|
|
|
 |
|
殺毒廠商大賣“過期藥”?
|
|
來源:計算機世界 2007-09-24 16:10:55
|
|
芬蘭赫爾辛基理工大學(xué)的教授漢努·卡里悲觀地認(rèn)為,如果病毒和垃圾郵件迅猛增加等不利情況得不到有效遏制,互聯(lián)網(wǎng)有可能因不堪重負(fù)而在兩年內(nèi)崩潰。 這絕不是危言聳聽。公安部頒布的《2004年全國計算機病毒疫情調(diào)查分析報告》顯示,2004年重復(fù)感染病毒3次以上的用戶高達57.07%。其中,相當(dāng)一部分用戶是因為殺毒軟件對新病毒反應(yīng)滯后而遭受重復(fù)感染的。 大量新病毒的出現(xiàn),使用戶們惶恐而又無奈。那么,反病毒廠商們在干什么?用戶在想什么? 一位網(wǎng)管很無奈地說,“我已經(jīng)很小心了,做了很多限制,但是我不知道什么時候我的系統(tǒng)會因為新病毒而崩潰,坦率地講,升級殺毒軟件對我而言是亡羊補牢—不干不行,干了又不一定行。” 病毒為何如此可怕?目前我們所依賴的“特征碼掃描”殺毒機制,只有在一部分人受到損害后,病毒才有可能被遏制。而這一人群正變得越來越大,甚至有很多人在受到一些特制的病毒損害后自己都不知道,那些病毒并沒有“捕獲”更沒有被殺掉。殺毒廠商的買賣越做越大,但這一殺毒機制將永遠跟不上病毒的速度。憑借廠商提供的“過期藥”,我們的投資能讓我們在多大程度上放心呢? 從破壞設(shè)備到偷盜財產(chǎn) 病毒最早出現(xiàn)時,只是程序高手們炫耀技術(shù)和滿足自我成就感的玩笑或者惡作劇,漸漸地開始具有破壞性,從破壞數(shù)據(jù)到破壞硬盤,其中CIH是一個分水嶺。CIH制造者陳盈豪一夜成名,雖然陳盈豪本人對反病毒概念大眾化普及功不可沒,但是他這種以破壞為目的的病毒制作思想注定成為過去。 根據(jù)國際著名病毒研究機構(gòu)ICSA統(tǒng)計報告,目前通過磁盤傳播的病毒僅僅占7%,剩下的93%來自網(wǎng)絡(luò),其中包括Email、網(wǎng)頁、網(wǎng)絡(luò)下載、QQ和MSN等即時通信工具。而賽門鐵克方面表示,他們在全球180個國家和地區(qū)有2萬臺服務(wù)監(jiān)視器,公司從運行反間諜軟件的1.2億個客戶、服務(wù)器和網(wǎng)關(guān)上收集惡意代碼數(shù)據(jù),這從另一個角度反映了“惡意代碼”普遍泛濫的現(xiàn)狀。 2004年,電腦病毒已經(jīng)開始將破壞重點從單純的破壞系統(tǒng)文件轉(zhuǎn)移到盜取用戶卡號、密碼等隱私信息上面。更多病毒制造者已不再滿足游戲賬號的盜取,經(jīng)過嘗試盜取信用卡的試探后,充分利用各種各樣的新技術(shù)、系統(tǒng)漏洞,試圖用“網(wǎng)絡(luò)釣魚”等欺騙手段,偽裝官方網(wǎng)站或假冒官方發(fā)送客服郵件等手段,偷竊電腦用戶的銀行賬號和其他機密信息,病毒的牟利特征十分明顯。 我們可以清晰地看到,今天的病毒已不再是當(dāng)年的“病毒”,而是具有很強目的性和攻擊性的惡意代碼。 反病毒廠商江民科技公司在其《2004病毒疫情報告》中指出:2003年所截獲的各類病毒中,木馬占全年截獲病毒總數(shù)的32.24%, 2004年這一比例達到63%,同比增長了30.76%。統(tǒng)計結(jié)果還表明,在所發(fā)現(xiàn)的木馬類病毒中,竊取銀行賬號、信用卡、游戲賬號、郵箱賬號等偷竊個人信息性質(zhì)的木馬數(shù)量有快速增長趨勢,其中2004年發(fā)現(xiàn)此類木馬占所發(fā)現(xiàn)木馬類病毒的31.74%。 今天,病毒已經(jīng)真正地上升到信息安全的高度。