|
电脑安全方面你并不曾懈怠。你随时更新应用程序,确保它们都是最新的版本,你也安装了反病毒软件。你很在意你浏览的是什么样的网站,在电脑上安装的是什么样的软件。
但是去年九月,如果你访问过由HostGaor(位于佛罗里达州的一家顶级主机托管商)托管的博客站点,你的浏览器就会立即被重定向到一个受病毒感染的网站,这利用的是一种古老的微软图形格式中存在的漏洞。
在几秒钟内,恶意软件就侵入了你的电脑。
遭遇到这一切,是因为你已经沦为零时差攻击的受害者——这种攻击往往针对某种软件的漏洞,当漏洞刚被发现不久,还没有任何补丁文件被发布并对已知问题进行修复时发起的攻击就叫做零时差攻击。这个术语最初用来描述那些 “非正式”(也就是在研究实验室外)发现的漏洞在补丁发布的当天就被利用来发起的恶意攻击,这使得IT专家们没有时间来堵上这个漏洞。
现在,零时差攻击对于网上罪犯们的价值正在飞涨中,因为这种攻击可以侵入最新的、保护得当的系统。例如,去年十月,趋势科技的首席技术官Raimund Genes在一个网络聊天室里注意到一条滚动出现的广告。一个黑客想出售测试版的Windows Vista里一个不为人知的漏洞,要价是令人瞠目的5万美元,虽然Genes无从得知是否有人购买了那些代码。
“现在有了不少有组织的地下机构,”McAfee公司的安全研究经理Dave Marcus说道,“网上罪犯们已经领会到他们能够靠恶意软件来发财了。”
有利可图的恶意软件
恶意软件可以是个“机器人程序”。例如,它能够让你的电脑传播垃圾邮件,或者加入到拒绝服务式攻击,把某个网站弄得崩溃而不能提供正常服务。“这比把一位老太太打倒在地,并抢走她的钱包要容易多了,”Marcus说,“这也是非常隐匿的,而且攻击者可以舒服地坐在星巴克里发动这一切,却不会被丝毫察觉。”
多亏改进后病毒扫描技术不再完全依赖病毒定义文件,McAfee出品的反病毒软件和其它安全软件在保护计算机免受未知威胁的攻击时变得更加出色了。此外许多新出现的免费与收费软件都提供了针对零时差攻击的主动性保护,并尽可能地限制攻击带来的损失与破坏。
Jeff Moss,每年一度的BlackHat安全大会的发起者,认为正确的安全设置能最大限度地保护你的电脑。但有目的的攻击有时能够突破重重防线。“你可以买一大堆防火墙、安全软件和其它东西,”他说,“但只要某个软件里存在着可以为零时差攻击利用的漏洞,那么再多的防护也是无济于事的。”
在补丁发布之前就发起攻击的各种程序里,最危险的是会偷偷地在后台下载恶意软件的那些。你只是很平常地浏览了某个被植入恶意代码的页面,或者是打开了一封受感染的HTML格式电子邮件,就会遭到入侵,你的电脑里会悄无声息地被塞入各种间谍软件,木马程序或者其它恶意软件。在2005年底到2006年底之间,网络罪犯们利用一种不常被人们使用的微软图片格式中的漏洞,发动了至少两起这样的零时差攻击,并感染了数百万台电脑。
在HostGator遭到入侵的案例中,被黑客所利用的是IE浏览器在处理矢量标记语言(VML)格式的图片时出现的漏洞,这个漏洞一直没有引起注意。VML是一种不常见的、用来创建3D图像的标准格式。
在九月份,Sunbelt Software公司发现了这种类型的攻击并向人们发出警告,它在俄罗斯的一家色情图片站点上发现了这个漏洞。漏洞本身就足够危险:如果你浏览过任何含有中毒图片的网站,你的电脑就会被植入恶意程序。而攻击者们清楚地知道如何让危害扩散得更大更广。
利用网站管理工具cPanel里的一种未知漏洞,攻击者们劫持了由HostGator托管的成千上万个网站。访问者浏览过这些完全合法却中了毒的网站后,会被重定向到一些恶意网站,这些网站会利用VML漏洞发起零时差攻击。
微软的产品,如IE浏览器、Office办公套件和Windows操作系统,是最常受到零时差攻击(和其它类型的攻击)的目标。部分原因是它们占据了大部分的软件领域。但是微软过去犯下的没能在产品开发时对安全性进行充分考虑的错误,也导致了它的软件产品成为普遍的(也是容易攻入的)攻击目标。然而,Vista在安全方面有了长足的进步,至少在现在看来是这样。
Vista如何防范零时差攻击
Windows?Vista那些大受吹捧的新安全特性在保护你免受零时差攻击方面做得怎么样呢?比你想象的要好得多。
