眼下的0Day正引發(fā)信息安全新“地震”。看不見的才是最可怕的。
這就是0Day的真正威脅
如果你是一家企業(yè)的網(wǎng)絡(luò)安全主管,企業(yè)外網(wǎng)的安全代碼、腳本分析、環(huán)境配置、維護(hù)補(bǔ)丁已做到無懈可擊,內(nèi)網(wǎng)防火墻、防病毒、入侵檢測、身份認(rèn)證等硬件設(shè)施也齊全完備,從技術(shù)手段來講,似乎沒有什么可擔(dān)心的;但你考慮過你所使用的操作系統(tǒng)、網(wǎng)站平臺或其他第三方應(yīng)用程序,是否存在著某個(gè)不為人知的重大漏洞呢?當(dāng)你發(fā)現(xiàn)你的網(wǎng)絡(luò)已遭入侵,信息已被竊取,查遍所有漏洞數(shù)據(jù)庫和安全補(bǔ)丁資料卻不得其解。這時(shí),你考慮過0Day么?
什么是0Day
0Day的概念最早用于軟件和游戲破解,屬于非盈利性和非商業(yè)化的組織行為,其基本內(nèi)涵是“即時(shí)性”。Warez被許多人誤認(rèn)為是一個(gè)最大的軟件破解組織,而實(shí)際上,Warez如黑客一樣,只是一種行為。0Day也是。當(dāng)時(shí)的0Day是指在正版軟件或游戲發(fā)布的當(dāng)天甚至之前,發(fā)布附帶著序列號或者解密器的破解版,讓使用者可以不用付費(fèi)就能長期使用。因此,雖然Warez和0Dday都是反盜版的重要打擊對象,卻同時(shí)受到免費(fèi)使用者和業(yè)內(nèi)同行的推崇。盡管Warez和0Day的擁護(hù)者對以此而謀利的盜版商不齒,但商業(yè)利益的驅(qū)動(dòng)還是將破解行為的商業(yè)化推到了高峰。而眼下的0Day,正在對信息安全產(chǎn)生越來越嚴(yán)重的威脅。
信息安全意義上的0Day是指在安全補(bǔ)丁發(fā)布前而被了解和掌握的漏洞信息。
2005年12月8日,幾乎影響Windows所有操作系統(tǒng)的WMF漏洞在網(wǎng)上公開,雖然微軟在8天后提前發(fā)布了安全補(bǔ)丁(微軟的慣例是在每月的第一個(gè)周二),但就在這8天內(nèi)出現(xiàn)了二百多個(gè)利用此漏洞的攻擊腳本。漏洞信息的公開加速了軟件生產(chǎn)企業(yè)的安全補(bǔ)丁更新進(jìn)程,減少了惡意程序的危害程度。但如果是不公開的0Day呢?WMF漏洞公開之前,又有多少人已經(jīng)利用了它?是否有很多0Day一直在秘密流傳?例如,給全球網(wǎng)絡(luò)帶來巨大危害的“沖擊波”和“震蕩波”這兩種病毒,如果它們的漏洞信息沒有公開,自然也就沒有這兩種超級病毒的產(chǎn)生。反過來想,有什么理由認(rèn)為眼下不存在類似的有著重大安全隱患的漏洞呢?(Dtlogin遠(yuǎn)程溢出漏洞于2002年被發(fā)現(xiàn),2004年公布。)
看不見的才是最可怕的,這就是0Day的真正威脅。
不可避免的0Day
信息價(jià)值的飛速提升,互聯(lián)網(wǎng)在全球的普及,數(shù)字經(jīng)濟(jì)的廣泛應(yīng)用,這一切都刺激著信息安全市場的不斷擴(kuò)大,軟件破解、口令解密、間諜軟件、木馬病毒全部都從早期的僅做研究和向他人炫耀的目的轉(zhuǎn)化為純商業(yè)利益的運(yùn)作,并迅速地傳播開來,從操作系統(tǒng)到數(shù)據(jù)庫,從應(yīng)用軟件到第三方程序和插件,再到遍布全球的漏洞發(fā)布中心,看看它們當(dāng)中有多少0Day存在?可以毫不夸張的說,在安全補(bǔ)丁程序發(fā)布之前,所有的漏洞信息都是0Day,但是從未發(fā)布過安全補(bǔ)丁的軟件是否就意味著它們當(dāng)中不存在0Day呢?