我們的印象中,以前的病毒是對機器造成危害,而現(xiàn)在是危害你的信息安全,甚至是與此相關(guān)的個人虛擬財產(chǎn)和現(xiàn)實財產(chǎn)。 據(jù)反病毒專家分析,當(dāng)今的“病毒”已經(jīng)具有一些明顯特征。首先是攻擊途徑多樣化,可以直接對聯(lián)網(wǎng)的計算機進行攻擊。有的在用戶瀏覽網(wǎng)頁時進行攻擊,有的通過郵件、MSN或QQ等網(wǎng)絡(luò)交流工具進行攻擊。第二,傳播速度快,從病毒的出現(xiàn)到感染上百萬臺計算機僅需幾分到幾十分鐘。第三,有很強的“偷盜性”,與利益密切相關(guān)。以往病毒制造者所編寫的病毒通常是“損人不利己”,目前病毒越來越多的是以竊取銀行賬號、信用卡、游戲賬號、郵箱賬號、機密文件等偷竊個人或企事業(yè)核心信息為主要目的。 道路是坎坷的,前途是光明的嗎?我們又該如何面對這樣的新病毒時代? 殺毒廠商難以自圓其說 病毒從誕生之日起就是一場戰(zhàn)爭,永無休止的戰(zhàn)爭。 首先是病毒損害了一部分用戶的利益。第2步,殺毒廠商通過有限途徑拿到“病毒樣本”,然后程序員們對病毒樣本進行分析,將病毒特征碼放進“病毒庫”,然后讓用戶升級他們的殺毒軟件,這個過程有長有短。這就是“捕獲→分析→升級”的殺毒市場模式,并且一直沿用至今。 有業(yè)內(nèi)人士提出,這就是所謂的殺毒產(chǎn)業(yè)“醫(yī)院模式”。這里面有一個潛臺詞:“病毒是不可避免的,損失也是不可避免的。” Java程序員戚先生則一針見血地指出:“所謂‘醫(yī)院模式’是個借口,誠然軟件不可能沒有缺陷,但并不意味著軟件思想可以不提高、不改變。” 對于用戶而言,購買殺毒軟件是要最大限度地保障信息安全,網(wǎng)管袁先生說,“我們期待的殺毒軟件應(yīng)該是像UPS一樣能夠有保障的,而不是建立在損失的基礎(chǔ)上。” 病毒的不可避免這是真理,但不意味著它的損失可以不停地放大。仔細(xì)追究,“醫(yī)院”和“殺毒軟件”有著本質(zhì)上的不同,從用戶需求和“病”的產(chǎn)生模式而言,它們都是不同的:醫(yī)院是以救治為主的,而殺毒軟件是以保護為 初衷的。“UPS模式”才是用戶們的期待。 一方面是巨大的損失。2004年4月份,云南某家網(wǎng)吧傳出80余臺電腦網(wǎng)絡(luò)游戲賬號一夜全部被盜事件。緊接著“網(wǎng)銀大盜”突現(xiàn)網(wǎng)絡(luò),能夠輕松繞過某銀行網(wǎng)上銀行系統(tǒng)的安全插件,盜竊用戶銀行卡賬號及密碼,巨額資產(chǎn)岌岌可危。 另一方面,病毒制造者們的熱情和利益又造就了日益膨脹的信息安全市場。總部設(shè)在美國、關(guān)注計算機病毒和網(wǎng)絡(luò)安全的賽門鐵克公司,目前的市值為163億美元;專注計算機病毒、在美國和日本兩地上市的趨勢科技(股票代號:TMIC)公司,其市值為71.9億美元;專注網(wǎng)絡(luò)安全的Check Point (股票代號:CHKP),市值為61.4億美元。(注:上市公司市值來源于2004年12月31日收盤時數(shù)據(jù)) 而在國內(nèi)市場,2003年網(wǎng)絡(luò)安全產(chǎn)品的總銷售額達23.57億元,比2002年增長了5.21億元。預(yù)計到2006年,我國網(wǎng)絡(luò)安全產(chǎn)品市場的規(guī)模將達到100億元人民幣。 信息安全產(chǎn)業(yè)不完全取決于反病毒軟件,但用戶對終端保護的依賴性是極強的,信息安全損失雖然不能完全與反病毒軟件掛鉤,但最起碼是息息相關(guān)的——網(wǎng)管袁先生就強烈表示:“要不然我們購買反病毒軟件干什么?!” 