浑 水
从理论上讲,要想有效地清除间谍软件,首先就要有一个清晰的标准来定义它,并以此作为准绳进行判断和查杀,但要做到这一点却是如此的困难。这也使得针对间谍软件的通缉令迟迟无法完成。
和病毒不同,间谍软件的标准并不是非黑即白,而是存在很大的灰色空间。通常情况下,我们认为,任何在计算机用户不知不觉的情况下,秘密搜集使用者的相关信息,并将其发给幕后操纵者的软件都可以称之为间谍软件,但是,很多合法的广告软件实现的也是类似的功能,这使得界定起来非常困难。
有的人认为,可以通过传送信息的最终结果是否带有恶意来进行判定,但实际上,是否具有“恶意”,人类能够通过智力和直觉来判断,但要没有意识的计算机软件来进行区分,却难以实现。
上述的原因,使得反间谍联盟内部就已经矛盾重重,因为有的企业本身就依靠广告软件来获利,它们加入反间谍联盟的重要目的之一,就是希望通过清晰的定义,把自己的软件划分到被清除的范围之外,而另一些公司则反对这种做法。这使得反间谍的工作,只能在一滩浑水里完成,各种麻烦层出不穷。例如,Gator的广告软件本来被CA公司列在间谍软件名单中,但今年年初,Gator提出了投诉,CA只得将其从黑名单中消除。在另外一起案例中,微软也面临着是否要提高广告软件Claria的威胁等级的两难境地。微软的反间谍软件AntiSpyware此前建议用户要隔离Claria的产品,而现在,微软仍对Claria的软件进行监控,但不再建议列为清除对象。同样的,赛门铁克也面临Trekeight LLC公司的投诉,因为它把后者的产品列为广告软件。而赛门铁克则认为,它是站在用户的立场上,并且有权利采取这样的行动。
挑 战
间谍软件上的纠缠不清,经济利益是一个重要原因,间谍软件可以给幕后操纵者带来巨大的经济利益,同样的,如果从生意的角度来看,反间谍市场也是“大有可为”。
据统计,2004年具备反间谍功能的套装软件销售额仅为850万美元,但预计2005年此类软件的销售额将产生500%以上的增长,Radicati集团发表的一份相关报告预测,安装反间谍件工具的用户数量将由2005年的1600万增长到2009年的5.4 亿,未来4 年内,反间谍软件工具的销售收入也将由1.03亿美元增长至10亿美元。
这些数字无疑也暗示出,间谍软件和反间谍工具的斗争将进入一个前所未有的白热化阶段。
不过,和“间谍”作斗争,显然比清除病毒要困难得多,因为应对后者,最重要的是能够及时捕捉,而前者即使仅从技术角度来看,就牵扯到了很多棘手的问题。
比如前面所提到的对间谍软件准确判断的问题,由于缺乏统一的标准,不同的厂家都有不同的方式,比较严谨合理的像赛门铁克所采取的“风险影响模型”(参看表1),就是综合多种行为因素,包括能否让用户自由选择删除等,来判定是不是间谍软件。
反 击 由于间谍软件的扩散方式是非线性的,而且越来越有攻击性。因此,它的防护问题已经影响到整个信息王国的安全,这种威胁对企业而言尤其严重,根据Forrester Research一份名为“2005反间谍软件方案”的报告显示,目前企业被感染间谍软件的程度还难以准确统计,由于间谍软件超常的隐蔽性,和现阶段很多查杀工具的无力,使得不少公司都不清楚自己的电脑设备中有多少被感染,但至少一点,已经发现被感染企业的数量,正在以惊人的速度攀升。 分析师们认为,受到困扰的企业用户,首先会向传统的防病毒厂商那里寻求帮助。反间谍软件就如同防病毒一样,都需要一种可靠的解决方案和专门的研究及响应机制,来跟踪新的间谍软件风险,并及时提供随威胁变化而变化的升级版本。虽然间谍软件与传统病毒存在区别,但是防范它们的目标是相同的,即保护客户电脑不受有害软件的侵扰。 由于防病毒厂商能够迅速探测到全球爆发的威胁,在第一时间内发布计算机防护和恢复的安全更新,并且能够集中管理已部署的解决方案,因此面对不断增长的间谍软件风险,防病毒厂商在提供长期全面解决方案方面拥有无可比拟的优势。 当然,我们需要注意的要点仍然很多,最基本的一点就是首先要选择一款好的反间谍软件工具,它不仅应该能够检测尽可能多的间谍软件,毫无残留地消除“间谍”在系统每一个角落中留下的残渣余孽,避免死灰复燃,还应该安装和部署简便,可以方便地升级间谍软件特征表。好的反间谍工具应该提供迅捷明了的状态显示报告,可以让用户及时了解间谍软件给公司造成多大的损害,最大的风险和威胁在哪里。当然,在企业中,一个方便管理的中央控制台也是必不可少。 尽管关于“及时更新补丁、避免从不安全的站点下载文件”这类的安全建议我们已经听过不少次,但仍然会有很多用户不留意这方面的警告;此外,即使我们禁止员工安装未经认证的程序,限制他们访问与工作无关的站点,但敲错一个字母就可能进入包含恶意代码的网站,因此,客观地说,间谍软件是无法根本禁绝的,所以,及时做好灾难备份也是对数据敏感企业必要的准备。 在这方面,一度被不少人认为“捞过界”的赛门铁克公司,无疑体现出了先见之明,因为事实表明,在有些情况下,选择数据的重新恢复,比清除间谍软件还要保险和方便得多。 最后,我们要忠告所有的企业,信息数据已经成为现代企业生存的根基,到2012年,企业需要管理的数据量将是现在的30倍,“匹夫无罪,怀璧其罪”,当信息之“璧”有了越来越重要的价值,再面对环伺四周,狡猾狠毒的间谍,即使是最乐观的企业,也决不能掉以轻心。 编看编想:菊花与剑 |
|
表1 风险影响模型 | |
|
类别 |
关键因素示例 |
|
性能影响 |
系统运行速度变慢/系统稳定性 弹出频率 |
|
私有性影响 |
泄漏保密、敏感的信息 泄漏较不敏感的资料,如对Web浏览进行跟踪 |
|
删除 |
明显避免卸载 卸载功能不可用或不完整 |
|
安装 |
静默安装 没有用户界面 |
|
普遍性 |
商业性供货或分销 |
再比如,究竟从什么位置阻挡间谍软件是最有效的,有的企业认为应当从桌面阻止,因为移动技术在企业内的大量应用,使得越来越多的计算设备脱离了由网关所划定的安全疆域,如果他们在网关的保护之外感染了间谍软件,然后又再次被接入网络,这台机器本身就成了协助“间谍”潜入的“间谍”。所以,先要保证每一个“内部成员”的可靠性。
而另外一部分企业则认为,桌面工具始终是被动防线,“更好的”间谍软件总会突破这道防线。因此,应该在网关处采取防护措施。
目前较为公认的看法是,针对间谍软件,企业应该采取多层次的防护措施,才能收到理想的效果。