新征程：2009年互联网安全热点展望

漏洞补丁与注入攻击

    我们一起走过一个让人大喜大悲的2008年，互联网上的血雨腥风刚刚退去，即将到来的2009是否会掀起新一波高潮？在金融危机大背景下，互联网安全形式的确不容乐观，就目前的态势看，以下几个方面很可能是2009年的安防重点，希望广大用户能够提高警惕。

    一、漏洞补丁

    系统漏洞、软件漏洞……这一系列的漏洞成为了攻击者最好的武器，随着微软开始全力封杀盗版系统，一些还在使用盗版的用户不敢再进行在线更新，这种有补丁不敢打的情况很可能会在短期内滋生更多的攻击。我们要肯定微软封杀盗版的行为，但在中国当前环境下，有些用户还无力支付正版费用时，铤而走险承担漏洞也成了无奈选择。

    0day仍然会毫不松懈的将漏洞挖个遍。微软漏洞补丁发布很及时，但就是在这个缝隙中，仍然有大量主机遭受攻击。前一阶段IE7爆出的漏洞就能说明这个问题。软件补丁也不例外，杀毒软件在2008年频频出现低级错误，误杀现象屡见不鲜。而对于一些更新不太及时，用户黏度高却升级不利的软件来说就比较麻烦了。比如WinRAR曾经爆出的漏洞，即便官方已经升级，但由于自身缺少Update机制，造成大部分用户根本不知道这个状况，另外以Flash播放器的漏洞也可以看出此类问题。

    漏洞威胁以其不确定性让很多用户头疼，事实上，一个好的应急机制此时是十分必要的，除了开启软件和系统的自动更新功能外，时刻关注公布漏洞的网站也很必要，自动+手动才可能避免一触即发的漏洞威胁。当然，安装一款带有安全补丁更新机制的杀毒软件也是有帮助的。

    二、注入攻击

    2009年初，针对Discuz!论坛的攻击拉开了注入式攻击的序幕，谁让asp、php这么流行呢？谁让特殊字符那么难的过滤干净呢？一切使然，从国外传进来的注入技术，虽然已不被外国黑客青睐，但在国内却是一片繁荣的景象。

    这次论坛集体休克事件后，让越来越多的站长对即成程序表示了担心和怀疑，因为一旦漏洞出现，其普遍应用性远远大于网站本身招致的危险。其实SQL注入攻击早已是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多，但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。

    虽然补丁越打越多，但随着程序功能的愈加强大，其注入点只会越来越多，只不过发现的难度要更大了。由于SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。目前已经有针对服务器端的asp木马检查工具，但还是需要手动才能实现，另外还要看服务商是否做好的磁盘权限划分工作，否则一旦被侵入，不仅仅是单独网站，整个服务器都要遭殃。

隐私危机与手机陷阱

    三、隐私危机

    SNS的兴起让人们拉近了距离，互联网不再仅是虚幻的天堂，当真实性得到提高后，又有谁能保证这些隐私的安全呢？前一阶段曝光的数据交易内幕中，一位黑客就表示：像开心网这样的热门社区，强调实名注册，一个登录账户和个人资料最多值几毛钱，QQ用户的资料也就值几分钱，得手后往往将其提供给一些商家。但这个价格仍然高于邮箱，在国际黑客价目表上，100万个国际电子邮件地址售价4英镑，中国也应该差不多，黑客总是打包把邮箱卖给商家发垃圾邮件，但这个价值不大。

    其实SNS本身的效应就已经涉及到隐私危机的问题，真心话大冒险，投票系统让熟人之间了解对方的隐私。当然，从技术角度上看，SNS的隐私危机还不仅于此，由于都是互相了解的人，一旦账号被破解，其在页面上放置的一些信息很可能将其它用户导向危险地区，这也是信任度提高后的一种钓鱼方式。相信2009年会有更多黑客将攻击方式在SNS上应用，对于个人用户来说，防范自身账号安全就显得尤为重要了。

    四、手机陷阱

    前不久工业和信息化部为中国移动、中国电信和中国联通发放3张第三代移动通信(3G)牌照，此举标志着正式进入3G时代。3G的速度会影响新一代手机终端应用，而手机应用也会更加多样化，在此终端上的网络也势必会有风险因素，很早时候的手机病毒可谓雷声大雨点小，而随着3G技术的彻底普及，肯定会有新的威胁出现。

    由于智能手机和手机终端性能的增强，再加上网络架构已经允许高速通讯，这块领地在制造巨大利润的同时，危险更加不可预测。众所周知，在ADSL普及时代，曾有很多用户丢失账号而造成财产损失，而手机帐号的通用性更为黑客偷窃带来了便利。尽管手机终端网络威胁还处在概念阶段，但我们有理由相信，这里的天空在2009年绝非像想象中的晴朗。

    2009年的互联网安全会遇到新的挑战，常规的攻击手段会随着漏洞的升级和形式的改变变得更加诡异，新兴的网站模式将引起一系列创新攻击，而电子商务和SNS的大行其道也会助长钓鱼式攻击，但万变不离其宗，任何攻击都是有源头的，无论是漏洞、弱口令、社会工程学诱骗……这些入口方式不会有太大变化，至于载体上是我们无法控制的。提高安全意识，善用正版软件，减少不良网站浏览次数，良好的网络习惯是避免攻击的日常良方，安全是相对的，因为进攻和防守代表着两个对立面。