作为平坦安全系列的第二篇,记者把重点放在了间谍软件上面。当然,这并非偶然。随着安全一体化进程的加速,各种安全设备、协议、技术层出不穷。然而应了那句古话:道高一尺,魔高一丈!就像本期安全评论中所述,“安全问题的大面积爆发从一年变成了10天。”这其中问题最严重的,就是间谍软件的问题了。
间谍软件是一个“黑洞”,其核心不仅包括了技术层面的东西,而且充斥了大量市场的东西,而这是最令人担忧的。可以说,间谍软件从诞生的那天起,其每一行代码中都渗透了大量的“血和肮脏的东西。”
并非记者偏激,根据美国《Network World》的报导,全美平均每家员工数量在千人以上的企业,每年因间谍软件造成的损失就高达83000美元。而且从最近美国法院对待垃圾邮件厂商的态度来看,指望法律界消灭间谍软件,道路同样漫长而曲折。
也许没有谁比安全厂商更喜欢间谍软件的了。在众多反间谍产品、技术横飞的时候,记者倒是建议用户关注一下,间谍软件的来龙去脉,特别是某些地下黑市中的肮脏交易。经验表明,只有搞清楚间谍软件的细枝末节以后,才可能谈得上防御。
非常幸运,记者在国外的安全论坛中遇到了有“间谍软件教父”之称的大师,Dinesh Sequeira先生。大师是一位具有印度血统的安全专家,目前在著名的安全厂商TippingPoint公司担任数字疫苗团队的研发总监。他本人对于间谍软件有多年的研究,而且他也强调,只有先分清间谍软件的市场脉络,才能谈技术防御,这一点和记者的想法不谋而合。
对此,在充分交换了中美两国间谍软件的信息之后,大师决定和中国的读者分享其研究成果。事实上,记者感觉的出来,大师对于间谍软件在中国的发展非常感兴趣,而且他本人也希望国内用户不要再走美国企业的弯路。
与此同时,记者也根据和大师在论坛与邮件中交流的信息,将间谍软件的所有信息,分“市场”与“技术”上下两篇整理成文,希望国内用户反间谍软件的“英特纳雄耐尔”最终会实现!
诞生:“血和肮脏的东西”
根据微软的定义,间谍软件是一种泛指执行特定行为,如播放广告、搜集个人信息、或更改你计算机配置的软件,这些行为通常未经用户同意。有趣的是,大师喜欢将间谍软件列为一种协助搜集(追踪、记录与回传)个人或组织信息的程序,当然通常是在不提示的情况下进行。
广告软件和间谍软件很像,它是一种在用户上网时透过弹出式窗口展示广告的程序。此前,TippingPoint中国公司的安全专家李臻认为,这两种软件手法相当类似,因而在国内统称为间谍软件。事实上,有些间谍软件就隐藏在广告软件内,透过弹出式广告窗口入侵到计算机中,使得两者更难以清楚划分。
另外要注意的是,不论在中国还是美国,很多间谍软件已经出现了衍生形式。由于用户上网时间越来越长,从某种意义上讲,间谍软件已经成为了搜集用户产品、服务数据和购物信息的媒介。
为了吸引使用者的目光,商人开始借助在线广告。它们使用横幅式或弹出式广告来吸引用户访问网站、使用服务或购物。而为吸引新客户,网络公司又用搜寻引擎,让用户看到广告商赞助的搜寻结果。
根据市场调查公司SEMPO的报告,全球关键词的价格已经比2005年已涨了26%,而且还有继续上涨的空间。2006年搜索引擎营销(search engine marketing,SEM)的支出可望增加41%,事实上,仅这一部分就占到了去年全球网络广告支出150亿美元中的40%,而到2007年,可望还有20%的成长。
记者虽然没有准确的国内数字,但却丝毫不怀疑互联网广告的“蓬勃”,有时候看看国内的流氓软件市场,难道不也是如出一辙么?大师认为,目前美国独霸了大量的在线广告业务。设于硅谷的Claria Corporation(也称Gator)每年获得9千万在线广告收入,已经成为最大的在线广告厂商。
