安全漏洞穿透用户桌面
2009年2月,微软发布了广受关注deMS09-002安全漏洞公告,并随之马上提供了针对该漏洞de更新补丁。当访问者使用IE 7浏览器访问特定规格de网页时,MS09-002漏洞会允许远程恶意代码执行,从而破坏访问者de计算机系统。这一问题de典型性在于,面向浏览器de恶意攻击已经成为过去一年当中增长最为迅猛de一类桌面安全威胁。同时,在该威胁发布后de,各大防病毒产品厂商都截获了大量基于该漏洞de攻击。甚至一些以前流行过de恶意软件,都开始集成针对MS09-002de攻击机制生成新变种,试图卷土重来。
其它近期值得关注de安全漏洞
在MS09-002漏洞发布之前,还有一些值得关注de针对浏览器de安全漏洞。比如去年年底出现de微软0day漏洞,其影响de浏览器版本比MS09-002还要广泛。而目前最新爆出deAdobe安全漏洞,则利用了PDF文档中嵌入de可执行浏览器脚本,将会引起非常广泛de安全影响。
安全爆炸点de轮回
整个2008年当中,桌面安全de最主要问题集中于木马下载器等等以Web访问为载体de病毒程序。据不完全统计,在过去de三年间,基于Webde病毒程序每年都保持着至少翻一番de增长水平。而2008年作为病毒大爆发de一年,所出现de超过一千万种新病毒中,有超过百分之二十都是下载器程序。其实下载器程序并不是一个新鲜产物,在很早之前就有使用这类机制de恶意计算机程序存在。但是之所以在近年来变得如此繁荣,核心de原因还在于桌面安全攻防两大阵营de角力,所带来de整个安全环境de变化。作为最古老也是最基本de互联网应用,网页访问无疑拥有最庞大de用户群体和最高de使用频率。但是随着浏览器软件de功能不断丰富、家族成员不断增长,反而成为在安全防护上相对薄弱de一环。与电子邮件、即时通讯等主流互联网应用相比,网页访问保护工具虽然数量不少,但在深度和精度上却难以匹敌其它专项工具。由于网页访问表面de简单性,反而掩盖了用户误用行为所带来de危害,以及纷繁de技术功能所带来de安全隐患。
浏览器上de安全风险
提供更丰富de功能,在Web页面中使用了越来越多de客户端脚本和组件技术。这一方面带来了更好de功能和用户体验,同时也使用户在使用浏览器软件时要面对更多de安全问题。木秀玉林,风必摧之,JavaScript客户端脚本技术已经成为事实标准上de标准,自然也是被恶意软件利用de主要对象。由于JavaScript对操作系统de使用范围和权限受到了较为严格de限制,所以很难利用其直接进行破坏。但是下载器程序往往利用JavaScript到互联网上下载实际de攻击代码。ActiveX作为浏览器软件与其它平台进行交互de重要技术,也有着悠久de安全问题历史。由于具有比浏览器脚本更强de系统操纵能力,基于ActiveX组件de病毒程序往往更具破坏力,而且可以直接对操作系统展开攻击。很多企业级de软件系统将ActiveX组件作为实现客户端功能de核心技术,使安全保护体系de搭建变得更加复杂。除此之外,利用Windows Script HostdeVBScript以及目前已经较少使用deJava Applet小程序等等,都可以基于浏览器开展破坏活动。同样值得关注de是,作为桌面计算机上最常用de应用程序,浏览器现在与操作系统de结合越来越紧密。除了与Windows操作系统紧密集成deIE浏览器之外,其它de浏览器同样也利用很多操作系统de底层组件来提升自身de功能价值。这也是为什么利用浏览器问题de安全攻击可以如此具有破坏力de重要原因,很多漏洞允许攻击代码可以直接破坏或利用操作系统核心。特别对于那些厂商尚未发布更新补丁de0day攻击来说,桌面计算机将完全暴露在攻击之下几无还手之力,这也是目前云安全技术被寄予厚望de原因。趋势科技在截获微软浏览器de0day攻击漏洞时只花了几分钟时间,这给漏洞补丁de及时发布提供了良好de前提。而几乎已经成为标准功能de基于云设施deWeb地址过滤,则可以有效地防止用户访问那些带有安全威胁de网站,这样即使计算机在存在漏洞de情况下也有更大de几率在面对攻击时生存。
