提高安全意识 提防“瞬时攻击”（下）

微软的产品或许是最普遍的零时差攻击目标了，不过其它的常用软件也同样面临着受到攻击的危险。一月份研究人员公布了QuickTime播放程序里的一个漏洞， QuickTime在处理流媒体视频文件时可能让攻击者入侵并控制受害者的电脑。2006年11月份Adobe ActiveX浏览器控件的一个漏洞也会导致受害者电脑被黑客控制。

　　零时差攻击事件的涌现折射出每年公布的软件漏洞数目在不断地上升。2006年软件开发者与研究人员发现了7247个软件漏洞，比起2005年多了整整39%。

　　但是，这些bug中的大多数不会被黑客利用并发起零时差攻击。软件公司经常收到用户反映的bug和程序崩溃的报告，并从中找到安全漏洞，然后在黑客利用这些漏洞发起攻击前就进行修复。如果其它安全专家发现了一个漏洞，他们(总之，大多数会是这样)会按照一套行业惯例――被称作“有道德地透露”――来处理，这套惯例是特别设计用来规避零时差攻击的。

　　但有时候研究人员对于软件开发商调查的进度过慢而感到不满，就会在漏洞被解决之前将问题告知给大众。部分安全专家认为这种策略虽然有些不妥但能促使顽固的开发商立即发布修补程序，有些专家则谴责这种行为，认为这么做违背了行业惯例。

　　拥护这种行为的人们争辩说如果研究人员发现了漏洞，那么黑客们有可能也发现了。聪明的黑客会小范围、有目标地发起攻击，以避免引起生产商的注意而发布修补程序。不幸的是，大多数情况下，公布漏洞都会促成大规模的零时差攻击。

　　包括微软在内的软件公司通常使用工具软件来寻找自家软件里的漏洞。而黑客们也会这么做。专家们认为东欧那些有组织的网络罪犯，训练有素的中国黑客，还有其它不怀好意的人都会寻找有价值的可以用来发起零时差攻击的漏洞。发现漏洞的人能够用它来发起攻击，或者，与上面提到的WMF文件漏洞一样，可以把漏洞信息拿到黑市去索价出售。

　　如果软件开发商能在攻击发生前及时修补好安全漏洞，那么公司的IT人员以及家庭用户都能及时升级电脑，在黑客发起攻击之前就做好保护。但一旦零时差攻击开始了，时钟就开始计时――有时候时钟要走上好一阵，急需的补丁才会发布。

　　在2006年的前半年里，微软的Windows与红帽Linux都是开发补丁最快的收费操作系统，平均只需要13天。但是在升级浏览器方面――尤其是当有零时差攻击已经发生的情况下――微软比苹果、Mozilla和Opera的反应速度都要慢。IE浏览器的补丁在漏洞公布的10天后才会发布，而Opera，Mozilla和Safari浏览器打上补丁的时间，分别只需要两天、三天和五天。

　　Adam Shostack，微软安全开发生命周期小组的一位程序经理，说有时候更短的开发时限只会是设想，他提到微软用户构成的复杂性。

　　“我们必须测试安全升级程序以确保它能兼容于28种不同语言的操作系统，以及每一种支持这个升级程序的操作系统。”Shostack说。“我们真的是在质量与速度中做出取舍与平衡。”

　　安全软件有助于在有效的补丁发布前保护系统不受未知威胁的攻击，传统的反病毒软件依赖于病毒定义文件才能对攻击起到保护作用。启发式与基于行为的病毒分析分析方式依靠运算法则，而不是病毒定义文件，去查找反常的行为或者文件。启发式查毒检查潜在的恶意软件是靠分析文件是否有值得怀疑的行为，比如与内存有关的可疑行为。而另一方面，基于行为的病毒分析，观察程序是否有典型的恶意软件的行为(比如启动Email传播垃圾邮件)，它鉴定程序是否有害是看它们做什么而不是包含什么。

　　现在大多数主流的反病毒软件都拥有一种或者同时拥有这两种分析方式。去年，PC World测试过使用一个月未更新的病毒库成功识别出20%到50%的病毒。不过启发式与基于行为的病毒分析容易引起误报。

　　其它种类的安全产品试着藉由改变用户的电脑环境来抵抗新的未知威胁，并限制着攻击者成功入侵后带来的伤害。网络浏览器与电邮客户端，创建出一个“沙盒”，或者称虚拟的被隔绝的环境。举个例子来说，攻击者也许可以攻破IE浏览器，但安装间谍软件或者进行其它恶意篡改的举动都无法冲破沙盒的阻拦。

　　其它一些程序，除了创建虚拟环境以外，还修改用户帐号的权限，这样程序就无法对系统做出深层的改变。还有些程序，如免费的VMWare 播放器，会安装一个单独的操作系统并拥有它自己的浏览器。被层层保护着的浏览器与你正常的电脑环境是完全隔离开的。

　　Windows Vista引入了一些新的安全特性，但没有人会认为软件漏洞或者零时差攻击会渐渐地销声匿迹。.遗憾的是，充斥着非法数据与垃圾邮件发送者名单的地下黑市将刺激网络罪犯们继续想方设法从恶意软件里获得利益。