WINDOWS蠕虫病毒的教训

　　中国科学网8月25日消息 从那些传染WINDOWS的蠕虫（例如Zotob、Esbot、Bobax和Spybot）所导致的惊慌失措中，我们学到了什么教训呢？第一个教训：如果一个陈旧、令人厌倦的话题，如计算机蠕虫，想再次引起人们的注意，那就要去刺痛一些记者和主编，如CNN、纽约时报、美联社和ABC新闻。要让一个事件再次成为新闻，最好就是让某些人感到痛苦。例如在CNN事件中，电视直播发生事情就是这样。
　　 第二个教训：嗯？我们有第二个教训吗？
　　 也许没有。毕竟，我们早就知道最常见的安全漏洞就是缓冲区溢出——代码填充内容却不检查长度。这就是这些蠕虫利用的程序漏洞——一个从1988年就存在的漏洞，那一年，著名的“莫里斯蠕虫”利用一个缓冲区溢出攻击让一个小得多的互联网趴下了。
　　 我们也知道，这些问题发现后开发商最好立即提供补丁。Microsoft在声明了这个安全漏洞的当天就提供了补丁。（当然，Microsoft第一时间提供产品并不能给他加分）
　　 我们也知道为数不多的IT人员已经被打补丁给累坏了，需要时间去测试然后安装到服务器和桌面PC上。
　　 我们知道，发布可以很容易被蠕虫程序利用的漏洞利用代码没有什么好处。这只会对写蠕虫有帮助，对我们没什么用。Microsoft发布补丁后第二天这些代码就发布在一些安全网站上了。三天后，Zotob蠕虫就出现了，疯狂传染那些Windows机器。
　　 我们知道写蠕虫病毒的人共享信息并且互相竞争。所以毫不奇怪，就在几个小时之内，其他利用相同漏洞的蠕虫就出现在Zotob行列了——一起对付Windows的用户。
　　 所以，也许蠕虫的这轮疯狂攻击也没有太多可以吸取的教训。
　　 但是我们这次不应该从对付蠕虫暴发中学习到什么经验吗？
　　 Microsoft难道不应该停止出售有缓冲区溢出安全漏洞的操作系统吗？那并不是要求没有bug的程序——只是检查并根除某种特定类型的bug。
　　 是的，Microsoft吹嘘说明年发布的Vista（又叫Longhorn）不会有缓冲区溢出的问题。但是，这个保证是基于Longhorn使用.net的基础上的，.net在每次访问时自动检查缓冲区。但据报道，Microsoft使用手工编写的代码替换了Longhorn/Vista中使用的.net。这样Vista才可以赶得上2006的期限——安全与否就不管了。
　　 难道所有的Microsoft合作者和竞争者，不管是有版权的开发商还是开源工程，还没有到根除所有缓冲区溢出问题的时机吗？这不是什么颅部手术——不过是搞好卫生而已。对于新代码，这很简单：只要保证检查所有缓冲区访问。现有代码比较痛苦，但是既然我们可以在Y2K时检查所有的两位数的年操作，现在也就可以查找所有缓冲区访问。
　　 最后，企业的IT是时候拒绝接收任何有缓冲区溢出bug的程序了，不管是开发商、咨询商还是内部的。这不是不可能的，甚至也不困难。每个程序员都知道如何写没有这个bug的软件。每个企业都有权要求软件不会导致将业务暴露于攻击、不可用或者经济损失。
　　 是时候要求商业质量的代码了，那种我们的管理人员从一个商业质量IT店可以期待的代码。