近日，微軟IE被爆出新的零日漏洞，此漏洞涉及IE 7-IE 9全部產(chǎn)品。據(jù)統(tǒng)計，微軟IE瀏覽器的用戶量超過3.5億。與此同時，還有很多廠商的瀏覽器也基于IE內(nèi)核，從而使用IE內(nèi)核的用戶可能會達到6億用戶。一個威脅6億用戶的IE零日漏洞被黑客成功利用，它帶來的是一望無際的盜號病毒。

無獨有偶，IEEE（國際電氣與電子工程師協(xié)會）將近10萬名會員包括密碼在內(nèi)的隱私信息被意外曝光。作為一個會員包括蘋果、Google、IBM等大公司員工的全球最大的軟件工程師專業(yè)組織，這種情況的發(fā)生是相當糟糕的，更是愚蠢的。當然，與信息泄露相比，IEEE使用明文存儲用戶名和密碼的行為所帶來的麻煩則更大。

“小心駛得萬年船”

筆者從“烏云”網(wǎng)了解到，在9月28日最新發(fā)布的9個漏洞中，有5個漏洞為設計/邏輯錯誤導致的信息泄露。包括有道云筆記Windows客戶端內(nèi)存明文存儲鎖定密碼，Android手機遠程擦除漏洞以及139郵箱發(fā)件時間可以修改等等漏洞。有道云筆記的漏洞在有道詞典中也同樣有效。這就導致了很嚴重的問題，比如在云筆記中可以查看其他用戶的筆記，上傳的資料。通過有道詞典的注冊郵箱可以用來“撞庫”，因為大多數(shù)用戶都用少數(shù)幾個郵箱注冊很多的網(wǎng)站。這樣黑客就可以破解用戶在不同網(wǎng)站注冊的賬戶。

然而，再大的風險都是由人造成的，所有的安全問題都可以說是人的問題。比如PHP語言的0字節(jié)截斷漏洞，其實是由程序員不規(guī)范，不安全的編程習慣導致的。舉個貼近普通用戶的例子，黑客在攻陷一臺電腦之前并不能強迫機主做任何高風險的事，比如點擊一個鏈接，而鏈接背后的網(wǎng)站已經(jīng)被黑客通過漏洞植入惡意程式。既然不能強迫計算機使用者去點擊惡意鏈接，那么黑客只能通過復雜多樣的釣魚模式來引誘使用者一步步落入他們的陷阱中。所有的終端用戶都需要有一面護盾來保護計算機安全和個人的私隱。所以在小心留意“釣魚”的同時，軟件防御系統(tǒng)也是必不可少的。

安全不是一勞永逸的

但是，當今沒有任何一套安全解決方案可以完全由機器自主完成。要保證計算機系統(tǒng)的安全，就要把人的行為和計算機的防護相結(jié)合。自互聯(lián)網(wǎng)誕生伊始，攻防兩端的較量就從未停止過，而攻擊和防御技術(shù)也在不停歇的較量中不斷變化、發(fā)展著?；跊]有任何一個系統(tǒng)是完美的這一定論，攻擊者從不同的角度和層面尋找系統(tǒng)的安全漏洞。雖然古語有云：以不變應萬變，但是對于安全人員甚至是普通的計算機使用者來說，將自己的防范意識與時俱進是很必要的，不能認為有“萬金油”可以讓人高枕無憂，一勞永逸，免除計算機漏洞和病毒的威脅。

安全廠商提供的防御系統(tǒng)總是有局限的，更不可能有所謂的“完美”防御。用戶需要從自身角度提升對安全問題的意識，了解常用的釣魚和攻擊方式，再配合一些軟件防御系統(tǒng)，比如入侵檢測/入侵防護套裝來保障個人隱私信息的安全。

雙管齊下減輕漏洞危害

當然，只要是人設計的系統(tǒng)就一定會有漏洞，自然也會被發(fā)現(xiàn)，并且很多漏洞都被利用為不法牟利的手段。從人的角度來看，漏洞與誤差類似，不可以被避免，但可以通過各種手段減小它的影響。比如代碼安全檢測和操作行為分析。

NIST的報告顯示，超過90%的安全漏洞是應用層漏洞。因此，應用程序的安全成為了開發(fā)者們必須要面對的問題。通過在開發(fā)周期中使用代碼安全檢測程序來保障代碼符合安全規(guī)范是一種比較簡單方便的解決方法。當然，軟件也是通過人為規(guī)定的規(guī)則來進行代碼的安全檢測，所以開發(fā)者仍然需要不斷提升自己的安全編碼意識，并結(jié)合檢測程序不斷地修正程序，從而保證應用程序的安全性及可靠性。

從網(wǎng)絡管理員角度來說，漏洞被用來發(fā)動攻擊是無法避免的，如何減少它帶來危害成為了網(wǎng)管員們需要思考的問題。從IDS到IPS的轉(zhuǎn)變可以看出，安全從業(yè)人員的理念也在發(fā)生著改變，即從基于特征碼的檢測轉(zhuǎn)變?yōu)榛谔卣餍袨橐?guī)則的主動防御。對于惡意網(wǎng)站或者釣魚網(wǎng)站來說，行為分析更關(guān)心它要做的事而不是它是哪一類流量。因為大部分惡意鏈接背后的目的都是木馬植入和個人信息竊取。凡是符合這類行為的動作，都會被屏蔽。對于惡意地泛洪攻擊來說，比如DDoS、HTTP GET Flood，SYN Flood等，網(wǎng)管員則需要流量特征判斷攻擊類型，決定是否有必要通過流量清洗將攻擊流量和正常請求流量分開，比如使用異常流量清洗設備，將攻擊流量牽引到遠離攻擊目標的地方。

在如今這樣復雜多變的互聯(lián)網(wǎng)環(huán)境中，網(wǎng)絡管理者和程序設計者都不能將希望寄托于發(fā)現(xiàn)漏洞就打補丁這一被動的理念，更不能讓用戶為上游廠商的錯誤買單。共同提升安全意識，規(guī)范安全編碼已經(jīng)成為重中之重，不能再被忽視。