“美国企业在不知不觉中正滋养着这些入侵式广告活动。而间谍软件公司也开始规避法律、钻法律的漏洞、甚至利用IE的弱点与功能,通过瓜分这些广告商机而赚进大量金钱。” Dinesh Sequeira如是说。
记者的看法是,中美两国在这一块手法都差不多:在线营销代理商一般会部署广告服务器,招揽广告商和网上出版商,每个月提供数十亿个impression。所谓impression是表示在线横幅广告、联机或产品被看到的次数,有点类似国内的PageView。广告客户加入该网络之后,在线营销代理商就把广告、内容和链接提供出来,让发布商放在他们的网站上。广告递送网络会付钱请游戏和在线影音服务网站把其广告递送程序打包进他们的服务中。
接下来,在线营销公司就开始递送并追踪这些广告,而按照每个impression支付发布网站一笔很优厚的费用,相对地,广告客户也会付钱给在线营销公司。因此,每一个间谍软件一旦被成功下载或安装,网页发布者都可以拿到5%-25%的收益,而每搜集到一个电子邮件地址,也可以拿到20%的收益。
如果用户透过在线营销公司联盟的网络在其搜寻引擎上每做一笔搜寻,它最高可以付给联盟伙伴其收入的50%。每一个经由网页发布或联盟网站拿到的impression、click-through(链接点击)或每一笔消费都会带给他们一笔收入。
在竞相把此类程序或搜寻引擎安装到用户的过程中,在线营销代理商也会寻求联盟或第三方代理商,而后者也会再拉进其它人。这样一个拉一个最后形成一长串的生态链,导致最后难以辨别到底是谁偷偷安装了间谍软件。在巨大的商机面前,联盟伙伴或第三方代理商会无所顾忌地把这种软件安装到不知情与没有戒心的用户计算机中,通常是在没有取得他们的同意下进行。为了获取暴利,间谍软件正逐渐蔓延到互联网上每个角落。
威胁:互联网时代的内伤
现在读者应该不难理解,为什么微软会不停修补浏览器的漏洞,而记者又接二连三地在报纸上示警的苦心了吧。
根据微软公司自己的披露,IE浏览器的缺陷及Zero-day漏洞被利用的速度愈来愈快,导致随时可用的“概念验证”(proof of concept)程序代码的产生速度大为增加,并神不知鬼不觉地把间谍软件安装到用户计算机中。漏洞公布与攻击程序的推出时间现在已从数周缩短到短短几天。零日攻击愈来愈普遍,对网络的威胁也日益严重。
过去的病毒作者并不求攻击带来金钱回报。以前黑客团体相当松散,他们写出病毒只是为了证明自己技术高超。但现在不同了,恶意程序和病毒作者现在开始为了丰厚的酬劳或佣金而撰写间谍软件,以便攻击IE的漏洞,或与游戏、网络工具等其它有用的程序绑在一起。也因为如此,间谍软件繁殖速度比病毒更惊人,根除也更困难。
由于间谍软件厂商间的竞争十分激烈,导致有些竞争者会把对手的间谍软件程序从用户计算机中清除或阻挡掉,以自己的取而代之。他们也可能为了分食大饼而使出会话劫持和改写联盟伙伴ID的技俩,这些也全都在用户不知情或未获他们允许的情况下进行。
记者由此想到了日前国内沸沸扬扬的“雅虎、奇虎”的流氓软件PK事件,却也是一出“竞争”大戏。
根据IDC的统计,间谍软件对网络带宽与安全的危害,基本上等同于病毒与垃圾邮件之和。Internet上67%到90%的计算机都曾经遭到间谍软件感染。间谍软件(包括广告软件)会窃取带宽与计算资源,还会使企业曝露于安全风险之下、降低工作效率、甚至是吃上官司。可以说,采取积极防护来抵御这种以惊人速度增长的威胁,已是当务之急。
