CNET科技資訊網12月23日國際報道 當Santy.A 蠕蟲病毒在周二開始傳播時��
,安全研究人員米科就知道如何阻止它傳播��
,但他在與Google聯係時卻遇到了困難��
。
反病毒軟件廠商F-Secure公司的研究主管米科說��
,Santy.A 蠕蟲病毒利用了Google的搜索引擎來發現攻擊目標湃綣?oogle已經製訂了針對這些偶發事件的應急預案��
,它就能夠阻止這類病毒的傳播��
。
利用微軟的搜索引擎得到的資料顯示��
,在Google采取措施前��
,已經有近40000 個網站受到了感染��
。Google在周二晚些時候已經部署了過濾措施��
,阻止Santy.A 的傳播��
。
Santy.A 彰顯?oogle成功的另一麵��
:它已經成為黑客的目標��
、工具��
。隨著桌麵搜索工具和Gmail 電子郵件服務的發布��
,Google需要密切注意安全的軟件和服務也在增多�
。Google發現��
,無論是否願意��
,已經有大量的安全專業人士在研究其產品的安全性��
。Google的消費者Web 產品主管瑪麗薩說��
,越來越多的T詿影踩?慕嵌壬笫遊頤牽?蛭?頤欠⒉嫉牟?吩嚼叢蕉啵??抑??紉蒼誆歡鹹岣摺?/P>
包括從利用Google竊取機密資料到對Google產品的安全性進行審核在內的一些事件��
,對Google有很大的負麵影響��
。微軟安全響應中心的產品管理主管威爾遜表示��
,市場領先地位是一把雙刃劍�
,它意味著你需要承擔更大的責任��
,因為你已經成為了高價值的攻擊目標��
。微軟也遇到了這一問題��。安全專業人士從其產品中找出了大量的缺陷��
,其網站和電子郵件服務也經常會受到攻擊��
。威爾遜說��
,尊龍凱時被攻擊的原因就在於產品的普及性��
。
在過去的數個月中��
,安全研究人員已經在Google的產品中發現了一些缺陷��
。本周��
,一所大學的研究人員公布了在Google的桌麵搜索工具中發現了一處可能使用戶受到攻擊的缺陷��
;另一名研究人員在Google的Groups服務中發現了一處缺陷��
,Google已經修正了該缺陷��
。
在成為安全研究人員目標的同時��
,Google也成為了黑客眼中頗有利用價值的工具��
。安全專家和黑客都利用Google能夠查找有關網站資料的能力尋找存在最新缺陷的網站��
。利用Google的還不僅僅是黑客��
,惡意編程人員也使他們的傑作能夠自動地使用Google的搜索引擎��
。Santy.A 蠕蟲病毒通過Google發現運行有存在缺陷的phpBB 軟件的網站�
;MyDoom病毒的一個變種也試圖利用Google和其它搜索引擎發現電子郵件地址��
。
安全專用設備廠商NCircle 的技術總監蒂莫西說��
,這類攻擊的進展非常慢��
,Google應當已經做好準備了��
。他說��
,具有諷刺意味的是��
,這些威脅的名頭如此響亮�
,Google擁有一些安全領域的知名專家�
,但它D然沒有對這些威脅做出應有的反應��
。
Santy.A 蠕蟲病毒給Google敲了一記警鍾��
。盡管Google已經對拒絕服務攻擊有很高的警惕��
,但其搜索引擎成為一種蠕蟲病毒的核心組件卻還是“新生事物”��
。但就在一周前��
,安全研究人員就提出了有關病毒利用其搜索引擎的警告�
。在談到Google對Santy.A 的反應時��
,米科說��
,我認為Google的安全響應小組肯定在努力保護它自己��
,該蠕蟲病毒卻沒有攻擊Google�
,而隻是利用了Google��
,他們對此顯然沒有準備��
。
Google表示��
,它知道安全應當成為其主要的關注對象�
。瑪麗薩強調說��
,Google內部對其產品進行了嚴格的測試��
,並進行了β測試��
。事實上��
,許多發現有缺陷的產品都是正處於β測試階段的產品��
,例如桌麵搜索工具��
。她說��
,Google的安全戰還遠沒有結束��
。
Google已經注意到了產品安全問題��
。當桌麵搜索工具中被發現存在有缺陷後�
,Google的工具就能夠自動為用戶升級軟件��
,這是從微軟吸取的教訓��
。以前��
,“Windows 更新”服務在下載��
、安裝更新軟件時都會征詢用戶的同意�
,而在Windows XP SP2中��
,“Windows 更新”服務缺省設置為自動下載��
、安裝��
。威爾遜說��
,市場領先者必須意識到��
,需要保護用戶免受未來可能的攻擊��
,而又不會增加他們的負擔��
,最好的辦法就是切斷傳?矗?蛘摺吧彼饋貝?菊摺?/P>
與微軟一樣��
,Google在雇傭安全人士方麵采取了積極的措施�
。Google在其網站上發布了十多個軟件安全工程師職位的招聘信息�
。
NCircle 公司的缺陷研究主管邁克表示��
,在向用戶提供信息和向黑客提供信息之間很難找到一個平衡點��。很多?魷攏?oogle提供的產品與缺陷沒有任何區別��。在最近的攻擊事件中��
,安全專家可以采取的一個預防措施是��
,他們可以利用Google搜索出可能受到攻擊的網站��
,並向網站管理員通報受到攻擊的風險��
。但對於Google而言�
,這樣的搜索與攻擊沒有什麽二樣��
,它無法知道哪些搜索是惡意的��
,哪些?魘巧埔獾摹?/P>
對於Google而言�
,猜測搜索者的意圖是一種苛求��
。既然它的目標是搜索合適的信息��
,因此它不會輕易放棄的��
。瑪麗薩表示��
,Google的任務是組織信息�
。要提高信息的可訪問性�
,你需要確保以一種安全的方式來完成這一切��
,這使得安全成為了尊龍凱時必須提前完成的任務�
。
