.5億。與此同時(shí)，還有很多廠商的瀏覽器也基于IE內(nèi)核，從而使用IE內(nèi)核的用戶(hù)可能會(huì)達(dá)到6億用戶(hù)。一個(gè)威脅6億用戶(hù)的IE零日漏洞被黑客成功利用，它帶來(lái)的是一望無(wú)際的盜號(hào)病毒。

無(wú)獨(dú)有偶，IEEE（國(guó)際電氣與電子工程師協(xié)會(huì)）將近10萬(wàn)名會(huì)員包括密碼在內(nèi)的隱私信息被意外曝光。作為一個(gè)會(huì)員包括蘋(píng)果、Google、IBM等大公司員工的全球最大的軟件工程師專(zhuān)業(yè)組織，這種情況的發(fā)生是相當(dāng)糟糕的，更是愚蠢的。當(dāng)然，與信息泄露相比，IEEE使用明文存儲(chǔ)用戶(hù)名和密碼的行為所帶來(lái)的麻煩則更大。

“小心駛得萬(wàn)年船”

筆者從“烏云”網(wǎng)了解到，在9月28日最新發(fā)布的9個(gè)漏洞中，有5個(gè)漏洞為設(shè)計(jì)/邏輯錯(cuò)誤導(dǎo)致的信息泄露。包括有道云筆記Windows客戶(hù)端內(nèi)存明文存儲(chǔ)鎖定密碼，Android手機(jī)遠(yuǎn)程擦除漏洞以及139郵箱發(fā)件時(shí)間可以修改等等漏洞。有道云筆記的漏洞在有道詞典中也同樣有效。這就導(dǎo)致了很?chē)?yán)重的問(wèn)題，比如在云筆記中可以查看其他用戶(hù)的筆記，上傳的資料。通過(guò)有道詞典的注冊(cè)郵箱可以用來(lái)“撞庫(kù)”，因?yàn)榇蠖鄶?shù)用戶(hù)都用少數(shù)幾個(gè)郵箱注冊(cè)很多的網(wǎng)站。這樣黑客就可以破解用戶(hù)在不同網(wǎng)站注冊(cè)的賬戶(hù)。

然而，再大的風(fēng)險(xiǎn)都是由人造成的，所有的安全問(wèn)題都可以說(shuō)是人的問(wèn)題。比如PHP語(yǔ)言的0字節(jié)截?cái)嗦┒矗鋵?shí)是由程序員不規(guī)范，不安全的編程習(xí)慣導(dǎo)致的。舉個(gè)貼近普通用戶(hù)的例子，黑客在攻陷一臺(tái)電腦之前并不能強(qiáng)迫機(jī)主做任何高風(fēng)險(xiǎn)的事，比如點(diǎn)擊一個(gè)鏈接，而鏈接背后的網(wǎng)站已經(jīng)被黑客通過(guò)漏洞植入惡意程式。既然不能強(qiáng)迫計(jì)算機(jī)使用者去點(diǎn)擊惡意鏈接，那么黑客只能通過(guò)復(fù)雜多樣的釣魚(yú)模式來(lái)引誘使用者一步步落入他們的陷阱中。所有的終端用戶(hù)都需要有一面護(hù)盾來(lái)保護(hù)計(jì)算機(jī)安全和個(gè)人的私隱。所以在小心留意“釣魚(yú)”的同時(shí)，軟件防御系統(tǒng)也是必不可少的。

安全不是一勞永逸的

但是，當(dāng)今沒(méi)有任何一套安全解決方案可以完全由機(jī)器自主完成。要保證計(jì)算機(jī)系統(tǒng)的安全，就要把人的行為和計(jì)算機(jī)的防護(hù)相結(jié)合。自互聯(lián)網(wǎng)誕生伊始，攻防兩端的較量就從未停止過(guò)，而攻擊和防御技術(shù)也在不停歇的較量中不斷變化、發(fā)展著。基于沒(méi)有任何一個(gè)系統(tǒng)是完美的這一定論，攻擊者從不同的角度和層面尋找系統(tǒng)的安全漏洞。雖然古語(yǔ)有云：以不變應(yīng)萬(wàn)變，但是對(duì)于安全人員甚至是普通的計(jì)算機(jī)使用者來(lái)說(shuō)，將自己的防范意識(shí)與時(shí)俱進(jìn)是很必要的，不能認(rèn)為有“萬(wàn)金油”可以讓人高枕無(wú)憂(yōu)，一勞永逸，免除計(jì)算機(jī)漏洞和病毒的威脅。