互联网入口de安全变革
依赖,对于浏览器这个最重要de互联网访问入口,用户主要依赖于安全厂商提供de软件产品来获得安全保护。不过可以看到,浏览器厂商们也在不断补充自身产品de安全特性,这可以给用户带来层次更丰富de保护。对于各种利用客户端脚本de安全攻击,特别是利用ActiveX这样可能直接实现安全攻击de恶意程序,浏览器产品以及操作系统本身de安全机制往往显得更加重要。微软在新推出deIE8浏览器当中,会对传统deActiveX控件机制作出调整。在新de浏览器版本中,ActiveX控件de安装将不再需要管理员权限,而使用当前登录用户de权限安装。这样可以实现更符合逻辑de权限分割,一旦当恶意程序利用了ActiveX感染了计算机,也不会轻易de获得管理权限。而且如果一个ActiveX插件不在该机制de白名单中,其操作本地系统de功能将受到很大de限制,这可以很好de缓解利用ActiveX机制破坏操作系统de问题。这一改变de衍生意义在于,用户和厂商都可以更好地对Flex、Silverlight等流行de富客户端访问插件进行控制,从而在一定程度上避免浏览器上不断增加de可执行能力所带来de安全风险。不过,这项改进也存在一些限制,比如目前只有在Vista或更高版本de操作系统中才能使用该机制,而目前占有率还比较高deXP操作系统则无法使用。
以网络钓鱼为代表de各种网络欺诈,也是目前主要de安全威胁之一。浏览器软件正在广泛地集成各种识别欺骗性网址de功能,其中较为典型de当属FireFox。由于提供插件开发机制,用户除了可以使用FireFox自身提供de防网络钓鱼功能,还可以下载很多提供类似功能de插件,从而获得较为适合自己de防欺诈保护。在微软deIE8浏览器当中,还提供了一项独特de功能改进。用户在浏览器de地址栏输入网址之后,IE8会识别网址中de顶级域名部分并将其用高亮de形式显示。虽然这项改进看起来非常de小,但是在实际使用过程中de效果缺出乎意料de有效。这能够明显地提高用户de注意力,从而判别自己是否正确输入了网址。同时,在IE8中提供de增强de安全过滤器,也可以完成对网址de分析。最重要de是,通过设置安全策略,可以将这个安全过滤器de防护等级提高,从而更大限度de屏蔽可疑网址。
上网行为安全袖珍指南
事实上除了注意更新操作系统漏洞和使用有效de安全防护产品等技术手段之外,想提高访问互联网时de安全性,要重点控制上网时de用户行为。注意应用情景是首要de原则,虽然在自己de个人计算机上记忆密码相对比较安全,但是养成不使用记忆密码功能de习惯还是更加稳妥。如果是在公共场合上网,即使没有使用密码记忆,也建议对访问历史进行清除。不要注册帐号时使用相同de信息是另一个好习惯,这样可以避免一点被突破破层层被突破。同时,对于不需要提供真实信息de网络服务,在注册de时候还是应该适当de保留个人信息。
浏览器de明日危机
随着客户端技术de不断发展,越来越多de应用使用浏览器作为访问媒介,包括很多企业级应用。据此分析,浏览器软件de安全功能还会不断增加,新增功能和插件可能会爆出de安全漏洞也会随之增加。由于浏览器de遍布性和应用规范de不统一,希望通过简单de方式获得高安全性是非常困难de。除了各个方面要密切配合之外,在系统层面实现更加强大de安全模型才能够让浏览器获得足够de安全动力。一个好消息是当前de互联网用户群体已经在使用习惯和警惕性上有了很大提升,不过还需要在系统平台上更好de固化和管理用户上网行为。即将发布deWindows 7等新系统平台,将带给我们新一轮答案。