從uusee漏洞事件看互聯(lián)網(wǎng)“連帶威脅”

6月16日，業(yè)內(nèi)媒體曝光出UUSee軟件存在高危0day漏洞，可導其用戶電腦后臺自動下載大量木馬病毒。17日，UUsee官方做出回應，宣稱是自己發(fā)現(xiàn)的漏洞，并已經(jīng)解決漏洞危機。然而，面對uusee官方的回應聲明的內(nèi)容，很多專業(yè)安全人士卻十分質(zhì)疑。

曝光此次uusee漏洞的超級巡警軟件官方表示，uusee官方針對0day漏洞回應的態(tài)度和處理方案都十分消極，主要體現(xiàn)在以下三個方面：

1、悠視官方本月17日發(fā)布的漏洞聲明和解決方案中，針對包含漏洞的uusee2008版本沒有運用緊急強制性升級，而是要求用戶重新下載并安裝最新版本。而在uusee軟件界面和官方論壇看不到任何有關(guān)漏洞威脅的提示，絕大多數(shù)用戶對漏洞毫不知情。

   （圖1 uusee的新版軟件下載中毫無漏洞相關(guān)信息）

 2、UUsee官方的漏洞回應中存在誤導，其中UUsee安全專家強調(diào)禁用“已下載的沒有微軟簽名的ActivX控件”，就可以保證用戶安全。而事實上包含微軟數(shù)字簽名只能代表文件出自軟件官方。換換句話說，包含有微軟數(shù)字簽名并不能代表軟件中沒有漏洞。而諷刺的是UUSee2008出現(xiàn)漏洞的那個dll就包含有微軟的數(shù)字簽名。

3、UUsee官方漏洞回應中還包括一些常識性的錯誤，其中運用了一個用卡巴斯基掃描自己軟件的截圖，以證明自己發(fā)布新版本沒有漏洞。有一點安全常識的網(wǎng)友都了解，卡巴斯基是一款殺毒軟件，不具備漏洞掃描功能，也不能下載漏洞補丁，而uusee官方在漏洞回應聲明中赫然寫著推薦用卡巴斯基下載補丁。

目前仍有很多下載站的提供含有漏洞的uusee2008供網(wǎng)友下載。同時，由于uusee沒有全面發(fā)布漏洞威脅預警和更新提示，絕大多數(shù)用戶認為沒有理由去下載最新版本。截至10日超級巡警團隊已經(jīng)捕獲27個利用uusee漏洞的木馬。超級巡警漏洞研究人員表示，從漏洞被全面公開到廠商修復漏洞的時間段，軟件使用者是最危險的。


（圖2含有漏洞uusee版本，被黑客利用后成了一款“木馬病毒下載器”。黑客可以輕松構(gòu)造任意惡意程序下載到用戶機器上。）

    在當前的網(wǎng)絡威脅中，每個漏洞威脅都不是孤立存在的，用戶電腦中一個軟件漏洞被黑客利用，那么整個系統(tǒng)防御壁壘將有可能被完全攻破。做個比方：uusee軟件在網(wǎng)吧安裝的比較普遍，那么黑客僅僅利用一臺含uusee漏洞的電腦，就可以不斷給機器自動下載機器狗、磁碟機等病毒和盜號木馬，盜取其他網(wǎng)絡游戲賬號，甚至間接感染整個網(wǎng)吧，帶來一系列連帶威脅。目前廣泛流行的Flash播放器漏洞，已經(jīng)充分給互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈利用，目前已給網(wǎng)吧、網(wǎng)游公司、電子商務交易等許多互聯(lián)網(wǎng)相關(guān)行業(yè)帶來嚴重損失?？梢娨豢盍餍熊浖陌踩珕栴}不僅僅涉及到自身利益，還關(guān)系到其他相關(guān)行業(yè)的切身利益。縱觀國內(nèi)如熊貓燒香、機器狗病毒集中爆發(fā)事件，都不乏同一時期某些通用軟件的0day漏洞處理不夠通明、果斷等因素，而這一重要因素往往被公眾視線所忽略。

數(shù)據(jù)安全實驗室（www.sucop.com）研究顯示，2008年互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈高速發(fā)展包含多方面因素，其中之一是黑客事件中“責任承擔模糊“的問題。比如網(wǎng)站被掛馬或軟件存在漏洞被利用。表面上看這些站長或軟件作者是”受害者“，而事實上一些站長以及軟件作者和黑客之間存在千絲萬縷的聯(lián)系。由于涉及情況復雜，取證或者定位這種責任目前難于實現(xiàn)。單純從“網(wǎng)絡地下經(jīng)濟”技術(shù)的實現(xiàn)角度來看，縱容軟件漏洞的軟件商也“參與”到黑色產(chǎn)業(yè)鏈條當中，并且其危害更巨大。因為黑客可以利用這些通用軟件的漏洞，輕松繞過已和它們建立信任關(guān)系的殺毒軟件。

web2.0與p2p數(shù)據(jù)流技術(shù)讓很多軟件走紅網(wǎng)絡。在國外同行眼中，安全問題被視為其發(fā)展中不可忽略的先決條件。在國內(nèi)，迅雷和騰訊公司的安全意識在業(yè)內(nèi)比較突出，它們在面對產(chǎn)品的0day漏洞以及和安全廠商溝通合作上，體現(xiàn)出積極的態(tài)度。騰訊公司作為一家即時通信行業(yè)公司，卻在每年定期舉辦安全峰會，邀請國內(nèi)外安全廠商一同探討最前沿的安全技術(shù)。迅雷公司則和超過5家以上安全廠商保持長期合作。筆者以為，單純把0day漏洞看成技術(shù)缺陷是片面的，每年圍繞微軟的0day曝光最為普遍，但眾所周知微軟的程序代碼中的安全構(gòu)架卻并不單薄。黑客對0day漏洞挖據(jù)的“深度”往往取決于軟件的影響力和商業(yè)價值。一些公司把0day漏洞威脅單純的視為負面新聞，一味的搞媒體公關(guān)危機的同時卻忽略了其用戶的安全性。當前網(wǎng)絡社區(qū)”口碑營銷“走紅的趨勢來看，注重用戶的利益才是軟件廠商立足于網(wǎng)絡的的根本。