安全漏洞的另一面

安全漏洞引发的各种互联网攻击已经不是新鲜话题，但很少有人知道，许多公司在利用漏洞赚钱

编者按：说到安全漏洞，在当今社会其敏感程度绝对不亚于金钱。几乎所有的系统安全问题都来自安全漏洞。赛门铁克每半年一次都要对全球的互联网面临的安全威胁进行一次报告，几乎每次，安全漏洞问题都是其报告的重点内容。本文则从另一个角度探讨漏洞被利用的方式。

其实，目前所爆发出的安全漏洞绝大多数来自大型企业，至于那些小型企业所爆出的安全漏洞，事实上也是多不胜数，只是没有“好事”之人对之统计罢了。大型企业之所以爆出的安全漏洞要比其他企业多，大多数情况下印证了这句话――树大招风。

众所周知，在面对所爆出的安全漏洞时，厂商通常采取的都是修复措施。然而，随着互联网经济的飞速发展，以往的修补措施已不能从根本上解决问题。毋庸置疑，解决网络安全问题，必须未雨绸缪，坚持技术与管理并举发展。从技术上，要在以往的分散封堵已发现的安全漏洞为目的的研究基础上，把网络与信息安全视为一个整体，

从各个方面开展大力度的研究。

网站依靠安全漏洞发展？

曾经有人戏言称，安全漏洞在没有被众多的网民滥用之前，其实并没有带来多大影响和危害，也并不会让人们联想到其他。但是，一旦安全漏洞被滥用，整个局面将会被扭转过来，至于会出现怎样混乱的局面，到目前为止，安全专家都还没有得出一致的答案。就在前段时间，众多安全专家聚在一起，分析安全漏洞的发展趋势，其中也谈到安全漏洞被滥用这一主题，而由于滥用现象目前还没有大规模发现，所以专家并没有预测到其具体的危害程度。

但即便这样，他们还是表示出对安全漏洞被滥用这一事件的恐惧，并表示结果将不堪设想。这次讨论还谈到网站与安全漏洞在今后的关系，并表示在以后的时间内，网站的发展和赢利将在很大程度上依靠安全漏洞。这话一听上去，或许会让人感觉有些别扭。因为网站和安全漏洞之间除了“仇”以外，根本就没有“亲”的成分存在，然而这两者怎么会扯在一起呢？

在了解这个之前，我们不妨先看一个真实的事例。

有一个定时向订阅者提供信息的运动网站，当体育比赛的分数有了变化，或是有重大事情发生时，网站会及时弹出一个窗口来通知用户。而用户在得到自己想要的体育信息时也可以将浏览器最小化，而后忙其他的事情。但如果比赛中有非常重要事情发生时，它就会自动弹出一个警告窗口。

想必这样一说，大伙都明白了八九分，那就是这些网站利用了网络浏览器的安全漏洞，然后制作出弹出式广告并以此赢利。然而这其中也有重大的风险因素存在，即所有程序都是在不严格的安全设置标准上开发的。毕竟，去掉一项不安全的性能非常简单，但要是去掉一项人们习以为常的性能或许就不那么容易了。另外，众多的安全专家都表示，在他们参与的安全研究过程中，绝大部分时间都花费在减轻安全漏洞给其带来的麻烦上（在不影响现有客户基础上）。

安全漏洞让很多的网站钻了空子，但是Windows XP SP2的出现打乱了网站一直以来的“安全操作方式”。因为Windows XP SP2使得窗口弹出位置的规则变得更加严格，所以弹出窗口再也不能出现在浏览器外边了，这也避免了弹出窗口挡住浏览器内容（比如状态栏、地址栏或安全对话框）的情况发生，也使得伪装成系统对话框的弹出程序很难出现。也正是因为Windows XP SP2的出现，破坏了许多网络公司的生意。

然而，一些拥有内部网站的公司则依靠无定位限制的弹出窗口。毫无疑问，这些公司会对这种打着安全口号而做出的变动有所抱怨。应该说绝大多数安全变动会导致人们的不习惯，可以为这些客户在不安全的行为中加一个“安全阀”。如果要解决弹出式广告的问题，网络用户可以将受影响的网站加到信任站点区，并激活“允许脚本初始化窗口没有大小和位置限制”选项。但这只是权宜之计，如果再次触发安全漏洞，该网站肯定会面临很大的风险。网络安全专家表示，我们要真正解决问题就必须学会不依靠安全漏洞去赢利。

但是，无论是安全专家，还是网络厂商，他们所代表的都只是一方的观点，我们要客观地看待问题时就不能以点代面。说不定到一定时候，网络用户习惯了这个突如其来的弹出式广告，并认为这是合情合理的事，到时候，网络的发展和壮大说不定真的要在很大程度上依靠安全漏洞。

