相信用户一提起Windows时心里就有一个印象:漏洞太多、打不完的补丁。长此以往给用户的感觉就成了Windows的漏洞是用户遭受木马病毒侵害的根源,而微软发布的2008年上半年安全情况报告却让人大吃一惊:统计数据显示黑客攻击Vista大多是通过第三方应用程序来进行的,而不是微软本身的漏洞问题。换句话说,经常受到攻击的Windows仅仅是一个受害者,而罪魁祸首竟然是第三软件提供商。此说法一出,令业界哗然,事情的真相果真如此吗?既然有这么多不合格的第三方,微软为何还要与之合作呢?
不可忽视的第三方软件漏洞
近几年在互联网上泛滥最多的是木马式病毒,这几乎是IT界的共识,由于木马程序所能带来的巨大经济利益也成为许多不法之徒网络铤而走险发家致富的不二法门,而他们大多数也是利用第三方漏洞来实现自己的梦想。以今年年初的“机器狗”为例,其肆虐的最终原因,同第三方软件漏洞密切相关,据说大部分通用流行软件几乎无一幸免,包括RealPlayer、暴风影音、PPStream、迅雷、联众世界、百度搜霸工具条、Adobe Reader、Qvod player 、PPLive、Flash player 、Skype、QuickTime、超星阅读器等常用知名软件的部分版本均存在多个安全漏洞。而木马之所以选择用户数量大、知名度高的流行软件,与其广种薄收的原因不无关系,而正因为软件用户基数极其巨大,因此一旦漏洞被木马利用,则会造成以百万计的感染用户群。而众多的入侵方式中,互联网上的网页是其最佳的通道。前360安全卫士负责人傅盛总结,广泛流传的“机器狗”木马及其变种,均是通过网页挂马的形式由第三方软件漏洞入侵,用户在浏览网页时就会不知不觉被植入木马,而这些木马一旦进入用户电脑中,会不断从后台下载更多新的木马,数量甚至高达数百个。
还比如前段时间Adobe Flashplayer所曝出的高危漏洞都是实实在在的例子,这么多的漏洞与后门,真使得微软的操作系统形同虚设,难怪微软在2008年终于总结出Windows满目疮痍补丁成堆的原因在第三方软件上。但细心的用户不禁要问,第三方软件赖以栖身的Windows难道身上就没有问题吗?
●微软的安全报告数据统计
软件发展的缺陷导致漏洞大开
众多的通用软件,更多的漏洞与补丁,微软虽然责怪第三方软件公司,显然这同微软自身的政策与操作系统的特点是紧密相连的。归结原因,主要有下面几点:
首先,微软平台选择了开放与闭塞相结合的方式。所谓闭塞,是指微软始终坚持不开源或部分开源,其绝大多数源代码是作为知识产权和机密的形式不为外人所知,但为了推广操作系统,其又不得不与软件和硬件厂商合作,因为没有软件硬件厂商支持的操作系统如无源之水无根之树,这使得其不得不对这些合作的厂商开放编程接口,以期进行更多的应用,获得更多用户的支持,从技术上来说,这些第三方厂商也非常被动,一方面他们没有得到微软百分之百源码支持,另一方面又不得不使自己的产品运行在这一微机操作系统领域最牛的平台之上,正是这一组矛盾,造成了第三方支持软件的众多漏洞的根本原因。微软与其第三方软件开发商本身也是一种竞争合作的关系。浏览器的竞争是最好的例子,为了守住通向互联网的这条通道,微软最终选择了将它与自己的操作系统免费捆绑,捆绑的最后结果是所有的浏览器都走向了免费,但各自为了自己的利益还是寸土不让。即使口碑好的大厂商,为了自身利益铤而走险的事件也层出不穷。
其次,应用软件厂商为自身利益考虑在系统中设有后门,后门一定程度上可以视为厂商安装的木马。既然厂商可以安装,从理论上来说其他黑客完全也可以,并且此类事件层出不穷。象年初曝出的Adobe在其CS3中的问题。
最后,最根本的原因还在于操作系统和软件本身的限制。软件业发展到今天,其错误控制能力并没有得到改善,而随着软件代码数量的加大,这种控制能力更加脆弱。其实不仅是第三方软件,微软自身的软件未能幸免,象IE成为木马与破坏的绿色通道就是一个最好的例证,而被称为史上最安全的操作系统Vista在刚推出不久后,通过第三方邮件程序其安全之身也被攻陷,微软某负责人也辩解称: Vista既不是一无是处,也不会是完美无瑕;并且没有任何人的任何软件能做到完美。这种说法也道出了大软件公司的无奈。
适度容忍技术的混乱
从技术的角度来看,绝对的安全是不存在的,看似好象不堪一击的系统,其推广水平反而更好,XP是一个最好的例子。而看似铁桶一般的系统,反而不一定受用户青睐,Vista多少能说明一些问题。从微软的操作系统的发展历程来看,Windows Vista究竟比DOS安全上进化了多少,谁也很难说清楚,但在互联网的进程中,我们人与人之间的联系更方便更近了,由互联网引出的问题也随之增多。微软的安全报告能说明一些问题,但并不象其表相或表面的结果那样直白,而九月末的一个号称微软有史以来最大的安全漏洞也验证了上面的说法,这个漏洞可以给微软归罪安全问题给第三方软件厂商一记响亮的耳光,攻击者可以将木马藏于图片中,影响范围包括IE浏览器、Office软件以及windows自带的图片浏览工具,当然波及了目前几乎所有能查看、展示主要图片格式的第三方软件,包括主流聊天工具、浏览器、看图软件和视频播放软件。从这一点来看,安全性的缺失不在于软件作者究竟是哪家的,而本质上还是操作系统和软件模式本身的固有问题,正象中国著名女作家张爱玲的名言:生活是一袭华美的睡袍,里面长满了虱子。操作系统亦然。
相关文章
同类最新