0Day飘荡在安全天空的幽灵

http://www.sina.com.cn 2006年07月10日 14:52 中国计算机报

　　【赛迪网讯】眼下的0Day正引发信息安全新“地震”看不见的才是最可怕的

　　这就是0Day的真正威胁

　　如果你是一家企业的网络安全主管，企业外网的安全代码、脚本分析、环境配置、维护补丁已做到无懈可击，内网防火墙、防病毒、入侵检测、身份认证等硬件设施也齐全完

<SCRIPT LANGUAGE="JavaScript1.1" SRC="http://204.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|tech|techPIP&db=sina&local=yes&js=on"></SCRIPT> <NOSCRIPT><A HREF="http://204.adsina.allyes.com/main/adfclick?user=AFP6_for_SINA|tech|techPIP&db=sina"><IMG SRC="http://204.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|tech|techPIP&db=sina" WIDTH=360 HEIGHT=300 BORDER=0></a></NOSCRIPT>

备，从技术手段来讲，似乎没有什么可担心的；但你考虑过你所使用的操作系统、网站平台或其他第三方应用程序，是否存在着某个不为人知的重大漏洞呢？当你发现你的网络已遭入侵，信息已被窃取，查遍所有漏洞数据库和安全补丁资料却不得其解。这时，你考虑过0Day么？

　　什么是0Day

　　0Day的概念最早用于软件和游戏破解，属于非盈利性和非商业化的组织行为，其基本内涵是“即时性”。Warez被许多人误认为是一个最大的软件破解组织，而实际上，Warez如黑客一样，只是一种行为。0Day也是。当时的0Day是指在正版软件或游戏发布的当天甚至之前，发布附带着序列号或者解密器的破解版，让使用者可以不用付费就能长期使用。因此，虽然Warez和0Dday都是反盗版的重要打击对象，却同时受到免费使用者和业内同行的推崇。尽管Warez和0Day的拥护者对以此而谋利的盗版商不齿，但商业利益的驱动还是将破解行为的商业化推到了高峰。而眼下的0Day，正在对信息安全产生越来越严重的威胁。

　　信息安全意义上的0Day是指在安全补丁发布前而被了解和掌握的漏洞信息。

　　2005年12月8日，几乎影响Windows所有

操作系统的WMF漏洞在网上公开，虽然微软在8天后提前发布了安全补丁（微软的惯例是在每月的第一个周二），但就在这8天内出现了二百多个利用此漏洞的攻击脚本。漏洞信息的公开加速了软件生产企业的安全补丁更新进程，减少了恶意程序的危害程度。但如果是不公开的0Day呢？WMF漏洞公开之前，又有多少人已经利用了它？是否有很多0Day一直在秘密流传？例如，给全球网络带来巨大危害的“冲击波”和“震荡波”这两种病毒，如果它们的漏洞信息没有公开，自然也就没有这两种超级病毒的产生。反过来想，有什么理由认为眼下不存在类似的有着重大安全隐患的漏洞呢？（Dtlogin远程溢出漏洞于2002年被发现，2004年公布。）

　　看不见的才是最可怕的，这就是0Day的真正威胁。

　　不可避免的0Day

　　信息价值的飞速提升，互联网在全球的普及，数字经济的广泛应用，这一切都刺激着信息安全市场的不断扩大，软件破解、口令解密、间谍软件、木马病毒全部都从早期的仅做研究和向他人炫耀的目的转化为纯商业利益的运作，并迅速地传播开来，从操作系统到数据库，从应用软件到第三方程序和插件，再到遍布全球的漏洞发布中心，看看它们当中有多少0Day存在？可以毫不夸张的说，在安全补丁程序发布之前，所有的漏洞信息都是0Day，但是从未发布过安全补丁的软件是否就意味着它们当中不存在0Day呢？

　　有人说：“每一个稍具规模的应用软件都可能存在0Day。”没错！从理论上讲，漏洞必定存在，只是尚未发现，而弥补措施永远滞后而已。

　　只要用户方不独自开发操作系统或应用程序，或者说只要使用第三方的软件，0Day的出现就是迟早的事，无论你是使用数据库还是网站管理平台，无论你是使用媒体播放器还是绘图工具，即便是专职安全防护的软件程序本身，都会出现安全漏洞，这已是不争的事实，但最可怕的不是漏洞存在的先天性，而是0Day的不可预知性。

