近日，微軟IE被爆出新的零日漏洞，此漏洞涉及IE 7-IE 9全部產品。據統計，微軟IE瀏覽器的用戶量超過3.5億。與此同時，還有很多廠商的瀏覽器也基于IE內核，從而使用IE內核的用戶可能會達到6億用戶。一個威脅6億用戶的IE零日漏洞被黑客成功利用，它帶來的是一望無際的盜號病毒。

無獨有偶，IEEE（國際電氣與電子工程師協會）將近10萬名會員包括密碼在內的隱私信息被意外曝光。作為一個會員包括蘋果、Google、IBM等大公司員工的全球最大的軟件工程師專業組織，這種情況的發生是相當糟糕的，更是愚蠢的。當然，與信息泄露相比，IEEE使用明文存儲用戶名和密碼的行為所帶來的麻煩則更大。

“小心駛得萬年船”

筆者從“烏云”網了解到，在9月28日最新發布的9個漏洞中，有5個漏洞為設計/邏輯錯誤導致的信息泄露。包括有道云筆記Windows客戶端內存明文存儲鎖定密碼，Android手機遠程擦除漏洞以及139郵箱發件時間可以修改等等漏洞。有道云筆記的漏洞在有道詞典中也同樣有效。這就導致了很嚴重的問題，比如在云筆記中可以查看其他用戶的筆記，上傳的資料。通過有道詞典的注冊郵箱可以用來“撞庫”，因為大多數用戶都用少數幾個郵箱注冊很多的網站。這樣黑客就可以破解用戶在不同網站注冊的賬戶。

然而，再大的風險都是由人造成的，所有的安全問題都可以說是人的問題。比如PHP語言的0字節截斷漏洞，其實是由程序員不規范，不安全的編程習慣導致的。舉個貼近普通用戶的例子，黑客在攻陷一臺電腦之前并不能強迫機主做任何高風險的事，比如點擊一個鏈接，而鏈接背后的網站已經被黑客通過漏洞植入惡意程式。既然不能強迫計算機使用者去點擊惡意鏈接，那么黑客只能通過復雜多樣的釣魚模式來引誘使用者一步步落入他們的陷阱中。所有的終端用戶都需要有一面護盾來保護計算機安全和個人的私隱。所以在小心留意“釣魚”的同時，軟件防御系統也是必不可少的。

安全不是一勞永逸的

但是，當今沒有任何一套安全解決方案可以完全由機器自主完成。要保證計算機系統的安全，就要把人的行為和計算機的防護相結合。自互聯網誕生伊始，攻防兩端的較量就從未停止過，而攻擊和防御技術也在不停歇的較量中不斷變化、發展著。基于沒有任何一個系統是完美的這一定論，攻擊者從不同的角度和層面尋找系統的安全漏洞。雖然古語有云：以不變應萬變，但是對于安全人員甚至是普通的計算機使用者來說，將自己的防范意識與時俱進是很必要的，不能認為有“萬金油”可以讓人高枕無憂，一勞永逸，免除計算機漏洞和病毒的威脅。

安全廠商提供的防御系統總是有局限的，更不可能有所謂的“完美”防御。用戶需要從自身角度提升對安全問題的意識，了解常用的釣魚和攻擊方式，再配合一些軟件防御系統，比如入侵檢測/入侵防護套裝來保障個人隱私信息的安全。

雙管齊下減輕漏洞危害

當然，只要是人設計的系統就一定會有漏洞，自然也會被發現，并且很多漏洞都被利用為不法牟利的手段。從人的角度來看，漏洞與誤差類似，不可以被避免，但可以通過各種手段減小它的影響。比如代碼安全檢測和操作行為分析。

NIST的報告顯示，超過90%的安全漏洞是應用層漏洞。因此，應用程序的安全成為了開發者們必須要面對的問題。通過在開發周期中使用代碼安全檢測程序來保障代碼符合安全規范是一種比較簡單方便的解決方法。當然，軟件也是通過人為規定的規則來進行代碼的安全檢測，所以開發者仍然需要不斷提升自己的安全編碼意識，并結合檢測程序不斷地修正程序，從而保證應用程序的安全性及可靠性。

從網絡管理員角度來說，漏洞被用來發動攻擊是無法避免的，如何減少它帶來危害成為了網管員們需要思考的問題。從IDS到IPS的轉變可以看出，安全從業人員的理念也在發生著改變，即從基于特征碼的檢測轉變為基于特征行為規則的主動防御。對于惡意網站或者釣魚網站來說，行為分析更關心它要做的事而不是它是哪一類流量。因為大部分惡意鏈接背后的目的都是木馬植入和個人信息竊取。凡是符合這類行為的動作，都會被屏蔽。對于惡意地泛洪攻擊來說，比如DDoS、HTTP GET Flood，SYN Flood等，網管員則需要流量特征判斷攻擊類型，決定是否有必要通過流量清洗將攻擊流量和正常請求流量分開，比如使用異常流量清洗設備，將攻擊流量牽引到遠離攻擊目標的地方。

在如今這樣復雜多變的互聯網環境中，網絡管理者和程序設計者都不能將希望寄托于發現漏洞就打補丁這一被動的理念，更不能讓用戶為上游廠商的錯誤買單。共同提升安全意識，規范安全編碼已經成為重中之重，不能再被忽視。