安全知识 认识瞬时攻击的危险性及特征(3)

要找到能卖得出去的漏洞，研究人员与黑客会使用一种叫做fuzzer的工具软件来找出软件在何处接受信息输入，然后它会系统地输入一些奇怪信息的组合。通常这种测试找出来的漏洞叫做缓冲区溢出。

包括微软在内的软件公司通常使用工具软件来寻找自家软件里的漏洞。而黑客们也会这么做。BlackHat组织者Moss和许多其它专家们认为东欧那些有组织的网络罪犯，训练有素的中国黑客，还有其它不怀好意的人都会使用fuzzer来寻找有价值的可以用来发起零时差攻击的漏洞。发现漏洞的人能够用它来发起攻击，或者，与上面提到的WMF文件漏洞一样，可以把漏洞信息拿到黑市去索价出售。

如果软件开发商能在攻击发生前及时修补好安全漏洞，那么公司的IT人员以及家庭用户都能及时升级电脑，在黑客发起攻击之前就做好保护。但一旦零时差攻击开始了，时钟就开始计时——有时候时钟要走上好一阵，急需的补丁才会发布。

根据赛门铁克的2006年互联网安全威胁报告，在2006年的前半年里，微软的Windows与红帽Linux都是开发补丁最快的收费操作系统，平均只需要13天。

但是在升级浏览器方面——尤其是当有零时差攻击已经发生的情况下——微软比苹果、Mozilla和Opera的反应速度都要慢。IE浏览器的补丁在漏洞公布的10天后才会发布，而Opera，Mozilla和Safari浏览器打上补丁的时间，分别只需要两天、三天和五天。

Adam Shostack，微软安全开发生命周期小组的一位程序经理，说有时候更短的开发时限只会是设想，他提到微软用户构成的复杂性。

“我们必须测试安全升级程序以确保它能兼容于28种不同语言的操作系统，以及每一种支持这个升级程序的操作系统。”Shostack说。“我们真的是在质量与速度中做出取舍与平衡。”

安全软件有助于在有效的补丁发布前保护系统不受未知威胁的攻击，传统的反病毒软件依赖于病毒定义文件才能对攻击起到保护作用。这让恶意软件的作者永远与安全公司在玩一个猫和老鼠的游戏，黑客们散布修改过的，没有包括在病毒定义文件里的木马程序，反病毒软件则对这些木马程序束手无策。

启发式与基于行为的病毒分析或许能够结束这一场猫鼠游戏。这两种病毒分析方式依靠运算法则，而不是病毒定义文件，去查找反常的行为或者文件。启发式查毒检查潜在的恶意软件是靠分析文件是否有值得怀疑的行为，比如与内存有关的可疑行为。而另一方面，基于行为的病毒分析，观察程序是否有典型的恶意软件的行为(比如启动Email传播垃圾邮件)，它鉴定程序是否有害是看它们做什么而不是包含什么。

现在大多数主流的反病毒软件都拥有一种或者同时拥有这两种分析方式。去年，PC World测试过使用一个月未更新的病毒库成功识别出20%到50%的病毒。

不过启发式与基于行为的病毒分析容易引起误报。安全软件或许无法分辨出键盘记录程序与通过直接敲击键盘来减短响应时间的游戏之间的区别。结果就是，软件不停地跳出许多不必要的弹出式警告与操作询问，让用户烦恼不已。

BlackHat的Jeff Moss估计这两种病毒检测方式在五年内不会被单独应用，通过病毒定义文件来查毒目前依然是最可靠的。“它们的误报与漏报率太高了。每个人对于检测失误都有自己奇怪的解决方法，但只要他们试着进行部署，用户就会开始抱怨。”

其它解决方法

其它种类的安全产品试着藉由改变用户的电脑环境来抵抗新的未知威胁，并限制着攻击者成功入侵后带来的伤害。有些(比如GreenBorder Pro)为常常成为攻击目标的软件，比如网络浏览器与电邮客户端，创建出一个“沙盒”，或者称虚拟的被隔绝的环境。举个例子来说，攻击者也许可以攻破IE浏览器，但安装间谍软件或者进行其它恶意篡改的举动都无法冲破沙盒的阻拦。

其它一些程序，除了创建虚拟环境以外，还修改用户帐号的权限，这样程序就无法对系统做出深层的改变。这类工具包括微软提供的免费的DropMyRights小程序。

还有些程序，如免费的VMWare 播放器，会安装一个单独的操作系统并拥有它自己的浏览器。被层层保护着的浏览器与你正常的电脑环境是完全隔离开的。

Windows Vista引入了一些新的安全特性，但没有人会认为软件漏洞或者零时差攻击会渐渐地销声匿迹。.遗憾的是，充斥着非法数据与垃圾邮件发送者名单的地下黑市将刺激网络罪犯们继续想方设法从恶意软件里获得利益。

然而，趋势科技全球教育主管David Perry对于未来的互联网安全状态还是维持乐观的态度。“我相信最终我们会让网络上的威胁只是件麻烦事而已，”，他说，“但在今年内还看不到事情的进展。”

零时差攻击正在进行时

去年九月SunbeltSoftware发现了利用矢量标记语言图像里的一个漏洞发起的攻击，这种图像格式已经比较少见，但Windows系统依然对其提供着支持。在一星期内，攻击者通过植入了病毒的图片感染了数千个网站，所有不幸查看了这些图片的用户都会被偷偷地装上恶意软件并受到攻击。

2006年9月18日，第一个VML攻击被俄罗斯的一家网站报道。

2006年9月19日，微软表示补丁将在10月10日推出。

2006年9月20日，赛门铁克公司宣布在东欧销售的一款开发工具包中发现了恶意代码。

2006年9月22日，零时差紧急响应小组发布了一个非官方的补丁。成千上万的合法的、但是被感染的HostGator托管网站让他们的网友感染了病毒。

2006年9月26日，微软提前时间表两周的时间发布了补丁。

2007年1月16日，iDefense公司证实一个相似的零时差攻击已经盯上了VML的另一个漏洞。