芬兰赫尔辛基理工大学的教授汉努.卡里悲观地认为,如果病毒和垃圾邮件迅猛增加等不利情况得不到有效遏制,互联网有可能因不堪重负而在两年内崩。
这绝不是危言耸听。
公安部颁布的《2004年全国计算机病毒疫情调查分析报告》显示,2004年重复感染3次以上的用户高达57.07%。
其中,相当一部分用户是因为杀毒软件对新病毒反应的滞后而遭受重复感染的。
大量新病毒的出现,使用户们惶恐而又无奈。那么,信息安全厂商们在干什么?用户在想什么?
一位网管很无奈地说,“我已经很小心了,做了很多限制,但是我不知道什么时候我的系统会因为新病毒而崩溃,坦率讲,升级杀毒软件对我而言是亡羊补牢的——不干不行,干了,不一定行。”
病毒为何如此可怕?
从破坏到偷盗
病毒最开始只是程序高手们炫耀技术和满足自我成就感的玩笑或者恶作剧,渐渐地开始具有破坏性,从破坏数据到破坏硬盘,CIH是一个分水岭。陈盈豪一夜成名,虽然陈盈豪本人对反病毒概念大众化普及“功不可没”,但是他这种以破坏为目的病毒制作思想注定成为过去。
根据国际著名病毒研究机构ICSA统计报告,目前通过磁盘传播的病毒仅仅占7%,剩下的93%来自网络,其中包括Email、网页、网络下载、QQ和MSN等即时通信工具。
而赛门铁克说,他们在全球180个国家和地区有2万台服务监视器和公司从运行反间谍软件的1.2亿个客户、服务器和网关上收集恶意代码数据,这恰恰反映了“恶意代码”普遍泛滥。
据赛门铁克的信息安全报告,仅2004年上半就有1237个新漏洞,平均每周有48新漏洞被发现。其中96% 是属于中度到高度风险,其中有 46% 被列为高度风险。而在所有漏洞中,超过一半不用撰写程序就可以发动攻击。
2004年,电脑病毒已经开始将破坏重点从单纯的破坏系统文件转移到盗取用户卡号、密码等隐私信息上面。
进一步,更多病毒制造者已不再满足游戏账号的盗取,经过尝试盗取信用卡的试探后,充分利用各种各样的新技术、系统漏洞,试图用“网络钓鱼”等欺骗手段,伪装官方网站或假冒官方发送客服邮件等手段,偷窃电脑用户的银行账号和其它机密信息(如游戏的账号、虚拟装备等),病毒的牟利特征十分明显。
我们可以清晰地看到,今天的病毒,不再是当年的“病毒”,而是具有很强目的性和攻击性的恶意代码。
反病毒厂商江民科技公司在其《2004病毒疫情报告》中指出:2003年所截获的各类病毒中,木马占全年截获病毒总数的32.24%, 2004年这一比例达到63%,同比增长了30.76个百分点。统计结果还表明,在所发现的木马类病毒中,窃取银行账号、信用卡、游戏账号、邮箱账号等偷窃个人信息性质的木马数量有快速增长趋势,其中2003年发现此类木马占所发现木马类的9.75%, 2004年发现此类木马占所发现木马类的31.74%,同比增长了21.99个百分点。
在今天,病毒已经真正地上升到信息安全的高度。我们从前印象中病毒是对机器造成危害,而现在是危害你的信息安全,甚至是与此相关的虚拟财产、现实财产。
据反病毒专家分析,当今的“病毒”具有几个特点。
首先攻击途径多样化。直接利用互联网,有的直接对联网的计算机进行攻击,有的在用户浏览网页时进行攻击,有的通过邮件、MSN或QQ等网络交流工具进行攻击。第二,传播速度快。速度快是网络蠕虫的特点之一,从病毒的出现到感染上百万台计算机仅需几分到几十分钟。第三,有很强的“偷盗性”,直指利益。以往病毒编写者所编写的病毒通常是“损人不利己”,目前病毒越来越多是以窃取银行账号、信用卡、游戏账号、邮箱账号、机密文件等偷窃个人或企事业核心信息为主要目的。
道路是坎坷的,前途是光明的吗?该如何面对这样的新病毒时代?