间谍软件诡异难测的特性使其从诞生就成为焦点。由于广告窗口经常毫无提示地弹出,使得现在无论是在大学、企业或在家上网,都变得危险与不堪其扰。这些弹出式广告,可能会在计算机里安装间谍软件来监控用户的上网习惯、应用程序的使用方式、以及输入的数据。事实上,间谍软件通常都是恶意程序代码,会暗中搜集用户计算机或网络上的信息。这种问题软件也可能导致计算机中毒、宕机、或用户身份信息被窃。
细心的读者也许还记得,此前记者曾经报道过一些恶意软件的攻击方式,其中“诱骗”是其中最隐蔽的一项。不幸的是,许多间谍软件正是利用宣称能提供网络新功能的应用程序(免费下载)而侵入系统。这些应用程序往往标榜可加速上网速度或提供删除程序,但如果用户真的下载下来,它们就会做出相反的事情。
有证据表明,包括用户的鼠标点击、键盘的每个动作,或者用户曾经浏览过的每个网站,都会被回传给在线营销公司或黑客组织,为日后的垃圾邮件或更多不请自来的广告打开大门。
微软公司在今年年中曾经披露,他们估计所有Windows操作系统的故障,有超过50%是由间谍软件造成的。而Dinesh Sequeira先生也曾私下透露,间谍软件问题已经严重到连美国政府都通过“互联网间谍软件防御法案”(Internet Spyware Prevention Act,I-SPY)希望以罚金与监禁等严厉惩法来遏止间谍软件犯罪。不过鉴于美国司法系统目前在翻垃圾邮件中的态度(详见本报上期安全头条),恐怕反间谍法案执行起来同样将困难重重 。
目前一些安全厂商提出的“纵深防御”或者叫“深度包检测”(defense-in-depth)技术,被证明是可以有效阻止非法安装间谍软件的意图,当然这并非单一技术,而是一个体系,甚至是一整套设备。
对此,有一点记者和大师的看法一致:虽然市场上的反间谍软件工具林林总总,但至今仍因功能有限而无法实现全部防御,这些工具需要不断更新而且有些本身具有入侵性,误判率高,妨碍桌面应用程序的使用,而单一工具对成千上万演化快速的攻击与入侵性应用来说几乎毫无招架能力。
虽然不愿意承认,不过记者不得不指出,间谍软件的种种恶行与危害,同样反映出了安全的平坦化趋势。难道不是么,IPS也好,反间谍工具也摆,之间的紧密配合与安全联动,恰恰再一次验证了:安全是平的。
间谍软件是一个“黑洞”,其核心不仅包括了技术层面的东西,而且充斥了大量市场的东西,而这是最令人担忧的。可以说,间谍软件从诞生的那天起,其每一行代码中都渗透了大量的“血和肮脏的东西。”
并非记者偏激,根据美国《Network World》的报导,全美平均每家员工数量在千人以上的企业,每年因间谍软件造成的损失就高达83000美元。而且从最近美国法院对待垃圾邮件厂商的态度来看,指望法律界消灭间谍软件,道路同样漫长而曲折。
也许没有谁比安全厂商更喜欢间谍软件的了。在众多反间谍产品、技术横飞的时候,记者倒是建议用户关注一下,间谍软件的来龙去脉,特别是某些地下黑市中的肮脏交易。经验表明,只有搞清楚间谍软件的细枝末节以后,才可能谈得上防御。
非常幸运,记者在国外的安全论坛中遇到了有“间谍软件教父”之称的大师,Dinesh Sequeira先生。大师是一位具有印度血统的安全专家,目前在著名的安全厂商TippingPoint公司担任数字疫苗团队的研发总监。他本人对于间谍软件有多年的研究,而且他也强调,只有先分清间谍软件的市场脉络,才能谈技术防御,这一点和记者的想法不谋而合。
对此,在充分交换了中美两国间谍软件的信息之后,大师决定和中国的读者分享其研究成果。事实上,记者感觉的出来,大师对于间谍软件在中国的发展非常感兴趣,而且他本人也希望国内用户不要再走美国企业的弯路。
与此同时,记者也根据和大师在论坛与邮件中交流的信息,将间谍软件的所有信息,分“市场”与“技术”上下两篇整理成文,希望国内用户反间谍软件的“英特纳雄耐尔”最终会实现!