有人說:“每一個(gè)稍具規(guī)模的應(yīng)用軟件都可能存在0Day。”沒錯(cuò)!從理論上講,漏洞必定存在,只是尚未發(fā)現(xiàn),而彌補(bǔ)措施永遠(yuǎn)滯后而已。
只要用戶方不獨(dú)自開發(fā)操作系統(tǒng)或應(yīng)用程序,或者說只要使用第三方的軟件,0Day的出現(xiàn)就是遲早的事,無論你是使用數(shù)據(jù)庫還是網(wǎng)站管理平臺,無論你是使用媒體播放器還是繪圖工具,即便是專職安全防護(hù)的軟件程序本身,都會(huì)出現(xiàn)安全漏洞,這已是不爭的事實(shí),但最可怕的不是漏洞存在的先天性,而是0Day的不可預(yù)知性。
從開源的角度上來說,Linux更容易比封閉源代碼的Windows存在更多的0Day。那些自以為使用著安全操作系統(tǒng)的人,遲早會(huì)被0Day攻擊弄得啞口無言。而微軟呢?遠(yuǎn)有IIS和IE,近有WMF和Excel,由于其操作系統(tǒng)應(yīng)用的廣泛性,如今已是補(bǔ)丁加補(bǔ)丁,更新再更新,最新操作系統(tǒng)Vista竟然含有幾萬行的問題代碼。尚未發(fā)行,已是滿目瘡痍,誰又能保證微軟的源代碼沒有絲毫泄露呢?
0Day走向何方
越來越多的破解者和黑客們,已經(jīng)把目光從率先發(fā)布漏洞信息的榮譽(yù)感轉(zhuǎn)變到利用這些漏洞而得到的經(jīng)濟(jì)利益上,互聯(lián)網(wǎng)到處充斥著數(shù)以萬計(jì)的充滿入侵激情的腳本小子,更不用說那些以竊取信息為職業(yè)的商業(yè)間諜和情報(bào)人員了。于是,0Day有了市場。
國外兩年前就有了0Day的網(wǎng)上交易,黑客們通過網(wǎng)上報(bào)價(jià)出售手中未公開的漏洞信息,一個(gè)操作系統(tǒng)或數(shù)據(jù)庫的遠(yuǎn)程溢出源碼可以賣到上千美元甚至更高;而國內(nèi)的黑客同行,前不久也在網(wǎng)上建立了一個(gè)專門出售入侵程序號稱中國第一0Day的網(wǎng)站,盡管類似的提供黑客工具的網(wǎng)站很多,但此網(wǎng)站與其它網(wǎng)站的區(qū)別在于0Day的特性十分明顯:價(jià)格較高的攻擊程序的攻擊對象,還沒有相應(yīng)的安全補(bǔ)丁,也就是說這樣的攻擊程序很可能具有一擊必中的效果。這個(gè)網(wǎng)站成立不久便在搜索引擎中消失了,也許已經(jīng)關(guān)閉,也許轉(zhuǎn)入地下。但不管怎樣,0Day帶來的潛在經(jīng)濟(jì)利益不可抹殺,而其將來對信息安全的影響以及危害也絕不能輕視。
軟件上的0Day幾乎不可避免,那硬件呢?硬件是否存在0Day?答案無疑是肯定的。近年來,思科路由器漏洞頻繁出現(xiàn),今年2月,已被曝光的某知名網(wǎng)絡(luò)產(chǎn)品漏洞至今仍未被修復(fù)。對于那些基于IP協(xié)議連接網(wǎng)絡(luò)的路由、網(wǎng)關(guān)、交換機(jī),哪個(gè)電信運(yùn)營商敢百分之百地 保證自己的網(wǎng)絡(luò)設(shè)備萬無一失?(2005年4月11日,全國超過二十個(gè)城市的互聯(lián)網(wǎng)出現(xiàn)群發(fā)性故障;同年7月12日,北京20萬ADSL用戶斷網(wǎng))。
