沒錯(cuò),一部分操作系統(tǒng)的安全性確實(shí)并另一部分更出色。舉例來說,OpenBSD系統(tǒng)確實(shí)能夠保護(hù)我們免受攻擊者的侵?jǐn)_。而其它系統(tǒng),尤其是Windows,在安全性方面的名聲實(shí)在有些狼藉——但近幾年來情況已經(jīng)有所好轉(zhuǎn)。除此之外,Linux與Mac OS X都擁有良好的安全聲譽(yù),但近來Mac OS X遭遇嚴(yán)重的SSL跳轉(zhuǎn)安全漏洞,這嚴(yán)重?fù)p害了它在我們心目中的形象。
不過說一千道一萬,真正方興未艾的安全問題并不存在于操作系統(tǒng)之中、而是潛伏在應(yīng)用程序之內(nèi),安全企業(yè)FireEye與Secunia指出。
Secunia發(fā)布報(bào)告稱,2013年當(dāng)中有76%的安全漏洞源自個(gè)人PC平臺上的五十款人氣最高的程序,這些漏洞會給第三方程序帶來后續(xù)威脅。也就是說根據(jù)Secunia的報(bào)告,Windows繼續(xù)成為安全威脅最嚴(yán)重的操作系統(tǒng)。就目前流行程度最高的Windows 7方案來說,人氣高漲的同時(shí)也吸引到了眾多黑客的關(guān)注。再向前看,微軟預(yù)計(jì)XP用戶將由于官方安全支持的中止而面臨所謂“永遠(yuǎn)的零日漏洞”威脅。
Secunia還發(fā)現(xiàn),“與前一年相比,微軟程序在2013年所曝出的安全漏洞呈現(xiàn)顯著增加的趨勢。微軟應(yīng)用程序出現(xiàn)安全問題的比率由前一年的8.4%上升到15.9%。2013年,微軟程序當(dāng)中出現(xiàn)的實(shí)際安全漏洞數(shù)量為192個(gè),相當(dāng)于2012年同一數(shù)字的128.6%。”即使如此,惡意軟件攻擊主體(75.7%)所針對的仍然是第三方應(yīng)用程序。
那么這些攻擊活動(dòng)到底有多嚴(yán)重?根據(jù) FireEye公司的報(bào)告,2012年企業(yè)用戶每三秒鐘就會遭遇一次攻擊。而到2013年,攻擊活動(dòng)的頻率已經(jīng)增加到每1.5秒一次。沒錯(cuò),他們不是在開玩笑。
Secunia公司的一份研究結(jié)果顯示,與大家想象的一樣,網(wǎng)絡(luò)瀏覽器以及其它涉及互聯(lián)網(wǎng)連接的程序?qū)儆诠艋顒?dòng)的主要受害對象。與以往一樣,網(wǎng)絡(luò)瀏覽器幾乎始終受到惡意攻擊。有鑒于此,谷歌與惠普拿出超過三百萬美元來獎(jiǎng)勵(lì)那些能夠在Pwn2Home以及Pwnium安全大會上攻克熱門瀏覽器的黑客。
具體來說,F(xiàn)ireEye在研究中發(fā)現(xiàn)“2013年上半年,Java成為攻擊者們發(fā)掘零日攻擊機(jī)會的主要目標(biāo)。其主要原因之一在于,針對Java進(jìn)行漏洞利用難度要遠(yuǎn)低于大部分其它軟件。作為專門為了預(yù)防不明代碼付諸運(yùn)行的保護(hù)機(jī)制,操作系統(tǒng)攻擊防御方案往往無法在Java漏洞面前正常起效,因?yàn)楣粽咂茐牡膬H僅是Java安全管理器當(dāng)中的一個(gè)‘指針’而已。”
隨著時(shí)間的推移,雖然Java仍然屬于安全問題的重災(zāi)區(qū)、但其重要程度卻在不斷下降。“在2013年下半年期間,F(xiàn)ireEye公司的研究人員發(fā)現(xiàn)針對IE瀏覽器零日漏洞的攻擊活動(dòng)呈現(xiàn)出爆發(fā)性增長,其中一位攻擊者甚至突破了特定得益群體經(jīng)常光顧的某個(gè)重要網(wǎng)站——而這部分訪問者才是最終攻擊目標(biāo)(如果他們的瀏覽器存在同樣的漏洞,那么他們也就同時(shí)成為了受害者)。我們認(rèn)為這些攻擊活動(dòng)的嚴(yán)重程度不容忽視,而且中心讓IE瀏覽器成為2013年當(dāng)中最為高危的零日攻擊載體。”
想聽點(diǎn)好消息?“這部分攻擊活動(dòng)主要針對舊版本IE,例如IE 7.0以及8.0。”
壞消息當(dāng)然也是有的。FireEye公司“還發(fā)現(xiàn)一部分針對較新版本IE瀏覽器的零日攻擊活動(dòng),外加一部分用于繞過地址空間布局隨機(jī)化(簡稱ASLR)以及數(shù)據(jù)執(zhí)行保護(hù)(簡稱DEP)的新型攻擊技術(shù)——其中包括對釋放后使用(簡稱UAF)以及信息泄露漏洞的利用。遺憾的是,這意味著即使是較新版本的IE瀏覽器同樣有可能遭遇攻擊,而且ASLR/DEP等傳統(tǒng)安全保護(hù)手段本身也存在紕漏。”
當(dāng)然,Adobe Acrobat與Flash同樣是吸引攻擊者眼球的好靶子。舉例來說,“最近的兩次攻擊活動(dòng)——一次指向Adobe Flash、另一次則指向Adobe Reader——利用的就是其中的關(guān)鍵性沙箱漏洞。另有一次攻擊利用Windows XP內(nèi)核中的安全漏洞規(guī)避了Adobe Reader的沙箱機(jī)制。第四個(gè)案例則將Flash案例漏洞嵌入到了微軟Office文件當(dāng)中,從而一口氣繞開了沙箱機(jī)制——但其影響范圍僅限于使用Office 2008的用戶。”
說了這么多沉重的話題,下面來聊聊好的一面。零日攻擊活動(dòng)的普遍性正在逐步減弱。Secunia公司發(fā)現(xiàn)“在整體產(chǎn)品當(dāng)中,78.6%的安全漏洞都會以每天一個(gè)補(bǔ)丁的速度被逐步修復(fù);而在使用頻率最高的五十款軟件產(chǎn)品當(dāng)中,這一修復(fù)比例更是高達(dá)86.1%。這意味著隨著時(shí)間的推移軟件安全性將日益改善,特別是相較于過去五年的情況而言——其中修復(fù)率最低的一年僅為61.6%。對于這種持續(xù)向好的安全形勢,最合適的解釋可能是研究人員開始不斷將其安全漏洞報(bào)告與軟件供應(yīng)商進(jìn)行共享,從而保證大多數(shù)情況下相關(guān)問題都能立刻得到解決。”
當(dāng)然,如果大家不盡快為程序安裝更新補(bǔ)丁的話,情況就沒這么樂觀了??傊?,如果大家保證自己的軟件始終保持在最新狀態(tài),那么當(dāng)下的互聯(lián)網(wǎng)安全性還是可以令人放心的。不過請務(wù)必注意這個(gè)重要前提——讓軟件保持在最終狀態(tài)。