安全廠商提供的防御系統(tǒng)總是有局限的，更不可能有所謂的“完美”防御。用戶(hù)需要從自身角度提升對(duì)安全問(wèn)題的意識(shí)，了解常用的釣魚(yú)和攻擊方式，再配合一些軟件防御系統(tǒng)，比如入侵檢測(cè)/入侵防護(hù)套裝來(lái)保障個(gè)人隱私信息的安全。

雙管齊下減輕漏洞危害

當(dāng)然，只要是人設(shè)計(jì)的系統(tǒng)就一定會(huì)有漏洞，自然也會(huì)被發(fā)現(xiàn)，并且很多漏洞都被利用為不法牟利的手段。從人的角度來(lái)看，漏洞與誤差類(lèi)似，不可以被避免，但可以通過(guò)各種手段減小它的影響。比如代碼安全檢測(cè)和操作行為分析。

NIST的報(bào)告顯示，超過(guò)90%的安全漏洞是應(yīng)用層漏洞。因此，應(yīng)用程序的安全成為了開(kāi)發(fā)者們必須要面對(duì)的問(wèn)題。通過(guò)在開(kāi)發(fā)周期中使用代碼安全檢測(cè)程序來(lái)保障代碼符合安全規(guī)范是一種比較簡(jiǎn)單方便的解決方法。當(dāng)然，軟件也是通過(guò)人為規(guī)定的規(guī)則來(lái)進(jìn)行代碼的安全檢測(cè)，所以開(kāi)發(fā)者仍然需要不斷提升自己的安全編碼意識(shí)，并結(jié)合檢測(cè)程序不斷地修正程序，從而保證應(yīng)用程序的安全性及可靠性。

從網(wǎng)絡(luò)管理員角度來(lái)說(shuō)，漏洞被用來(lái)發(fā)動(dòng)攻擊是無(wú)法避免的，如何減少它帶來(lái)危害成為了網(wǎng)管員們需要思考的問(wèn)題。從IDS到IPS的轉(zhuǎn)變可以看出，安全從業(yè)人員的理念也在發(fā)生著改變，即從基于特征碼的檢測(cè)轉(zhuǎn)變?yōu)榛谔卣餍袨橐?guī)則的主動(dòng)防御。對(duì)于惡意網(wǎng)站或者釣魚(yú)網(wǎng)站來(lái)說(shuō)，行為分析更關(guān)心它要做的事而不是它是哪一類(lèi)流量。因?yàn)榇蟛糠謵阂怄溄颖澈蟮哪康亩际悄抉R植入和個(gè)人信息竊取。凡是符合這類(lèi)行為的動(dòng)作，都會(huì)被屏蔽。對(duì)于惡意地泛洪攻擊來(lái)說(shuō)，比如DDoS、HTTP GET Flood，SYN Flood等，網(wǎng)管員則需要流量特征判斷攻擊類(lèi)型，決定是否有必要通過(guò)流量清洗將攻擊流量和正常請(qǐng)求流量分開(kāi)，比如使用異常流量清洗設(shè)備，將攻擊流量牽引到遠(yuǎn)離攻擊目標(biāo)的地方。

在如今這樣復(fù)雜多變的互聯(lián)網(wǎng)環(huán)境中，網(wǎng)絡(luò)管理者和程序設(shè)計(jì)者都不能將希望寄托于發(fā)現(xiàn)漏洞就打補(bǔ)丁這一被動(dòng)的理念，更不能讓用戶(hù)為上游廠商的錯(cuò)誤買(mǎi)單。共同提升安全意識(shí)，規(guī)范安全編碼已經(jīng)成為重中之重，不能再被忽視。