价值观难以自圆其说
病毒从诞生之日起就是一场战争,永无休止的战争。
首先是病毒的发作,有不幸用户受到攻击。第二步,杀毒厂商通过有限的途径拿到“病毒样本”,然后程序员们对病毒样本进行人工分析,将病毒特征码放进“病毒库”,再让用户升级他们的杀毒软件,这个过程有长有短。这就是“捕获——分析——升级”的杀毒市场模式,并且,一直沿用至今。
有业内人士提出,这就是杀毒产业所谓的“医院模式”,这里面有一个潜在说法,“病毒是不可避免的,损失是不可避免的。”
Java程序员戚先生则一针见血地指出:“所谓‘医院模式’是个借口,诚然软件不可能没有缺陷,但不意味着软件思想可以不提高。”
对于用户而言,购买杀毒软件是要最大限度的保障信息安全,网管袁先生说,“我们期待的杀毒软件应该是像UPS一样能够有保障的,而不是建立在损失的基础上。”
病毒的不可避免这是真理,但不意味着它的损失可以不停放大。仔细追究,“医院”和“杀毒软件”有着本质上的不同,从用户需求和“病”的产生模式而言它们都是不同的。比如医院是以救治为主的,而杀毒软件是以
保护为初衷的。“UPS模式”才是用户们的期待。
一方面,随着病毒的不断发展,病毒所造成的危害越来越大。
2004年4月份云南某家网吧传出80余台电脑网络游戏账号一夜全部被盗事件。紧接着“网银大盗”突现网络,它能够轻松绕过某银行网上银行系统的安全插件,盗窃用户银行卡账号及密码,巨额的现实资产岌岌可危——病毒已经直接从网络危害延伸到现实危害。
另一方面,病毒制造者们的热情和利益又造就了日益膨胀的信息安全市场。总部设在美国,关注计算机病毒和网络安全的赛门铁克(Symantec Corp. 股票代号:SYMC)公司,目前的市值为163亿美圆;专注计算机病毒、在美国和日本两地上市的趋势科技(Trendmicro Inc.股票代号:TMIC)公司,其市值也为71.9亿美圆;专注网络安全的Check Point Software Technologies Ltd ( 股票代号:CHKP),市值为61.4亿美圆。(注:上市公司市值来源于2004年12月31日收盘时数据。)
而在国内,2003年,网络安全产品市场的总销售额达23.57亿元,比2002年增长了5.21亿元。预计到2006年,我国的网络安全产品市场的规模将达到100亿人民币。
我们看到,这里居然有一个奇怪的正比关系。也就是说,病毒造成的损失越大,反病毒市场的商业价值越大。这似乎并不符合价值守恒定律的价值转移。从这个价值正比递增的角度看,杀毒产业显然是达不到用户要求的。
信息安全产业不完全取决于反病毒软件,但是,用户对终端保护的依赖性是极强的,信息安全损失虽然不能完全与反病毒软件挂钩,但是最起码是息息相关的——网管袁先生就强烈表示:“要不然我们购买反病毒软件干什么?!”
反病毒厂商做的正是抑制病毒危害的工作,如果它们的商业价值越高,就应该更好地抑制病毒危害,减少病毒带来的损失,虽然不是直接关系,但理论上,两者价值应该成反比。
这种奇怪的价值正比增加的根源就在于,杀毒厂商永远是跟在病毒后面。就算杀毒厂商以最快速度截获病毒,损失依然不可避免。今天,我们国内最大杀毒厂商已经开始用70多人的技术队伍来应付每天几十个病毒,那么,病毒在递增,杀毒厂商的人力资源是不是也可能无限递进?这些递进成本从哪里来呢?
这也正是这个产业大厦地基上的裂缝所在。
产业危机在哪里?未来在哪里?
