從uusee漏洞事件看互聯(lián)網(wǎng)“連帶威脅”

6月16日，業(yè)內(nèi)媒體曝光出UUSee軟件存在高危0day漏洞，可導(dǎo)其用戶電腦后臺(tái)自動(dòng)下載大量木馬病毒。17日，UUsee官方做出回應(yīng)，宣稱是自己發(fā)現(xiàn)的漏洞，并已經(jīng)解決漏洞危機(jī)。然而，面對(duì)uusee官方的回應(yīng)聲明的內(nèi)容，很多專業(yè)安全人士卻十分質(zhì)疑。

曝光此次uusee漏洞的超級(jí)巡警軟件官方表示，uusee官方針對(duì)0day漏洞回應(yīng)的態(tài)度和處理方案都十分消極，主要體現(xiàn)在以下三個(gè)方面：

1、悠視官方本月17日發(fā)布的漏洞聲明和解決方案中，針對(duì)包含漏洞的uusee2008版本沒有運(yùn)用緊急強(qiáng)制性升級(jí)，而是要求用戶重新下載并安裝最新版本。而在uusee軟件界面和官方論壇看不到任何有關(guān)漏洞威脅的提示，絕大多數(shù)用戶對(duì)漏洞毫不知情。

   （圖1 uusee的新版軟件下載中毫無漏洞相關(guān)信息）

 2、UUsee官方的漏洞回應(yīng)中存在誤導(dǎo)，其中UUsee安全專家強(qiáng)調(diào)禁用“已下載的沒有微軟簽名的ActivX控件”，就可以保證用戶安全。而事實(shí)上包含微軟數(shù)字簽名只能代表文件出自軟件官方。換換句話說，包含有微軟數(shù)字簽名并不能代表軟件中沒有漏洞。而諷刺的是UUSee2008出現(xiàn)漏洞的那個(gè)dll就包含有微軟的數(shù)字簽名。

3、UUsee官方漏洞回應(yīng)中還包括一些常識(shí)性的錯(cuò)誤，其中運(yùn)用了一個(gè)用卡巴斯基掃描自己軟件的截圖，以證明自己發(fā)布新版本沒有漏洞。有一點(diǎn)安全常識(shí)的網(wǎng)友都了解，卡巴斯基是一款殺毒軟件，不具備漏洞掃描功能，也不能下載漏洞補(bǔ)丁，而uusee官方在漏洞回應(yīng)聲明中赫然寫著推薦用卡巴斯基下載補(bǔ)丁。

目前仍有很多下載站的提供含有漏洞的uusee2008供網(wǎng)友下載。同時(shí)，由于uusee沒有全面發(fā)布漏洞威脅預(yù)警和更新提示，絕大多數(shù)用戶認(rèn)為沒有理由去下載最新版本。截至10日超級(jí)巡警團(tuán)隊(duì)已經(jīng)捕獲27個(gè)利用uusee漏洞的木馬。超級(jí)巡警漏洞研究人員表示，從漏洞被全面公開到廠商修復(fù)漏洞的時(shí)間段，軟件使用者是最危險(xiǎn)的。


（圖2含有漏洞uusee版本，被黑客利用后成了一款“木馬病毒下載器”。黑客可以輕松構(gòu)造任意惡意程序下載到用戶機(jī)器上。）

    在當(dāng)前的網(wǎng)絡(luò)威脅中，每個(gè)漏洞威脅都不是孤立存在的，用戶電腦中一個(gè)軟件漏洞被黑客利用，那么整個(gè)系統(tǒng)防御壁壘將有可能被完全攻破。做個(gè)比方：uusee軟件在網(wǎng)吧安裝的比較普遍，那么黑客僅僅利用一臺(tái)含uusee漏洞的電腦，就可以不斷給機(jī)器自動(dòng)下載機(jī)器狗、磁碟機(jī)等病毒和盜號(hào)木馬，盜取其他網(wǎng)絡(luò)游戲賬號(hào)，甚至間接感染整個(gè)網(wǎng)吧，帶來一系列連帶威脅。目前廣泛流行的Flash播放器漏洞，已經(jīng)充分給互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈利用，目前已給網(wǎng)吧、網(wǎng)游公司、電子商務(wù)交易等許多互聯(lián)網(wǎng)相關(guān)行業(yè)帶來嚴(yán)重?fù)p失?？梢娨豢盍餍熊浖陌踩珕栴}不僅僅涉及到自身利益，還關(guān)系到其他相關(guān)行業(yè)的切身利益。縱觀國內(nèi)如熊貓燒香、機(jī)器狗病毒集中爆發(fā)事件，都不乏同一時(shí)期某些通用軟件的0day漏洞處理不夠通明、果斷等因素，而這一重要因素往往被公眾視線所忽略。

數(shù)據(jù)安全實(shí)驗(yàn)室（www.sucop.com）研究顯示，2008年互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈高速發(fā)展包含多方面因素，其中之一是黑客事件中“責(zé)任承擔(dān)模糊“的問題。比如網(wǎng)站被掛馬或軟件存在漏洞被利用。表面上看這些站長或軟件作者是”受害者“，而事實(shí)上一些站長以及軟件作者和黑客之間存在千絲萬縷的聯(lián)系。由于涉及情況復(fù)雜，取證或者定位這種責(zé)任目前難于實(shí)現(xiàn)。單純從“網(wǎng)絡(luò)地下經(jīng)濟(jì)”技術(shù)的實(shí)現(xiàn)角度來看，縱容軟件漏洞的軟件商也“參與”到黑色產(chǎn)業(yè)鏈條當(dāng)中，并且其危害更巨大。因?yàn)楹诳涂梢岳眠@些通用軟件的漏洞，輕松繞過已和它們建立信任關(guān)系的殺毒軟件。

web2.0與p2p數(shù)據(jù)流技術(shù)讓很多軟件走紅網(wǎng)絡(luò)。在國外同行眼中，安全問題被視為其發(fā)展中不可忽略的先決條件。在國內(nèi)，迅雷和騰訊公司的安全意識(shí)在業(yè)內(nèi)比較突出，它們?cè)诿鎸?duì)產(chǎn)品的0day漏洞以及和安全廠商溝通合作上，體現(xiàn)出積極的態(tài)度。騰訊公司作為一家即時(shí)通信行業(yè)公司，卻在每年定期舉辦安全峰會(huì)，邀請(qǐng)國內(nèi)外安全廠商一同探討最前沿的安全技術(shù)。迅雷公司則和超過5家以上安全廠商保持長期合作。筆者以為，單純把0day漏洞看成技術(shù)缺陷是片面的，每年圍繞微軟的0day曝光最為普遍，但眾所周知微軟的程序代碼中的安全構(gòu)架卻并不單薄。黑客對(duì)0day漏洞挖據(jù)的“深度”往往取決于軟件的影響力和商業(yè)價(jià)值。一些公司把0day漏洞威脅單純的視為負(fù)面新聞，一味的搞媒體公關(guān)危機(jī)的同時(shí)卻忽略了其用戶的安全性。當(dāng)前網(wǎng)絡(luò)社區(qū)”口碑營銷“走紅的趨勢(shì)來看，注重用戶的利益才是軟件廠商立足于網(wǎng)絡(luò)的的根本。