谁能利用漏洞获益？

国际上的研究员Andrew Clover和Eric Howes都曾经撰文认为，通过安全漏洞安装的非法软件数量在不断增加，这是一些人利用漏洞直接赚取经济利益的方式。

这个问题到底有多严重呢？访问一个网站，会有多少垃圾软件将自动安装在用户的电脑上呢？我们做了一个测试，先访问一个会利用安全漏洞的网页，然后记录下浏览该网站的过程中电脑所安装的程序。在测试的过程中，电脑几乎停顿，因为至少安装了16种软件程序，其中没有一个程序在安装的时候向用户显示许可或其他安装提示信息。如果电脑系统有信息提示的话，一般人肯定不会同意在电脑上安装这些程序。

在测试中，下列程序利用某些软件的安全漏洞安装在了电脑中：180solutions、BlazeFind、BookedSpace、CashBack by BargainBuddy、ClickSpring、CoolWebSearch、DyFuca、Hoost、IBIS Toolbar、ISTbar、Power Scan、SideFind、TIB Browser、WebRebates 、WinAD和WindUpdates。所有这些程序都由Ad-Aware监测到的。我们有理由相信还有许多其他的程序也进行了安装，只不过没有被Ad-Aware监测到而已。

安装非法软件的表现还包括一些非法工具栏、新的桌面图标（包括色情图标）、桌面墙纸（如“警告！你的电脑在危险中！”你的所有操作将永远保存在硬盘中……它们将打破你生活的平静！）、弹出广告、无法找到主页或无法找到网页的错误情况下出现的非标准错误网页、无请求的HOSTS文件添加、新的浏览器主页和浏览器信任站点区中新增的站点。

我也曾进行过其他类似的测试。在上面提到的安装视频和截图中没有显示，但在其他测试中安装的非法程序有：Ebates Moe Money Maker、EliteToolBar、XXXtoolbar和Your Site Bar。

其中，180solutions软件利用安全漏洞进行安装尤其应该引起注意，其“隐私保证”声称180软件“基于用户许可”安装，并且“只能在用户同意的情况下下载”，但这些声明都是虚假的，因为安装不仅在安装视频中有显示，而且我个人也发现过。不仅如此，当180软件安装到非标准目录下时（如C:\Windows 目录下，而不是Program Files 中指定的文件夹），或以非标准的文件名（如sais.exe，而不是与180的公司名称或产品名称相关的文件名）安装时，其“无隐藏”的声明也是虚假的。

在这些非法安装的软件中，尤其值得注意的是，这些家伙可不是免费工作的，正相反，他们从那些非法软件的制造商处获得报酬，而报酬又通常以安装次数计算，例如，180软件为每次安装支付0.07美元。通过浏览网络日志，我们发现了与这些非法安装有关的“合作者”的ID。如果安装者想得到报酬，他们必须向非法程序的制造者提供明确的支付信息，比如地址、银行账户等等。因此想追踪到这些非法安装背后的操作者应该是非常简单的，只要跟踪钱这条线索就可以了。

链接:全球漏洞发展趋势

1． 全球系统漏洞总数在持续增加

2005下半年新漏洞总数量比2005上半年增长了1%，与2004年下半年相比增长了1%，与2004年下半年相比增长34%。2005下半年发现的新漏洞数量是历次以来的最高记录。

2．Web应用软件漏洞增加

2005年下半年，在所有新发现的漏洞中，Web应用软件的漏洞占69%，比前期增加了15%。

3．网页浏览器漏洞普遍较多

微软IE浏览器有24个漏洞，是目前漏洞最多的Web浏览器，本期漏洞数量与前期相同。

Mozilla系列之火狐（Firefox）浏览器有17个漏洞，漏洞数量排名第2，但相比2005年上半年期间的32个漏洞，本期减少了15个。

4．从发现漏洞到攻击程序出现的时间在不断变化

从2005年7月1日到12月31日，发现漏洞到相关攻击程序所需的时间，从原本的6天延长为本期报告时间的6.8天，与上期相比延长了近1天的时间。

受影响的企业厂商在发现漏洞后，平均需要49天相关的修补程序，较前期的平均64天时间大幅缩短。

5．漏洞被攻击的风险度增加

若把可远程控制的漏洞算在内，则有97%漏洞均被列为中度或高度严重性，而其中84%的漏洞可被远程控控。

所有漏洞中，高达79%的漏洞极易遭受攻击，较2005年上半年增长了5%。

6．漏洞可被购买

自2002年开始，可通过金钱购买获得的漏洞数量逐渐增加。本期报告中，总共发现有54个漏洞可通过售卖方式取得，但较2005年上半年的68个漏洞减少了26%。

（资料来源：赛门铁克第九期《互联网威胁报告》）