反病毒廠商做的正是抑制病毒危害的工作,如果它們的商業(yè)價值越高,就應(yīng)該更好地抑制病毒危害,減少病毒帶來的損失。雖然不是直接關(guān)系,但在理論上,兩者價值應(yīng)該成反比。 這種奇怪的價值正比增加的根源就在于,殺毒廠商永遠是跟在病毒后面。就算殺毒廠商以最快速度截獲病毒,損失依然不可避免。今天,我們國內(nèi)最大殺毒廠商已經(jīng)開始用70多人的技術(shù)隊伍來應(yīng)付每天幾十個病毒。那么,病毒在遞增,殺毒廠商的人力資源是不是也可能無限遞進?這些遞進成本從哪里來呢? 這也正是這個產(chǎn)業(yè)大廈地基上的裂縫所在。那么,產(chǎn)業(yè)危機在哪里?未來在哪里? 欲速而不達 信息安全的關(guān)鍵在哪里?首推的應(yīng)該是速度。病毒的可怕之處在于其感染速度,因此信息安全廠商們似乎也在比著速度——誰先為用戶解決問題誰就更有價值。 據(jù)聞,在紅色代碼突發(fā)的時候是一個星期六,國內(nèi)最先捕獲該病毒的廠商實際是在6天之后才給出反應(yīng),但在市場上已經(jīng)占領(lǐng)了先機。 可以說,這種速度甚至意味著商業(yè)地位。早在2001年,因為提前了24小時捕捉到新病毒,趨勢科技的市值飆升幾十億美元。 可是,每24小時里將有億萬互聯(lián)網(wǎng)用戶面對諸多未知病毒。而且可以確定的是,他們中的部分人注定要付出代價。這是一個不小的數(shù)字,并且隨著網(wǎng)絡(luò)和病毒的發(fā)展,這個數(shù)字還將不斷變大。 從這個角度來說,這帶來了幾十億美元的24小時還值得稱道嗎?對于那些已經(jīng)受害了的用戶,他們完全有資格說一句:這些忙碌的殺毒廠商確實沒有盡到他們的責(zé)任,只是被動地固守著現(xiàn)有的贏利模式,缺乏足夠主動性。 基于事實我們發(fā)現(xiàn),殺毒廠商最可悲的地方實際上也在于速度。產(chǎn)業(yè)鏈中的殺毒廠商們只有通過更加頻繁的升級來掩飾這種速度上的致命弱點,但是,無論如何高頻率的升級,從目前的殺毒機制而言都是滯后的,人工的反應(yīng)永遠滯后于病毒,頻繁升級的“偽速度”正好反映了反病毒產(chǎn)業(yè)的窘迫。 目前,殺毒市場的商業(yè)模式是這樣的:病毒好像一個火車頭,后面拉著信息安全廠商,它們行駛在同一條鐵軌上,廠商永遠無法“超車”病毒。這種思路下,它們只有無可選擇地充當(dāng)滯后者。 難道這一命運真的無法改變嗎? 進攻是最好的防守? 今天,信息安全已經(jīng)不再是一個單純的IT問題,而是一個社會問題。 從技術(shù)上而言,擺脫傳統(tǒng)的跟隨思想,才能從根本上解決問題。要了解病毒,不是拿到病毒之后再去了解,而應(yīng)了解它的思路、了解黑客、了解病毒制造者。“最好的防守是進攻,從源頭去了解,才有可能制服病毒。”或許,這是一個更好的思路。 在這場病毒與殺毒的較量中,廠商正在更換自己的思路。未知病毒查殺技術(shù)被國際反病毒界公認(rèn)為未來反病毒技術(shù)的發(fā)展趨勢,對未知病毒查殺能力的高低將標(biāo)志著一個殺毒軟件的技術(shù)是否先進。 在專家看來,所謂“預(yù)殺毒”的幾種思路大致是這樣的:用硬件協(xié)防,提前進行端口檢測;對注冊表進行檢測也是一種方法;另外,對同一個漏洞的攻擊,它的“攻擊包”是相對一致的,所以針對某一個漏洞的病毒是可以預(yù)防的。比如,對于某些蠕蟲病毒“預(yù)殺毒”是可以實現(xiàn)的;還有一種思路是通過對病毒行為或者運行機理的判定,進行動態(tài)的“病毒行為的判斷”。 目前,國外幾大著名反病毒軟件廠商均將對未知病毒的查殺作為主要的研發(fā)方向。