找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 543|回复: 0

[【求助】] WINDOWS蠕虫病毒的教训

[复制链接]
mingli1998 该用户已被删除
发表于 2005-11-6 20:51:38 | 显示全部楼层 |阅读模式
  中国科学网8月25日消息 从那些传染WINDOWS的蠕虫(例如Zotob、Esbot、Bobax和Spybot)所导致的惊慌失措中,我们学到了什么教训呢?第一个教训:如果一个陈旧、令人厌倦的话题,如计算机蠕虫,想再次引起人们的注意,那就要去刺痛一些记者和主编,如CNN、纽约时报、美联社和ABC新闻。要让一个事件再次成为新闻,最好就是让某些人感到痛苦。例如在CNN事件中,电视直播发生事情就是这样。
   第二个教训:嗯?我们有第二个教训吗?
   也许没有。毕竟,我们早就知道最常见的安全漏洞就是缓冲区溢出——代码填充内容却不检查长度。这就是这些蠕虫利用的程序漏洞——一个从1988年就存在的漏洞,那一年,著名的“莫里斯蠕虫”利用一个缓冲区溢出攻击让一个小得多的互联网趴下了。
   我们也知道,这些问题发现后开发商最好立即提供补丁。Microsoft在声明了这个安全漏洞的当天就提供了补丁。(当然,Microsoft第一时间提供产品并不能给他加分)
   我们也知道为数不多的IT人员已经被打补丁给累坏了,需要时间去测试然后安装到服务器和桌面PC上。
   我们知道,发布可以很容易被蠕虫程序利用的漏洞利用代码没有什么好处。这只会对写蠕虫有帮助,对我们没什么用。Microsoft发布补丁后第二天这些代码就发布在一些安全网站上了。三天后,Zotob蠕虫就出现了,疯狂传染那些Windows机器。
   我们知道写蠕虫病毒的人共享信息并且互相竞争。所以毫不奇怪,就在几个小时之内,其他利用相同漏洞的蠕虫就出现在Zotob行列了——一起对付Windows的用户。
   所以,也许蠕虫的这轮疯狂攻击也没有太多可以吸取的教训。
   但是我们这次不应该从对付蠕虫暴发中学习到什么经验吗?
   Microsoft难道不应该停止出售有缓冲区溢出安全漏洞的操作系统吗?那并不是要求没有bug的程序——只是检查并根除某种特定类型的bug。
   是的,Microsoft吹嘘说明年发布的Vista(又叫Longhorn)不会有缓冲区溢出的问题。但是,这个保证是基于Longhorn使用.net的基础上的,.net在每次访问时自动检查缓冲区。但据报道,Microsoft使用手工编写的代码替换了Longhorn/Vista中使用的.net。这样Vista才可以赶得上2006的期限——安全与否就不管了。
   难道所有的Microsoft合作者和竞争者,不管是有版权的开发商还是开源工程,还没有到根除所有缓冲区溢出问题的时机吗?这不是什么颅部手术——不过是搞好卫生而已。对于新代码,这很简单:只要保证检查所有缓冲区访问。现有代码比较痛苦,但是既然我们可以在Y2K时检查所有的两位数的年操作,现在也就可以查找所有缓冲区访问。
   最后,企业的IT是时候拒绝接收任何有缓冲区溢出bug的程序了,不管是开发商、咨询商还是内部的。这不是不可能的,甚至也不困难。每个程序员都知道如何写没有这个bug的软件。每个企业都有权要求软件不会导致将业务暴露于攻击、不可用或者经济损失。
   是时候要求商业质量的代码了,那种我们的管理人员从一个商业质量IT店可以期待的代码。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-21 01:27 , Processed in 0.283318 second(s), 20 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表