诞生:“血和肮脏的东西”
根据微软的定义,间谍软件是一种泛指执行特定行为,如播放广告、搜集个人信息、或更改你计算机配置的软件,这些行为通常未经用户同意。有趣的是,大师喜欢将间谍软件列为一种协助搜集(追踪、记录与回传)个人或组织信息的程序,当然通常是在不提示的情况下进行。
广告软件和间谍软件很像,它是一种在用户上网时透过弹出式窗口展示广告的程序。此前,TippingPoint中国公司的安全专家李臻认为,这两种软件手法相当类似,因而在国内统称为间谍软件。事实上,有些间谍软件就隐藏在广告软件内,透过弹出式广告窗口入侵到计算机中,使得两者更难以清楚划分。
另外要注意的是,不论在中国还是美国,很多间谍软件已经出现了衍生形式。由于用户上网时间越来越长,从某种意义上讲,间谍软件已经成为了搜集用户产品、服务数据和购物信息的媒介。
为了吸引使用者的目光,商人开始借助在线广告。它们使用横幅式或弹出式广告来吸引用户访问网站、使用服务或购物。而为吸引新客户,网络公司又用搜寻引擎,让用户看到广告商赞助的搜寻结果。
根据市场调查公司SEMPO的报告,全球关键词的价格已经比2005年已涨了26%,而且还有继续上涨的空间。2006年搜索引擎营销(search engine marketing,SEM)的支出可望增加41%,事实上,仅这一部分就占到了去年全球网络广告支出150亿美元中的40%,而到2007年,可望还有20%的成长。
记者虽然没有准确的国内数字,但却丝毫不怀疑互联网广告的“蓬勃”,有时候看看国内的流氓软件市场,难道不也是如出一辙么?大师认为,目前美国独霸了大量的在线广告业务。设于硅谷的Claria Corporation(也称Gator)每年获得9千万在线广告收入,已经成为最大的在线广告厂商。
“美国企业在不知不觉中正滋养着这些入侵式广告活动。而间谍软件公司也开始规避法律、钻法律的漏洞、甚至利用IE的弱点与功能,通过瓜分这些广告商机而赚进大量金钱。” Dinesh Sequeira如是说。
记者的看法是,中美两国在这一块手法都差不多:在线营销代理商一般会部署广告服务器,招揽广告商和网上出版商,每个月提供数十亿个impression。所谓impression是表示在线横幅广告、联机或产品被看到的次数,有点类似国内的PageView。广告客户加入该网络之后,在线营销代理商就把广告、内容和链接提供出来,让发布商放在他们的网站上。广告递送网络会付钱请游戏和在线影音服务网站把其广告递送程序打包进他们的服务中。
接下来,在线营销公司就开始递送并追踪这些广告,而按照每个impression支付发布网站一笔很优厚的费用,相对地,广告客户也会付钱给在线营销公司。因此,每一个间谍软件一旦被成功下载或安装,网页发布者都可以拿到5%-25%的收益,而每搜集到一个电子邮件地址,也可以拿到20%的收益。
如果用户透过在线营销公司联盟的网络在其搜寻引擎上每做一笔搜寻,它最高可以付给联盟伙伴其收入的50%。每一个经由网页发布或联盟网站拿到的impression、click-through(链接点击)或每一笔消费都会带给他们一笔收入。
在竞相把此类程序或搜寻引擎安装到用户的过程中,在线营销代理商也会寻求联盟或第三方代理商,而后者也会再拉进其它人。这样一个拉一个最后形成一长串的生态链,导致最后难以辨别到底是谁偷偷安装了间谍软件。在巨大的商机面前,联盟伙伴或第三方代理商会无所顾忌地把这种软件安装到不知情与没有戒心的用户计算机中,通常是在没有取得他们的同意下进行。为了获取暴利,间谍软件正逐渐蔓延到互联网上每个角落。
威胁:互联网时代的内伤
现在读者应该不难理解,为什么微软会不停修补浏览器的漏洞,而记者又接二连三地在报纸上示警的苦心了吧。
根据微软公司自己的披露,IE浏览器的缺陷及Zero-day漏洞被利用的速度愈来愈快,导致随时可用的“概念验证”(proof of concept)程序代码的产生速度大为增加,并神不知鬼不觉地把间谍软件安装到用户计算机中。漏洞公布与攻击程序的推出时间现在已从数周缩短到短短几天。零日攻击愈来愈普遍,对网络的威胁也日益严重。
过去的病毒作者并不求攻击带来金钱回报。以前黑客团体相当松散,他们写出病毒只是为了证明自己技术高超。但现在不同了,恶意程序和病毒作者现在开始为了丰厚的酬劳或佣金而撰写间谍软件,以便攻击IE的漏洞,或与游戏、网络工具等其它有用的程序绑在一起。也因为如此,间谍软件繁殖速度比病毒更惊人,根除也更困难。
由于间谍软件厂商间的竞争十分激烈,导致有些竞争者会把对手的间谍软件程序从用户计算机中清除或阻挡掉,以自己的取而代之。他们也可能为了分食大饼而使出会话劫持和改写联盟伙伴ID的技俩,这些也全都在用户不知情或未获他们允许的情况下进行。
记者由此想到了日前国内沸沸扬扬的“雅虎、奇虎”的流氓软件PK事件,却也是一出“竞争”大戏。
根据IDC的统计,间谍软件对网络带宽与安全的危害,基本上等同于病毒与垃圾邮件之和。Internet上67%到90%的计算机都曾经遭到间谍软件感染。间谍软件(包括广告软件)会窃取带宽与计算资源,还会使企业曝露于安全风险之下、降低工作效率、甚至是吃上官司。可以说,采取积极防护来抵御这种以惊人速度增长的威胁,已是当务之急。
间谍软件诡异难测的特性使其从诞生就成为焦点。由于广告窗口经常毫无提示地弹出,使得现在无论是在大学、企业或在家上网,都变得危险与不堪其扰。这些弹出式广告,可能会在计算机里安装间谍软件来监控用户的上网习惯、应用程序的使用方式、以及输入的数据。事实上,间谍软件通常都是恶意程序代码,会暗中搜集用户计算机或网络上的信息。这种问题软件也可能导致计算机中毒、宕机、或用户身份信息被窃。
细心的读者也许还记得,此前记者曾经报道过一些恶意软件的攻击方式,其中“诱骗”是其中最隐蔽的一项。不幸的是,许多间谍软件正是利用宣称能提供网络新功能的应用程序(免费下载)而侵入系统。这些应用程序往往标榜可加速上网速度或提供删除程序,但如果用户真的下载下来,它们就会做出相反的事情。
有证据表明,包括用户的鼠标点击、键盘的每个动作,或者用户曾经浏览过的每个网站,都会被回传给在线营销公司或黑客组织,为日后的垃圾邮件或更多不请自来的广告打开大门。
微软公司在今年年中曾经披露,他们估计所有Windows操作系统的故障,有超过50%是由间谍软件造成的。而Dinesh Sequeira先生也曾私下透露,间谍软件问题已经严重到连美国政府都通过“互联网间谍软件防御法案”(Internet Spyware Prevention Act,I-SPY)希望以罚金与监禁等严厉惩法来遏止间谍软件犯罪。不过鉴于美国司法系统目前在翻垃圾邮件中的态度(详见本报上期安全头条),恐怕反间谍法案执行起来同样将困难重重 。
目前一些安全厂商提出的“纵深防御”或者叫“深度包检测”(defense-in-depth)技术,被证明是可以有效阻止非法安装间谍软件的意图,当然这并非单一技术,而是一个体系,甚至是一整套设备。
对此,有一点记者和大师的看法一致:虽然市场上的反间谍软件工具林林总总,但至今仍因功能有限而无法实现全部防御,这些工具需要不断更新而且有些本身具有入侵性,误判率高,妨碍桌面应用程序的使用,而单一工具对成千上万演化快速的攻击与入侵性应用来说几乎毫无招架能力。
虽然不愿意承认,不过记者不得不指出,间谍软件的种种恶行与危害,同样反映出了安全的平坦化趋势。难道不是么,IPS也好,反间谍工具也摆,之间的紧密配合与安全联动,恰恰再一次验证了:安全是平的。
| 第 [1] [2] [3] 页 下一页 |
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)