據(jù)介紹, 微軟正在研究“behavioural blocking(動作阻擋)”技術(shù),并準(zhǔn)備推出相應(yīng)產(chǎn)品,用以減少由蠕蟲和病毒帶來的傷害。它的原理是以病毒的可疑動作作為判斷依據(jù),這樣可以一定程度上實現(xiàn)“病毒預(yù)防”的作用;瑞星聲稱,他們研發(fā)了行為模式分析(BMAT)和腳本判定(SVM)兩項查殺病毒技術(shù)來實現(xiàn)對未知病毒進行檢測; 趨勢科技采取的則是對漏洞包的監(jiān)測,也可以起到一定的預(yù)防效果。 但是業(yè)界普遍認(rèn)為,還沒有一種“預(yù)殺毒技術(shù)”能對現(xiàn)有殺毒商業(yè)模式起到顛覆作用,“沒有成熟的產(chǎn)品,各種預(yù)防技術(shù)還都相對片面,還不能夠商用。”但也有渠道商刻薄地笑言:“現(xiàn)在的殺毒軟件已經(jīng)很能賺錢了,為什么要換新的——反正用戶習(xí)慣了,具體多大效果無法量化。” 技術(shù)專家王先生表示,“人的想法是沒有定律的,病毒制造者們做病毒的思路也沒有定律,這就注定了‘預(yù)殺毒’也不可能一個不漏地捕獲病毒。” ● 評 論 誰來為我們保險? 倘使我是保險公司,我一定開設(shè)一個新險種,叫做“病毒險”。 這樣,保險公司就可以和病毒制造者、微軟、殺毒軟件公司還有用戶就形成了一個真正完整的產(chǎn)業(yè)鏈。今天的用戶和殺毒產(chǎn)業(yè)都太需要買一個保險了。 病毒不斷在新的思路上升級破壞性,而殺毒廠商卻仍然在舊有的思路上升級產(chǎn)品。用戶已經(jīng)對殺毒軟件的“病毒特征碼”庫升級形成了依賴,可悲的是,這種依賴已經(jīng)越來越不可靠。 問題就在于,在“捕獲→分析→升級”這個殺毒產(chǎn)業(yè)賴以生存的舊有模式上,最基礎(chǔ)的“捕獲”這一環(huán)節(jié)出了問題,而且是目前還無法解決和規(guī)避的問題。 面對機器里已經(jīng)造成損害的病毒,或許懂禮貌的殺毒公司會送上安慰的話,但最重要的是將病毒樣本“捕獲”以豐富他們的病毒庫。這種建立在既有用戶受損害基礎(chǔ)上的病毒“捕獲”,作為殺毒市場的基礎(chǔ),曾經(jīng)是適用的,并且起到了很大的作用。但是隨著病毒種類的增加,這種“捕獲”背后的犧牲者會越來越多,更不可容忍的是,一定會有很多“定制”出來的病毒永遠都無法“捕獲”。并且,隨著病毒量的飛速遞增,這后面的損失無可估量。 也就是說,假如病毒是“小偷”的話,充當(dāng)警察的“殺毒公司”們就只能抓那些有案底的“小偷”,這些案底就相當(dāng)于“病毒特征碼”庫。可是正如陳佩斯的光頭比朱時茂搶眼一樣,在大量病毒層出不窮的今天,病毒這個“小偷”已經(jīng)比“警察”更出風(fēng)頭了。 對那些掏錢的人來說,這真是個不幸的消息。 你的私人信息、虛擬財產(chǎn),甚至銀行里的存款都是不安全的,而你和你花錢買的殺毒軟件還都渾然不知。這并非恐嚇或者科幻,這樣的噩夢已經(jīng)開始了。 理論上沒有一種軟件能夠殺死所有的病毒。可這并不是理由,我們可以容忍有缺陷,但這并不代表我們能容忍越來越多的缺陷。除了共產(chǎn)主義社會外,不可能有哪個社會沒有小偷,但是,我們的警察能總是以不變的手段來對付小偷嗎?警察不僅要抓小偷,還應(yīng)有防范作用! 最大的問題就是,殺毒市場的基本思路最近多少年來沒有改變,已經(jīng)不適應(yīng)目前病毒的新特征。從一個角度看,他們“對不起”那些自己辛辛苦苦培養(yǎng)起來的依賴著他們的用戶。 很遺憾,我不是保險公司,那些跟殺毒廠商同樣會做買賣的保險公司斷然不會大規(guī)模地推行“病毒險”。因為,倘若我們的殺毒廠商們還這么干下去,保險公司的風(fēng)險實在太大了,賠不起。 那么,我們的信息安全,誰來為我們保險? |