早在兩年前,英特爾的首席技術(shù)官就提出過互聯(lián)網(wǎng)不能承受與日俱增的使用者這一想法,當(dāng)時(shí),被很多人認(rèn)為是無稽之談。今年6月,在美國的商業(yè)圓桌會(huì)議上,包括惠普公司、IBM公司、Sun公司、通用汽車公司、家得寶公司和可口可樂公司等在內(nèi)的160個(gè)企業(yè)代表呼吁政府要對發(fā)生大規(guī)模網(wǎng)絡(luò)故障的可能性做好準(zhǔn)備工作……
當(dāng)今的互聯(lián)網(wǎng),病毒、蠕蟲、僵尸網(wǎng)絡(luò)、間諜軟件、DDoS猶如洪水般泛濫,所有的這一切都或多或少地從0Day走過,可以預(yù)測,在不遠(yuǎn)的將來,互聯(lián)網(wǎng)癱瘓絕不遙遠(yuǎn)。
那么政府管理者、電信運(yùn)營商、安全廠商,還有全世界的互聯(lián)網(wǎng)用戶,面對0Day,我們準(zhǔn)備好了嗎?
![]("http://security.ccidnet.com/col/attachment/2006/7/747929.jpg")
病 毒 故 事
70余用戶被竊30萬巨款
三招防網(wǎng)絡(luò)銀行黑客
近日,某銀行的網(wǎng)上銀行用戶接連被竊巨款,目前已有北京、南京、杭州等十幾個(gè)城市的70余名用戶受害,涉案金額高達(dá)30萬元。
瑞星反病毒專家建議,第一,用戶開設(shè)新賬戶的時(shí)候,應(yīng)該向銀行工作人員詳細(xì)咨詢,不需要網(wǎng)絡(luò)轉(zhuǎn)帳的用戶應(yīng)該禁止銀行卡的相應(yīng)功能。第二,用戶上網(wǎng)的時(shí)候應(yīng)該避免瀏覽不良網(wǎng)站,以免被網(wǎng)站上的病毒所侵害,致使銀行賬戶資料失竊。第三,用戶在使用網(wǎng)上銀行業(yè)務(wù)的時(shí)候,應(yīng)該打開殺毒軟件的實(shí)時(shí)監(jiān)控功能,并使用個(gè)人防火墻。瑞星個(gè)人防火墻使用了“木馬指紋”技術(shù),可以阻止木馬病毒和互聯(lián)網(wǎng)的聯(lián)系,保護(hù)用戶的個(gè)人資料。 (賈和)
病毒假冒工行電子銀行升級
實(shí)時(shí)監(jiān)控助你暢游網(wǎng)絡(luò)
6月27日,一網(wǎng)友在登陸工行網(wǎng)上個(gè)人銀行時(shí),系統(tǒng)突然彈出電子銀行系統(tǒng)正在升級并要求修改密碼的提示,于是他按要求再次輸入登錄和支付密碼。病毒以此誘騙用戶重新輸入密碼,并將竊取到的密碼通過郵件發(fā)送到一個(gè)指定的163信箱。該病毒同時(shí)還會(huì)下載灰鴿子后門病毒,感染灰鴿子的用戶系統(tǒng)將被黑客遠(yuǎn)程完全控制。
據(jù)悉,江民反病毒中心已經(jīng)截獲了該網(wǎng)銀木馬的2個(gè)變種,并于6月27日緊急升級了病毒庫,用戶只需將江民殺毒軟件升級到6月27日病毒庫,即可徹底防殺病毒。江民公司提醒廣大用戶,在進(jìn)行網(wǎng)銀操作時(shí)一定要開啟江民殺毒軟件的實(shí)時(shí)監(jiān)控,并安裝使用“江民密保”的網(wǎng)上銀行密碼保護(hù)功能,以免重要信息被木馬病毒竊取。