Vista主要的新特性就是用户帐户控制(UAC),在Vista里改变了用户帐户的操作许可权限。为了方便起见——因为管理员权限在进行许多系统操作时都是必需的——几乎所有的家庭用户都在管理员帐户设置下运行Windows XP。但攻击者也会利用此设置的特权来修改系统,例如安装含有恶意软件的rootkit。
与从前不同的是,默认的Vista用户帐户拥有的权限不高也不低,既不是可以对系统做任何修改的管理员帐户,也不是运行起来处处受缚的guest帐户。微软尝试着让改变易于被人们接受,授予了标准帐户足够的权限来操作一些日常的系统任务,比如安装打印机的驱动程序。但已经有用户抱怨道需要不停地确认一个又一个索要管理员密码的UAC弹出提示框。
同样,IE浏览器默认也是以受保护模式运行,此时只拥有最少的许可权限。这样的改变限制了一些零时差攻击劫持你的IE浏览器(比如利用WMF或者VML漏洞),并对电脑造成太大的破坏。
最后一点,Vista与Windows Defender是捆绑发行的,后者可以阻止试图向启动文件夹添加自启动项的恶意软件——比如,把自己伪装成反间谍软件等。Vista同时还会随机改变内存库与程序载入的位置,这样恶意软件在试图找出并更改系统重要进程时就会扑了个空。
遭到入侵的Myspace
2005年9月28日,与后来出现的VML攻击类似的,微软几乎很少被使用到的Windows图元文件格式里发现了一个漏洞,当用户浏览含有中毒图像的网页时,就会被植入恶意程序。微软在1月5日发布了一个补丁,但7月份一个含有恶意代码的旗帜广告感染了数百万尚未打上补丁的电脑,这些电脑访问了MySpace,Webshots和其一些它网站。
零时差攻击是发现软件漏洞后,在软件生产商尚没有发布修复补丁之前,利用漏洞发起的攻击。不过即使是在这段时间里,你也有办法保护你的系统安全而不会受到零时差攻击。
如何防范
1.停止使用IE 6。为了确保网上的安全,你首先应该停止使用微软声名狼籍、满是漏洞的IE 6浏览器。当然了,没有绝对安全的程序,但不管是因为它那些固有的漏洞还是因为巨大的用户群,IE 6都是一个易受攻击的目标。升级到IE 7或者选用其它浏览器比如Firefox或者Opera。
2.对于某些已经成为零时差攻击目标的软件,你可以试试使用它们的替代软件。例如,用来查看PDF文档的免费Foxit程序,而OpenOffice能兼容许多Office文档。
3.为Windows和其它程序启用自动更新功能。补丁并不能阻止零时差攻击的入侵,但大多数的漏洞在补丁发布后依然会是攻击目标,正因为攻击者知道许多人不会费心去打补丁。要检查和更改你的Windows系统的自动更新设置,在控制面板里点自动更新。我们推荐你选择“下载更新,但由我来决定什么时候安装”。
4启动其它程序的自动更新设置则难易各有不同。以Firefox为例来说,选择工具 — 选项 — 高级,然后选择“升级”标签。(重申一次,我们推荐选择在Firefox发现更新后“询问我该做什么”)。要找到Adobe Reader里的升级设置,你可以从帮助菜单栏里进行手动更新,或者依次选择编辑 — 首选项,然后选中“启动”标签,在“显示消息和自动更新”前打上勾。
5.考虑选择带有启发式查毒和/或基于行为分析病毒的反病毒软件或者安全套件来保护你的电脑,让它能自如地应对未知危险。拥有这两种病毒分析方式的程序是对传统反病毒软件的一个补充,传统的反病毒软件在能抵御某种威胁前必须对它比较清楚。
6.确保有一个防火墙——无论是Windows XP自带的,还是第三方的——运行在你的电脑上。防火墙能阻止蠕虫扫描你的电脑,寻找未打好补丁的漏洞,并试图入侵你的系统。要查看系统是否运行着Windows XP防火墙,进入控制面板,打开安全中心,点Windows 防火墙链接。大多数的宽带路由路也带有防火墙功能。
7.使用防护软件做为反病毒软件或安全套件的有效补充,比如DropMyRights。越来越多的工具软件,既有免费的也有收费的,籍由改变易受攻击软件的运行方式来保护电脑的安全,这样即使受到了零时差攻击,也不会伤害甚至是传播到电脑的其它位置。
8. 时刻关注最新情况。为您传递最新的紧急威胁,还有各种安全知识与建议。其它有用的资源包括eEye 零时差攻击追踪网站(f ind.pcworld.com/56226 )和Brian Krebs的安全修补博客。
| 
