坦言。
操作系统非罪魁祸首
谈及操作系统的安全性,微软的Windows操作系统可谓饱受质疑。
2008年10月24日微软系统爆出的年度最大安全漏洞 (Microsoft 安全公告 MS08-067)让人记忆犹新。该问题涉及Windows2000/XP/Vista等桌面操作系统的绝大多数版本。借此漏洞,黑客可发动大规模远程攻击,实际效果可与“冲击波”、“震荡波”等病毒类似。微软当即也紧急发布了安全更新。据了解,因此漏洞存在于操作系统的远程过程调用模块(RPC),如用户的电脑收到了特制的RPC请求,则攻击者可绕过系统认证远程运行任意代码,很可能造成大规模蠕虫攻击。
本刊记者发现,依照微软的每月补丁周期(通常在每月第二周周二发布安全补丁)来看,今年3月份至5月份的安全公告数分别为3个、8个、1个,按照微软安全漏洞四级标准划分,严重级别的过半。
微软在“尽自己所能在安全方面做出努力”,也及时地发布安全漏洞公告和补丁,但绝大多数电脑用户对这位桌面霸主的举动并不领情,“出了任何事情第一反应就是微软系统不安全”一位媒体同行如是说。甚至连安全厂商卡巴斯基实验室创始人尤金·卡巴斯基都如此断言:目前的电脑操作系统整体设计含有不安全的因素,使得恶意软件侵入操作系统变得非常容易。
“其实微软也是受害者。” 微软大中华区战略安全架构师裔云天感慨地说。分析人士指出,其实每个软件都有漏洞,有些是要在使用过程中才能被发现,故有“补丁”一说。而操作系统因其使用人群范围广泛,即便不提开发时潜在的漏洞,黑客为攻击计算机也会不停寻找系统漏洞,以期乘虚而入。微软报告也表明,从2004年开始到2007年,操作系统的安全漏洞正在逐年下降,从12%降至6%。
裔云天告诉《IT时代周刊》,“如果网络攻击是针对某款软件本身漏洞的,那么防火墙和杀毒软件都是无效的”,在他看来“其实防火墙和杀毒软件只能抵御一般攻击”,因为很多软件是特定的应用,防火墙并不能判别针对特定应用的攻击是采用哪一种。频频出现的安全厂商“误杀误报”事件恰巧也印证了微软的这个说法。
既然防火墙和安全软件都不完全“靠谱”,操作系统也非罪魁祸首,黑客是从哪里乘虚而入的呢?
“祸起”第三方软件
一份来自IBM安全组织的报告指出,前5大IT厂商,包括微软、IBM、思科、Oracle和Apple,总共的系统漏洞只占了所有漏洞的14%,而其他中小厂商出品的应用软件则占了86%。应用软件的安全性着实堪忧!
“因为第三方软件在开发过程中只考虑功能本身,并没有把安全考虑进去,所以漏洞百出。”裔云天直言不讳。他指出,之所以漏洞百出还有客观的外在因素,中国很多中小型软件开发商,本身生存就非常困难,也很难将自己的开发人员输出进行安全培训,且国内也很少有开发方面的安全培训。
事实也确如此,对大多数软件厂商而言,最大目的就是完成所开发软件的功能,其开发人员也没有安全方面的培训,即只是开发软件功能,而不是开发一个安全的软件。比如ERP财务软件,设计之初,鲜有开发者会考虑到,当输入一个字串时,它是不是要检查是否有效,如百分比等等,因为黑客会对这个进行攻击;还有对输入长度进行检查,许多开发者并不会考虑这点,所以当他调用时就会产生安全隐患,但他并不知情。
前文微软报告还显示,在基于浏览器漏洞的攻击中,使用中文简体版本浏览器的用户位列被攻击对象的第二位,占25.6%;从2008年下半年开始,每月被Live Search检测到的挂马网页数量超过一百万,.CN 域名网站中有超过1%的网站被挂马。且冒牌安全软件呈现爆发趋势。所谓冒牌安全软件,是指在木马病毒盛行的情况下,用户会自主搜索一些免费的“安全软件”,而此时搜索引擎所列厂商很多都是伪装的安9
7
3
1
2
3
4
8
: