网络安全市场呈现两大门派
来源:京华时报 更新时间:2008-05-15

 

 

    木马已形成黑色产业链

    国家计算机网络应急技术处理协调中心刚刚发布的数据显示,2007年度,网络仿冒、网页恶意代码、网站篡改等增长速度接近200%,木马主机的增长率为2125%。

    面对网络木马呈现几何数增长,国内网络安全机构的网络安全维护手段,也从倚重“特征码”查杀,开始向主动防御扩展。然而,在到底是主要依靠查杀,还是主要依靠防御的技术策略选择上,市场江湖已经出现了两大门派。

    黑色暴利诱发木马成灾

    来自国家计算机网络应急技术处理协调中心的统计,整个木马黑色产业链条的年产值已超2亿元人民币,每年造成的损失达76亿元。

    “这是个比房地产来钱还快的暴利产业!”风靡一时的“熊猫烧香”病毒的贩卖者王磊落网时如此感慨。此语道破了近年来木马大肆繁殖的奥妙所在。同时据了解,“熊猫烧香”的程序设计者李俊,每天入账收入近1万元,被警方抓获后,承认自己已经获利上千万元。

    据悉,木马是一种由攻击者秘密安装在计算机上的窃听及控制程序,它可以盗取账号、密码,从而窃取用户的财产或虚拟财产。

    实际上,与“熊猫烧香”仅两个月内就使上百万个人用户、网吧及企业局域网用户遭受感染和破坏相比,木马“灰鸽子”的业绩显得更加“辉煌”。灰鸽子2001年问世,随着“灰鸽子2007” 2007年3月集中爆发,初步统计,其直接售卖价值就达2000万元以上。

    “木马已经形成了完整的产业链,就像一瓶饮料,从原材料的生产、采购到成品的制作包装再到售卖一样”,业内人士坦言,“当然,在这个产业链上,每个人的赚钱方式不同。”

    据介绍,在这个产业链上,制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱,分工明确。木马的制造者作为最初生产者,他会在木马中留有后门,在程序编完后,卖给病毒批发商(多为编写者朋友或QQ好友),一般的可能卖几千块钱,功能强大的可能卖到几十万,甚至上百万;批发商提高价格卖给病毒零售商(网站站长或QQ群主),零售商们往往以“大虾”的形象出现,招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,接着将一部分“徒弟”发展为下线,专职入侵电脑盗号或窃取他人信息;被木马侵入的最底层电脑被称为“肉鸡”,这些电脑中的个人信息、账号、游戏装备、私人照片、私人视频等被专职盗号的黑客盗取后,就会在网上的正规交易网站正常交易。当然,黑客也可以将“肉鸡”倒卖给插件广告商,被控制电脑被随意投放广告,或者干脆控制电脑点击某网站广告,一举一动都能被监视。

    一般来说,一个可以被控制的电脑被叫做“肉鸡”。能够使用几天的“肉鸡”可以卖到5毛到1元一只;如果可以使用半个月以上,则可卖到几十元一只。按一个普通操控者一个月抓10万台“肉鸡”计算,一个月就能轻松赚取至少1万元,这还不包括窃取“肉鸡”电脑上的QQ号、游戏币、银行账号等进行交易所获得的收入。

    据国家计算机网络应急技术处理协调中心观察,近来木马对医药行业和游戏行业进行攻击十分普遍,甚至形成了互联网企业只有交“保护费”才能免遭攻击的局面。木马集团对走上信息化道路但自身防范力量比较弱的中小企业进行攻击,致使企业网站瘫痪,一些中小企业不得不交“保护费”保证网络正常运营。

    据悉,2007年5月,某游戏网遭到长达10天的网络攻击,服务器全面瘫痪,其经营的网络游戏被迫停止,损失高达3460万元人民币。江西查处的一起网络敲诈勒索案件,犯罪嫌疑人周明通过攻击一些游戏私服网站收取“保护费”,仅两个月就非法获利1200多万元。

    制裁不力导致危害不断

    “木马技术的低门槛,也成为木马大量繁殖的重要原因”,业内人士说,“木马制作软件在网上公开叫卖,任何人花几十块钱都可制作木马。但处理攻击、防御攻击的代价却很高。”

    据了解,国内现有法律法规对网络安全犯罪缺少具体司法解释,缺少具体定罪量刑标准。另外,由于网络犯罪链条大多是跨地域的,网上打击犯罪经常遭遇管辖权困境。

    “病毒软件只是一种计算机程序,单看在每一环节都不违法,但是如果应用到窃取账号等行为时,就违法并危害了网络安全,但很难查处。” 国家计算机网络应急技术处理协调中心副主任、中国互联网协会秘书长黄澄清此前在媒体上公开坦言。

    据了解,目前的《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序等并没有清晰的界定,这也是灰鸽等木马程序制造者敢于利用网络公开叫卖的根本原因。

    此外,目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。比如,QQ号、QQ币、游戏币等虚拟资产在现实中难以认定价值,定盗窃罪没有依据。受害者有权利提起民事诉讼请求,但操作上还是有些困难,包括搜集证据、赔偿的标准和计算方法,目前我国立法上缺少统一的规定。

    安全措施开始双管齐下

    “木马的逐渐繁衍至大规模爆发,其主要特征体现在木马的加壳(变种)增多增速上。”一位业内人士告诉记者,相应的,国内网络安全厂商对待木马的办法,也逐渐由单纯的使用特征码查杀,变为逐步加入主动防御手段。

    据了解,通俗的讲,特征码类似于人的指纹,人的外形可以不断变化,但指纹是改变不了的。曾经的CH病毒有上万个根子,但通过加一段相应的特征码,都能有效辨认并准确查杀。“以前的变形叫自动化变形,虽然在不同计算机上表现形式各异,但总有规律可循,总有‘指纹’可取,这是特征码查杀能够大展宏图的地方。因为这些病毒是程序自动编写的,它不可能变得自己都不认识自己。”业内专家介绍道。据悉,特征码到今天还是普遍应用的查杀方法。

    主动防御方面,以瑞星为例,“瑞星在其2001版杀毒软件产品(2000年发布)中就有类似主动防御概念的技术应用。那时的主动防御就是针对注册表监控。把一些重要的键值保护起来,让病毒无法修改”,瑞星反病毒工程师王占涛介绍,“从注册表的监控,到系统资源的监控,比如说防止病毒修改内存、调用系统核心等,这些主动防御技术在瑞星03、04版时就已经慢慢加入。”

    “在木马者眼里,互联网上的每台电脑都是不设防状态。传统的杀毒软件是病毒来了,我就将你赶出去,这叫不设防。不设防是不行的,所以我觉得主动防御很必要。就像一个小区,所有的门都是开着的,强盗岂不是很好偷,而且强盗也会蜂拥而至。即使你调动很多片警,调用很多警力进行侦破,但毕竟人力有限,财务有限,时间有限,财产已经损失了嘛。”业内人士同时谈道。

    “但是,木马早已慢慢由自动化变形进化到人工化变形,没有核心是不变的。外形不断变,甚至‘指纹’都可以变”,业内人士说,“任何人去下载一个木马制作程序,随便点几下,一个木马就形成了。所以木马每年成倍增长,以致泛滥。发展到今天,每天可能产生成千上万个变种木马。例如近来流行的机器狗第三代,它每天保持一个更新,等它真正擅布到用户中,杀毒软件把它拿到,然后进行样本分析,再测试等程序走完,刚杀掉新变种,它可能又更新成其他形式了。”

    渐渐地,国内传统的主流杀毒厂商在不断升级杀毒技术,加大木马病毒样本库建立的同时,也对主动防御逐步重视起来。瑞星有卡卡安全上网助手、金山毒霸有互联网安全认证平台……同时,于2006年为消灭流氓软件诞生的奇虎360安全卫士,也在2007年将对抗木马作为自己新的重心。并多次宣称,主动防御是未来安全市场的重头。

    近日,360安全卫士发布了“安全浏览器”。据介绍,目前近80%的盗号木马、病毒、恶意代码都是通过网页传播并感染用户电脑的,浏览器作为广大网民上网冲浪的“大门”,早已经成为多数恶意程序的“必争之地”,如果能有一个“门神”进行把关,将收到“一夫当官,万夫莫开”的效果,而360安全浏览器即是基于这一个理念而研发的,其中采用了“沙箱”(sandbox)技术,能在用户电脑中构造一个独立的X86虚拟空间,所有的网页程序都将被限制在这一密闭的空间中运行,不会对真实的电脑系统产生任何影响。

    业内相关人士预计,360安全浏览器的推出,有可能使网络安全行业现状发生极大改变。

    一派提出主动防御浏览器

    如何应对日益泛滥的木马、病毒,记者分别采访了瑞星、金山、360安全卫士、趋势科技的反病毒专家们。由于技术上的分歧,安全厂商们已经呈现出两大派别。一派是以360安全卫士、趋势科技为代表,认为,大规模的查杀已经不是主流,解决不了问题,主动防御,而且基于互联网浏览器的主动防御是一个大的方向。

    360安全卫士总经理傅盛认为,假如查杀有用,木马就不会如此肆虐,所以应该加强主动防御的作用。傅盛分析,近年木马大规模繁殖的原因,除了木马的暴利、木马产业门槛低、法律缺陷等因素外,还说明传统的查杀效率在降低,传统查杀病毒分析特征码提取的瓶颈在增加,这种传统的安全工具在某些情况下,已经出现了跟不上形势变化的趋势。

    “很多国外公司,在菲律宾等地建立了上千人手的样本分析队伍。其实这种队伍打了,并不代表效率很高。尤其是近来误杀频频增多,有的杀毒软件将用户的核心文件杀掉,有的又将用户的桌面杀掉。看上去是误杀,事实上是到达了人力能为的顶点,不容易再大规模查杀了。” 傅盛具体分析。

    傅盛自信宣称,“就我们观察,360安全浏览器就阻挡率来讲,目前是几乎没有可突破的,从安全角度来看,我们认为虚拟化技术解决安全问题效率比较高,主动防御是行业的大方向。”

    趋势科技中国区网络安全监测中心病毒专家李建淼也表示,“防御是我们的首选方案。”

    李建淼解释,这种方案对客户来说,在用户电脑没有中毒阶段就阻挡掉他,对他的业务基本没有影响。据悉,趋势科技采用的是沙盒技术,和沙箱差不多,都是在浏览器层面上做一个虚拟空间,这样可以极大的防止住病毒从浏览器这个口入侵,毕竟浏览器是用户通往互联网的一个重要关口。

    一派坚持查杀为主

    瑞星反病毒工程师王占涛表示,市场还是查杀为主,防御为辅。王占涛分析,就沙箱技术来讲,其实是一项比较老的技术,至少出现7年了,“如果这个方法可行的话,7年里,它也许早已百分之百占领主流杀毒软件技术市场。”

    据悉,沙箱理论上可以彻底隔离病毒,但是这个隔离是寄生在系统上的,这就存在抢先权的问题,如果病毒抢先在沙箱之前启动的话,等于沙箱失效啦,所以一般类似的技术就是用在杀毒软件里,作为杀毒软件的一部分。

    王占涛举例,主动防御会拦掉很多未知病毒,但同时百分之七八十的正常文件也会被拦掉,就像正常的屋子里会有窗户,但我把这些窗户都用铁皮裹住,那小偷肯定进不来,但是呆在屋里的人也出不去啊,而且完全封闭的房间,正常人能在里面住吗?理论是很好,但对用户正常使用电脑会有很多限制。

    金山毒霸反病毒工程师李铁军持有类似的相同观点,他认为,根本就不会有所谓彻底防御住病毒的方法,杀毒和做病毒之间的斗争是没有止境的。任何一种防御方法,都只会在短时间内有效,病毒木马制作者总能找到可以越过的方法,这本身是由软件系统的脆弱性决定的。

    专家分析,找到一种能够通用的低成本的病毒识别技术,是各安全厂商孜孜不倦的追求,大家都想实现对病毒木马的主动防御。主动防御和特征码杀毒,都是杀毒软件必须具备的,事实也是如此,没有哪家杀毒软件只使用其中一种病毒识别技术。

  □本报记者 张莹