分类

安卓应用安卓游戏攻略资讯

首页>资讯教程>网络安全

漏洞频繁出现 安全软件不再安全?

作者:不详   来源: JZ5U整理   日期:2019/06/27 04:52:37
保护电脑的安全软件日益成为黑客攻击的目标,其漏洞也在逐渐暴露出来,数量之多甚至超过了微软产品。

也许你会认为自己的电脑足够安全,因为你安装了最新的反病毒软件,而且明天通过互联网进行更新,或者你认为你安装的防火墙软件将阻止恶意代码攻入你的电脑。然而,事实上并非你想像的那样。黑客正在充分利用安全软件中发现的漏洞来对电脑进行攻击。

漏洞百出 安全软件不再安全?

据咨询机构Yankee集团即将于6月20日发布的研究报告,在安全软件产品中发现的漏洞数量已经连续第三年呈现增长趋势,而且今年其漏洞数量首次超过在微软产品中发现的漏洞数量。这些安全软件的漏洞大多数由研究机构、大学和安全公司发现。问题在于这些发现的漏洞被黑客用于不可告人的目的。

据Yankee研究机构的高级分析家安德鲁-加奎斯称,去年安全软件产品中发现的漏洞数量达到了60个,几乎是2003年31个漏洞数量的两倍。该分析家从报道过的软件漏洞中精心统计了来自安全软件产品的漏洞数量。到今年5月份,安全软件产品中发现的漏洞数量达到了23个,比去年同期增长了50%。而且随着夏季这个黑客发动大规模攻击季节的带来,会有更多的漏洞被暴露。到目前为止,微软产品中暴露的漏洞数量只有22个,低于安全产品中的漏洞数量。

这些数字无疑让安全软件厂商感到了尴尬,安全软件为这些厂商带来了数十亿美元的收入,但是现在它们却成了黑客的帮凶。以前安全软件厂商忙于为微软产品中的漏洞大补丁,而现在它们得为自己的产品打补丁了。为此安全软件厂商辩解道,每个人都知道无法开发出完美无暇的软件产品。

据Yankee集团的这份研究报告,赛门铁克安全软件产品中的漏洞数量从2003年的6个增长到了16个,在几大安全软件厂商中,其发现的漏洞数量最多,但是到了今年,赛门铁克的状况有了很大改善,截止于5月份,赛门铁克产品中发现的漏洞数量仅为2个。

在2004年安全软件产品漏洞数量排行榜上,F-Secure公司位居第二,其漏洞数量为10个,2003年为0个,今年为1个;2004年CheckPoint软件产品漏洞数量为7个,2003年为1个,今年为3个;随后为NetScreen、RSA、BlueCoat系统公司、McAfee。

研究人员和黑客:查找安全软件漏洞 挑战并快乐着

作为安全软件市场的领导厂商,赛门铁克无疑成为了黑客的首选目标,这是因为其产品庞大的用户群体,因而黑客的攻击能够起到更大的影响力,这也是微软为其产品中众多漏洞做辩解的理由。但是Yankee集团的分析家加奎斯指出,作为第二大安全软件厂商,McAfee的表现更为出色,其漏洞数量呈现下降趋势,从2003年的5个下降到了2004年的2个,今年其发现的漏洞数量也只有2个,无疑从这方面来看,McAfee的产品质量已经处于领先地位。

赛门铁克的官员对此拒绝做出评论,但是在一份声明中,安全软件巨头表示,这份研究报告将整个安全软件产业和单一的一家公司微软做比较是不合适的。该声明称,这不是对等的比较。不过分析家加奎斯回应之所以这么比较是因为微软产品是黑客首先攻击的目标。该分析家指出,去年安全软件产品的漏洞数量增长率超过了整个软件产业。

业内人士指出,目前安全软件之所以存在隐患主要有三个方面的原因:第一,现在的软件比过去要复杂得多;第二,互联网无所不在;第三,系统可扩展性。到底是什么在推动安全软件产品中的漏洞频繁曝光了?部分原因是一些专业人士炫耀其能力的结果。计算机安全顾问和研究人员经常会表示他们能够在发现软件产品中的漏洞为荣。他们的思路是一旦漏洞被发现并公开,厂家和安全软件公司就会迅速升级其产品。

一直以来这些研究人员热衷于给微软的操作系统查找漏洞,现在安全软件为其提供了新的机会。与此同时,许多黑客也找到了同样的乐趣,他们也开始在安全软件中寻找漏洞并试图将其用于不正当目的。

安全软件成黑客帮凶 警钟敲响

尽管安全软件产品中发现了很多漏洞,但是正在被黑客利用并发动大规模攻击的只有一个。Witty蠕虫就利用了互联网安全系统(ISS)公司安全软件产品中的漏洞在2004年3月20日公布后的72个小时后发动了大规模的攻击。

IIS的首席执行官托马斯-诺朗表示,一部分ISS用户由于及时通过互联网得到了补丁包,从而避免了一场灾难,但是群体用户就没有幸免。该蠕虫病毒会重写感染电脑系统硬盘的数据,从而使得整个计算机系统崩溃。据统计,1万2千台服务器被感染,但是恶意的软件损害的不仅仅是硬盘数据:在这一蠕虫病毒公布之后,ISS的股价暴跌了5%,为15.98美元,不过自从那以后,IIS的股价开始复苏,目前已经攀升到了21.60美元。

在IIS的历史上,它的产品中只发现过三个漏洞,但是诺朗表示这个蠕虫给其敲响了警钟,尽管我们用户中只有不到1%的比例受到了这个蠕虫的侵害,但是就是1%也是一个庞大的数字,它已经开始影响公司内部一系列的运作包括整个安全软件的开发流程。

危险的黎明

对其它公司来说,这也为其敲响了警钟。分析家加奎斯厂商更新其内部软件测试流程。最近赛门铁克和McAfee收购安全咨询公司就是试图加强这方面的力量,这些安全咨询公司擅长于对软件产品进行测试性的攻击,因而在安全软件产品发布前,就可以在公司内部进行攻击性测试。

安全软件厂商表示它们已经将产品中的漏洞最为相当严肃的事情来对待。尽管如此,安全软件产业不得不面临一个新的挑战-不管代码有多么完美,它都不再安全。VeriSign公司的首席安全官肯-斯利佛表示,软件就是软件,它不可能完美无缺,我并不认为漏洞的出现是安全产业界的失败,只是黑客变得越来越聪明了。

如此看来,无论是计算机用户还是安全软件产业,危机四伏的黎明已经悄悄来临:因为安全软件不可能是100%安全。

文章推荐

应用推荐

网友评论