　　从开源的角度上来说，Linux更容易比封闭源代码的Windows存在更多的0Day。那些自以为使用着安全操作系统的人，迟早会被0Day攻击弄得哑口无言。而微软呢？远有IIS和IE，近有WMF和Excel，由于其操作系统应用的广泛性，如今已是补丁加补丁，更新再更新，最新操作系统Vista竟然含有几万行的问题代码。尚未发行，已是满目疮痍，谁又能保证微软的源代码没有丝毫泄露呢？

　　0Day走向何方

　　越来越多的破解者和黑客们，已经把目光从率先发布漏洞信息的荣誉感转变到利用这些漏洞而得到的经济利益上，互联网到处充斥着数以万计的充满入侵激情的脚本小子，更不用说那些以窃取信息为职业的商业间谍和情报人员了。于是，0Day有了市场。

　　国外两年前就有了0Day的网上交易，黑客们通过网上报价出售手中未公开的漏洞信息，一个操作系统或数据库的远程溢出源码可以卖到上千美元甚至更高；而国内的黑客同行，前不久也在网上建立了一个专门出售入侵程序号称中国第一0Day的网站，尽管类似的提供黑客工具的网站很多，但此网站与其它网站的区别在于0Day的特性十分明显：价格较高的攻击程序的攻击对象，还没有相应的安全补丁，也就是说这样的攻击程序很可能具有一击必中的效果。这个网站成立不久便在搜索引擎中消失了，也许已经关闭，也许转入地下。但不管怎样，0Day带来的潜在经济利益不可抹杀，而其将来对信息安全的影响以及危害也绝不能轻视。

　　软件上的0Day几乎不可避免，那硬件呢？硬件是否存在0Day？答案无疑是肯定的。近年来，思科路由器漏洞频繁出现，今年2月，已被曝光的某知名网络产品漏洞至今仍未被修复。对于那些基于IP协议连接网络的路由、网关、交换机，哪个电信运营商敢百分之百地保证自己的网络设备万无一失？（2005年4月11日，全国超过二十个城市的互联网出现群发性故障；同年7月12日，北京20万ADSL用户断网）。

　　早在两年前，英特尔的首席技术官就提出过互联网不能承受与日俱增的使用者这一想法，当时，被很多人认为是无稽之谈。今年6月，在美国的商业圆桌会议上，包括惠普公司、IBM公司、Sun公司、通用汽车公司、家得宝公司和

可口可乐公司等在内的160个企业代表呼吁政府要对发生大规模网络故障的可能性做好准备工作……

　　当今的互联网，病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥，所有的这一切都或多或少地从0Day走过，可以预测，在不远的将来，互联网瘫痪绝不遥远。

　　那么政府管理者、电信运营商、安全厂商，还有全世界的互联网用户，面对0Day，我们准备好了吗？

　　病毒故事

　　70余用户被窃30万巨款

　　三招防网络银行黑客

　　近日，某银行的网上银行用户接连被窃巨款，目前已有北京、南京、杭州等十几个城市的70余名用户受害，涉案金额高达30万元。

　　瑞星反病毒专家建议，第一，用户开设新账户的时候，应该向银行工作人员详细咨询，不需要网络转帐的用户应该禁止

银行卡的相应功能。第二，用户上网的时候应该避免浏览不良网站，以免被网站上的病毒所侵害，致使银行账户资料失窃。第三，用户在使用网上银行业务的时候，应该打开杀毒软件的实时监控功能，并使用个人防火墙。瑞星个人防火墙使用了“木马指纹”技术，可以阻止木马病毒和互联网的联系，保护用户的个人资料。 (贾和）

　　病毒假冒工行电子银行升级

　　实时监控助你畅游网络

　　6月27日，一网友在登陆工行网上个人银行时，系统突然弹出电子银行系统正在升级并要求修改密码的提示，于是他按要求再次输入登录和支付密码。病毒以此诱骗用户重新输入密码，并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒，感染灰鸽子的用户系统将被黑客远程完全控制。

　　据悉，江民反病毒中心已经截获了该网银木马的2个变种，并于6月27日紧急升级了病毒库，用户只需将江民杀毒软件升级到6月27日病毒库，即可彻底防杀病毒。江民公司提醒广大用户，在进行网银操作时一定要开启江民杀毒软件的实时监控，并安装使用“江民密保”的网上银行密码保护功能，以免重要信息被木马病毒窃取。（散宾）(n101)

　　作者：王小瑞