欲速而不达
信息安全的关键在哪里?速度。
病毒的可怕之处在于其感染速度。因此,信息安全厂商们似乎也在比着速度——谁先为用户解决问题谁就更有价值。
据闻,在红色代码突发的时候是一个星期六,国内最先捕获的厂商实际在6天之后才给出反应,尽管这样,当时它已经占领了市场先机。
所以这种速度甚至意味着商业地位。2001年,因为提前了24小时捕捉到新病毒,趋势科技的市值飙升几十亿。
可是,每24小时里将有亿万互联网用户面对74个甚至更多的未知病毒,并且,可以确定的是,他们中的部分人注定付出代价。这是一个不小的数字,并且随着网络和病毒的发展,这个数字还将不断变大。
这带来了几十亿美金的24小时还值得称道吗?
对于那些已经受害了的用户,他们完全有资格说一句,这些忙碌的杀毒厂商是在被动地固守现有盈利模式,缺乏足够主动性。
基于事实我们发现,杀毒最可悲的地方实际上也在于速度。杀毒厂商的速度永远跟不上病毒。产业链中的杀毒厂商们只有通过更加频繁的升级来掩饰这种速度上的致命弱点,但是,无论如何高频率的升级,从目前的杀毒机制而言都是滞后的,人工的反应永远滞后于病毒,频繁升级的“伪速度”正好反映了反病毒产业的窘迫。
现在的杀毒市场的商业模式是这样的,病毒好像一个火车头,后面拉着信息安全厂商,可悲的地方就在于,他们行驶在同一条铁轨上,厂商永远无法“超车”病毒。在这种思路下,他们只能无可选者地充当滞后者。
难道这一命运真的无法改变?
落后就要挨打
今天,信息安全已经不再单纯是一个IT问题,而是一个社会问题。
从技术而言,摆脱传统的病毒跟随思想,才能从根本上解决问题。最好的防守是进攻,落后就要挨打。要了解病毒,不是一个病毒拿到手之后再去了解他,而是了解他的思路,了解病毒制造者。从源头去了解他,才能有可能制服他。
这一场较量,应该换换思路了。
未知病毒查杀技术被国际反病毒界公认为未来发病毒技术的发展趋势,对未知病毒查杀能力的高低将标志着一个杀毒软件的技术是否先进。国外几大著名反病毒软件厂商均将对未知病毒的查杀作为主要的研发方向。
专家介绍,所谓“预杀毒”的几种思路大致是这样的:用硬件协防,提前进行端口检测;或者对注册表进行检测也是一种方法。另外,比如,对同一个漏洞的攻击,它的“攻击包”是相对一致的。所以针对某一个漏洞的
病毒是可以预防的,比如对于某些蠕虫病毒的“预杀毒”是完全可以实现的。
还有一种思路是对病毒行为或者运行机理的判定,进行动态的“病毒行为的判断”。
厂商们已经在行动。
微软正在研究 “behavioural blocking(动作阻挡)”技术,并准备推出相应产品,用以减少由蠕虫和病毒带来的伤害。它的原理是以病毒的可疑动作作为判断依据,这样可以一定程度上实现“病毒预防”的作用。
瑞星声称,已经研究出了行为模式分析(BMAT)和脚本判定(SVM)两项查杀病毒技术实现对未知病毒进行检测。
趋势科技采取则是对漏洞包的监测,也可以起到一定的预防效果。
但是目前,业界认为,还没有一种“预杀毒技术”能对现有杀毒商业模式起到颠覆作用,“没有成熟的产品,各种预防技术还都相对片面,还不能够商用。”
但也有渠道商刻薄地笑言:“现在的杀毒软件已经很能赚钱了,为什么要换新的——反正用户习惯了,具体多大效果无法量化。”
技术专家王先生表示,“人的想法是没有定律的,病毒制造者们做病毒的思路也没有定律,这就注定了‘预杀毒’也不可能一个不漏地捕获所有的病毒。”
“但是,”他又补充说,“病毒预防的思路起码可以在现有基础上提高病毒查杀率,降低用户损失,就看能做到什么程度了。”