病毒引新浪微博地震 社交网络安全遇袭

蠕虫爬过——安全厂商感受“余震”

微博有开放性、即时性等特点，加上飞快的传播速度，其巨大力量也在此突发事件中得以体现，其影响也随之扩大。目前，以微博为代表的新型社交媒体逐步走向人们生活的方方面面，社会影响力不容忽视。“社交媒体具有用户交互性强、第三方应用授权等特点”，360安全专家表示，包括Facebook、Twitter等国际知名网站都无法避免此类安全事故。

那么，“微博病毒”到底是个什么“毒”?经360安全中心技术验证，这其实是一个利用新浪网页漏洞而传播的“微博蠕虫”，其传播原理是利用XSS蠕虫跨站漏洞攻击，“这只是黑客恶作剧行为，并不会真的让中招电脑感染病毒”，点击恶意网址并不会使电脑中毒或导致密码失窃。据悉，目前该恶意网址已失效。用户只需删除恶意博文即可。

对于各安全厂商来说，“微博病毒”可能并非普通的“病毒”。金山安全专家李铁军表示，目前的安全厂商有能力解决XSS漏洞被利用的问题，现有的防御系统是可以防止网民点击攻击链接跳转到挂马网址或钓鱼网址的。“然而，从根本上杜绝XSS漏洞攻击，难度要大的多，需要互联网企业的开发人员更加重视代码安全”。江民反病毒专家戴硕也称：“近年来，国内外的著名社交网站几乎都遭遇过XSS蠕虫的攻击，新浪XSS蠕虫并不是国内的第一个XSS蠕虫，相信也不会是最后一个。”由此可见，“微博病毒”在给各大安全厂商敲响了警钟的同时，也为其提供了一个更为广阔的开拓空间，卡巴斯基产品部经理高袆玮认为：“社交网站安全防护并算不上是安全厂商的蓝海，但却是每一个安全厂商都必须给予足够重视的一个应用领域。”

“对于社交媒体本身来说，需要建立起快速响应和严格审计的流程体系”，360安全专家称：“把用户风险控制到最低是核心任务。”李铁军则建议，社交媒体可以尝试与安全厂商合作解决钓鱼欺诈，以及利用短址传播恶意链接的问题。“直接在服务端进行有害网址的筛选意义更大，即让用户前台感觉不到视觉体验的异常，还能成功过滤恶意链接”。 高袆玮认为，社交网站在提高自身安全意识的同时，给予用户足够的安全提示很重要。除此之外，戴硕还强调，社交网络应加强信息发布的验证机制，从“百密一疏”做到“滴水不漏”。

“蠕虫”爬过，安全厂商同样感受到了“微地震”后的余震，如何走好未来的路值得深思。360安全专家表示：“安全厂商应客观、严谨地发布安全警报，对受影响的用户提出处理措施和预防建议，不可随意夸大危害来推销产品。”高袆玮称：“安全厂商应该加强对社交网站的关注，及时预警。”同时，产品、技术的创新对于新的互联网环境下的安全厂商来说，意义更为重大。

老虫子故伎重演——与时俱进的考验

新浪公关经理陈金国对速途网表示：“28日20点20分左右，新浪微博上出现恶意链接内容，经过紧急处理后，我们于21点修复了这个问题，稍后也将恶意数据清理完毕。”今日下午，新浪微博又发布了公开声明向网友致歉，并保证用户的密码等个人资料信息不会受影响，同时透露：“目前掌握了相关证据，今天下午已向公安机关报案”。

李铁军称：“社交网站消息传播之迅猛超过历史上的任何其他工具。”的确，微博强大的社会效应使其吸引庞大的用户群的同时，也吸引了病毒集团的注目。最终，病毒事件的迅速解决也得益于“名人效应”以及“P2P效应”组成的新型响应机制。

微博蠕虫并不是一条“新虫”，却也面临了新的生长环境，“可以说，‘微博中毒’事件给互联网从业人员和管理者敲响了警钟”，中国互联网协会网络营销工作委员会副秘书长、速途网创始人范锋表示，社交媒体的“火热”发展不但在推动整个互联网的发展，同时也给开放平台带来了新的考验，给病毒以可乘之机。”

“但是这很难避免，病毒和计算机的发展几乎是相生的。”范锋认为，从社交媒体平台来讲，加强自身管理很关键，“相关法律、法规的完善以及网友安全意识的提高也意义重大”。

时代的发展总是带给我们“惊喜”，有惊，也有喜。而“惊喜”过后的思考往往比事件本身更重要，“微博中毒”事件过后，中国安全预警机制也在“考验”中日趋完善，如此，社会才能继续前进。
 

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友