近日，微軟IE被爆出新的零日漏洞，此漏洞涉及IE 7-IE 9全部產(chǎn)品。據(jù)統(tǒng)計，微軟IE瀏覽器的用戶量超過3.5億。與此同時，還有很多廠商的瀏覽器也基于IE內(nèi)核，從而使用IE內(nèi)核的用戶可能會達(dá)到6億用戶。一個威脅6億用戶的IE零日漏洞被黑客成功利用，它帶來的是一望無際的盜號病毒。

無獨有偶，IEEE（國際電氣與電子工程師協(xié)會）將近10萬名會員包括密碼在內(nèi)的隱私信息被意外曝光。作為一個會員包括蘋果、Google、IBM等大公司員工的全球最大的軟件工程師專業(yè)組織，這種情況的發(fā)生是相當(dāng)糟糕的，更是愚蠢的。當(dāng)然，與信息泄露相比，IEEE使用明文存儲用戶名和密碼的行為所帶來的麻煩則更大。

“小心駛得萬年船”

筆者從“烏云”網(wǎng)了解到，在9月28日最新發(fā)布的9個漏洞中，有5個漏洞為設(shè)計/邏輯錯誤導(dǎo)致的信息泄露。包括有道云筆記Windows客戶端內(nèi)存明文存儲鎖定密碼，Android手機(jī)遠(yuǎn)程擦除漏洞以及139郵箱發(fā)件時間可以修改等等漏洞。有道云筆記的漏洞在有道詞典中也同樣有效。這就導(dǎo)致了很嚴(yán)重的問題，比如在云筆記中可以查看其他用戶的筆記，上傳的資料。通過有道詞典的注冊郵箱可以用來“撞庫”，因為大多數(shù)用戶都用少數(shù)幾個郵箱注冊很多的網(wǎng)站。這樣黑客就可以破解用戶在不同網(wǎng)站注冊的賬戶。

然而，再大的風(fēng)險都是由人造成的，所有的安全問題都可以說是人的問題。比如PHP語言的0字節(jié)截斷漏洞，其實是由程序員不規(guī)范，不安全的編程習(xí)慣導(dǎo)致的。舉個貼近普通用戶的例子，黑客在攻陷一臺電腦之前并不能強(qiáng)迫機(jī)主做任何高風(fēng)險的事，比如點擊一個鏈接，而鏈接背后的網(wǎng)站已經(jīng)被黑客通過漏洞植入惡意程式。既然不能強(qiáng)迫計算機(jī)使用者去點擊惡意鏈接，那么黑客只能通過復(fù)雜多樣的釣魚模式來引誘使用者一步步落入他們的陷阱中。所有的終端用戶都需要有一面護(hù)盾來保護(hù)計算機(jī)安全和個人的私隱。所以在小心留意“釣魚”的同時，軟件防御系統(tǒng)也是必不可少的。

安全不是一勞永逸的

但是，當(dāng)今沒有任何一套安全解決方案可以完全由機(jī)器自主完成。要保證計算機(jī)系統(tǒng)的安全，就要把人的行為和計算機(jī)的防護(hù)相結(jié)合。自互聯(lián)網(wǎng)誕生伊始，攻防兩端的較量就從未停止過，而攻擊和防御技術(shù)也在不停歇的較量中不斷變化、發(fā)展著?；跊]有任何一個系統(tǒng)是完美的這一定論，攻擊者從不同的角度和層面尋找系統(tǒng)的安全漏洞。雖然古語有云：以不變應(yīng)萬變，但是對于安全人員甚至是普通的計算機(jī)使用者來說，將自己的防范意識與時俱進(jìn)是很必要的，不能認(rèn)為有“萬金油”可以讓人高枕無憂，一勞永逸，免除計算機(jī)漏洞和病毒的威脅。

安全廠商提供的防御系統(tǒng)總是有局限的，更不可能有所謂的“完美”防御。用戶需要從自身角度提升對安全問題的意識，了解常用的釣魚和攻擊方式，再配合一些軟件防御系統(tǒng)，比如入侵檢測/入侵防護(hù)套裝來保障個人隱私信息的安全。

雙管齊下減輕漏洞危害

當(dāng)然，只要是人設(shè)計的系統(tǒng)就一定會有漏洞，自然也會被發(fā)現(xiàn)，并且很多漏洞都被利用為不法牟利的手段。從人的角度來看，漏洞與誤差類似，不可以被避免，但可以通過各種手段減小它的影響。比如代碼安全檢測和操作行為分析。

NIST的報告顯示，超過90%的安全漏洞是應(yīng)用層漏洞。因此，應(yīng)用程序的安全成為了開發(fā)者們必須要面對的問題。通過在開發(fā)周期中使用代碼安全檢測程序來保障代碼符合安全規(guī)范是一種比較簡單方便的解決方法。當(dāng)然，軟件也是通過人為規(guī)定的規(guī)則來進(jìn)行代碼的安全檢測，所以開發(fā)者仍然需要不斷提升自己的安全編碼意識，并結(jié)合檢測程序不斷地修正程序，從而保證應(yīng)用程序的安全性及可靠性。

從網(wǎng)絡(luò)管理員角度來說，漏洞被用來發(fā)動攻擊是無法避免的，如何減少它帶來危害成為了網(wǎng)管員們需要思考的問題。從IDS到IPS的轉(zhuǎn)變可以看出，安全從業(yè)人員的理念也在發(fā)生著改變，即從基于特征碼的檢測轉(zhuǎn)變?yōu)榛谔卣餍袨橐?guī)則的主動防御。對于惡意網(wǎng)站或者釣魚網(wǎng)站來說，行為分析更關(guān)心它要做的事而不是它是哪一類流量。因為大部分惡意鏈接背后的目的都是木馬植入和個人信息竊取。凡是符合這類行為的動作，都會被屏蔽。對于惡意地泛洪攻擊來說，比如DDoS、HTTP GET Flood，SYN Flood等，網(wǎng)管員則需要流量特征判斷攻擊類型，決定是否有必要通過流量清洗將攻擊流量和正常請求流量分開，比如使用異常流量清洗設(shè)備，將攻擊流量牽引到遠(yuǎn)離攻擊目標(biāo)的地方。

在如今這樣復(fù)雜多變的互聯(lián)網(wǎng)環(huán)境中，網(wǎng)絡(luò)管理者和程序設(shè)計者都不能將希望寄托于發(fā)現(xiàn)漏洞就打補丁這一被動的理念，更不能讓用戶為上游廠商的錯誤買單。共同提升安全意識，規(guī)范安全編碼已經(jīng)成為重中之重，不能再被忽視。