如果这个威胁很严重,这个问题立即转入中心的应用操作室,这里有一群微软的工程师,昼夜不停分析有问题的代码,预测攻击的路径,想出软件补丁来修正这个漏洞和提醒几百万的用户这个问题及补丁。
“它是否紧急,反应是否快速?在这个意义上讲,它真的象急诊室。”保护计算机病人的战斗又再次打响。
在9月10日,Kean的队伍刚结束另一个急诊室的任务之后,微软发布一个Windows系统的严重弱点的紧急警告,而且还发布了一个补丁,这是它今年第39次发布这样的补丁。这次的漏洞也是同上次8月冲击波所攻击的漏洞差不多的Windows安全漏洞。
那些监视互联网紧急时刻的人都知道一当微软发布出警告或补丁,一场奇怪的战斗就打响了,那些编写蠕虫、病毒和其他无赖程序的数字破坏者急切地下载补丁和反向工程,来查找出线索如何攻击Windows。
微软的一部分公司或家庭电脑用户,会下载补丁,但大部分是不会的。这个时候,恶意代码就在互联网上到处搅乱。冲击波病毒是微软公司公布了补丁之后25天才出现的。最近的警告是在19天前发布的,估计冲击波二不久就会来了。
在卡内基梅龙大学的CERT中心在今年上半年报告了76404次攻击事件,接近去年的总数82094次,而2002的事件总数将近于2000的4倍。CERT的数据可以保守的说明问题
Kean的队伍所抓的安全漏洞并不是有规则的出现。现在人们依赖于的程序,越来越庞大,复杂,自然不可避免有问题。而且许多机器都链接着互联网使这个问题更加严重。
许多软件的缺陷都是程序员的小疏忽造成的。绝大多数的程序都是新代码和以前的旧代码的混合体,几年前工作的程序员不能预见到在互联网时代,软件的额外的复杂性和交互作用。许多旧代码的使用,有时会导致无意识的麻烦。
计算机专家认为安全漏洞是软件经常不可靠的一种表现,而软件构建在经济基础之下,“这些蠕虫和病毒只不过是冰山一角”。
那些无赖的软件主要都是利用微软产品上的弱点,而且微软是计算机安全专家的指责的主要对象。但是在微软产品的安全漏洞上来看,这些还是取决于该公司的在个人电脑领域的成功之上。
个人电脑的商业模式已经是快速地将产品推向市场,不停的加上特色,市场方向则推广把每个新版本当作为千禧年事件那样来宣传。微软十分完美地完善了这个模式,吸引了几百万的户,但当安全专家指出个人电脑商业模式没有搞入更多来打造一个安全和好管理的软件。其他理由,就是因为超过90%的个人桌面电脑都是使用微软的系统,该公司的Office包已经占领了90%的文字处理和电子表格和表述的软件。
像Linux、Unix和Macintosh等,专家都表示,它们都有安全漏洞。“但是他们很难引起关注和攻击,不象微软,其他的技术公司合起来都没有3000万用户,这就不是微软的问题”。
使软件更加可靠和安全的工作将没有那么快和容易,但计算机科学家和行业分析家表示,这个目标是可以达到的,一些鼓励性质的步骤已经被采用,但最重要的是,是改变对整个市场的态度,因此软件制造商将有更大的动力来对建造更好的软件。“基本上,制作商是会建造那些人们愿意付帐的软件的。”显而易见,公司和联邦政府都在强调得到安全的软件。
改变市场动机决定性的一个步骤将是将产品责任法扩展到软件产品。因此,软件公司可能通过一些冗长的警告和不承诺,并出售使用软件的许可,而不是拥有软件的许可来避免官司。这个行业对软件应该对病毒负法律责任的意见一直持抵制态度,他们的辩解是软件是一种高度复杂的产品,用户有可能错误使用或擅自修改,因此对任何单个的公司而言,让他们来承担责任都是不公平的。是否软件行业可以在产品责任法继续运营,目前还是个未知数。
技术给了编程人员很多工具来编制更可靠的软件。Sun公司开发的Java编程语言和微软开发的C#都是能编写“托管代码”的技术,它们极大地限制了由编程中不定代码带来的破坏。“你不得不使用它,因为只有这样当编程人员犯错误时,危险也不会发生。”
在微软,已经有相当多的时间花在设计产品的安全考虑上了,“从对工作特色的强调到可信和安全的计算的强调的转变,这是一个大方向的转变”。微软安全工程政策主任Steven B. Lipner表示。一些安全标准已经在Windows Server 2003上显示出改进了。但是仍然,这些年在软件工程质量上的进步还需要在安全和可靠性来体现出来,而且还应该和教育同步。“教科书中的例子经常会因为有易受攻击的弱点而让人觉得疑惑。”“计算机科学文化是基于编译,让其运行,然后再修补其漏洞。 我们需要计算机科学文化能从‘牛仔’转变到‘工程师’”。
即使是他的急诊室的队伍在不停修补微软的漏洞时,Kean也同意,“并不光是微软,整个世界都需要更安全的计算,这需要一个文化的转变”。
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |