pygain 2008-06-10
反病毒软件让Greg Shipley觉得很可笑。“基于病毒特征的反病毒公司与病毒编写者之间的那种关系简直让人发笑。一方发布了某个病毒,另一方赶紧应对,双方来回较量。这种可笑的竞赛没完没了。”
Shipley是芝加哥安全咨询公司Neohapsis的首席技术官,他认为,最糟糕的地方在于这种竞赛对他或者其客户都没有帮助。他说: “我希望尽快摆脱基于病毒特征的反病毒软件。这是一种有问题的模式,只会耗用大量的CPU资源。”
反病毒行业遭遇困境?
可问题是,他又该何去何从呢?反病毒行业仿照了人体的免疫系统,对于病毒之类的内容贴上标签,那样一旦再次看到这同一个标签(即病毒特征),就知道要加以处理。基于病毒特征的反病毒软件已有了长足发展,并不仅限于那种简单的特征使用。最新的反病毒软件比较复杂,主导了安全软件市场,尽管存在一些明显的局限性: 比如无法用来阻止数据泄漏,而许多种类的恶意软件目的在于从公司窃取数据。安全软件公司F-Secure在2007年跟踪到的恶意软件特征的数量翻了一番,并且其在2007年发现的特征数量两倍于之前20年发现的特征总数。
早在2007年之前,除了Shipley外就有许多人认为: 反病毒行业遇到了困境。其实早在2006年,Hurwitz & Associates公司的分析师Robin Bloor就撰写了一份题为《反病毒软件已死亡》的报告。他认为,恶意软件之所以会存在,完全是因为市面上存在反病毒软件; 反病毒软件注定要被几种新软件所取代,他称这些新软件为应用程序控制,即软件验证工具。这类工具可把我们使用的软件加入白名单,在未经用户明确允许的情况下,不会运行其他任何软件。
反病毒公司认为声称他们死亡的说法夸大其辞,连那些不是过于依赖病毒特征的公司如BitDefender也表示,自己发现的恶意软件当中只有20%是借助基于病毒特征的技术发现的。
这家罗马尼亚公司的首席技术官Bogdan Dumitru说: “病毒特征没有死亡,你需要它们。”该公司利用行为定向技术来阻止其他攻击。它的主要研究重点放在开发“撤消”特性上,这项功能有望让受到恶意软件攻击的用户可以撤消恶意软件所造成的影响。BitDefender希望能在2008年下半年发布这项特性。
与此同时,Bit9(Bloor的报告中着重提到的应用程序白名单技术公司)使用反病毒软件来帮助构建数据库,目前包括22种反病毒软件。2007年11月,该公司宣布了一笔交易,允许安全软件生产商卡巴斯基使用该数据库。Bit9的工作人员表示,该数据库将帮助卡巴斯基查看新的特征,从而限制误报数量。
尽管Bloor声称反病毒软件已死亡,但反病毒软件生产商仍在销售价值数十亿美元的软件,这也是事实。不过Bloor表示“使用病毒特征来保护个人电脑的技术如今日渐式微”,并且报出了提供软件验证工具的一系列白名单技术公司: 不但包括Bit9,还包括Lumension(前身为SecureWave)、Savant Protection、冠群和AppSense等公司。他还强调了Bit9与卡巴斯基的交易以及苹果公司利用白名单技术来保护iPhone。
白名单技术不是惟一
反病毒软件自有其用途。如果系统果真遭到了恶意软件的感觉。“用反病毒软件来清除恶意软件也许最方便。”反病毒信息交换网络Avien的管理员David Harley说。他补充说: “目前,白名单技术确实似乎被追捧为是近期流行的灵丹妙药。我认为,拼命寻求解决方案的那种做法,放弃一部分成功的解决方案,改而寻求其他某种解决方案,希望从而消除问题,这其实是外行人的看法。”
Harley之所以发表这番高见,是因为他怀疑这样的论调: 某种技术方案是万无一失的解决方案,能解决100%的安全问题。他写道,白名单技术可能是对付恶意软件的一项补充技术,但只是已得到采用的一系列较新技术中的一员,这些较新技术包括启发式分析、沙盒机制和行为监控等。
公司的首席信息安全官们肯定没指望会有这样一种方案来解决自己的问题。德国西德意志银行美洲区的信息安全主管Ken Pfeil说: “如果你单单依靠病毒特征来确保安全,可以说你必死无疑。”Pfeil认为,病毒特征很有用,其公司就在使用。不过出现新的恶意软件时,他常常发现自个试着剖析恶意软件、了解潜在影响要比等厂商提供软件更新更迅速。该公司还采用了利用启发式分析和异常测试等技术的工具,为反病毒方法增强功能。
这种软件分层方案顺应了弗雷斯特研究公司的分析师Natalie Lambert所认为的市场发展方向。她表示,基于特征的反病毒软件是安全软件以及像启发式信息处理系统(HIPS)这些技术的“基本要素”。HIPS能查找软件的可疑行为,比如临时文件夹中的某个应用程序自行打开等举动。
Lambert 说,迈克菲公司在使用HIPS方面是几大反病毒软件生产商当中走得最远的。它花在通过收购公司来添加新功能上的时间比竞争对手更多。
这些技术的缺点在于,没有哪项技术与基于病毒特征的传统反病毒软件一样简单、诱人。她称反病毒软件为“设置好后不用管”的技术。她强调,HIPS技术很难管理,也根本不如传统模式简单,不过它预计这些新技术会越来越容易使用。
Neohapsis公司的Shipley认为,这些技术其实毫无新意。
他举例说,迈克菲在四年多前就收购了Entercept。但“它能起到什么样的作用、能阻止多少比例的恶意软件,对此我毫无头绪。”Shipley表示,他计划买来Bit9的技术,看看能否真正取代他目前使用的反病毒软件。
反病毒公司一致认为,反病毒软件在变得不同。比方说,Sophos公司为基于病毒特征的反病毒软件添加了几个附件。Sophos可分析程序行为—程序在运行时对系统配置和文件等部分进行的改动。该公司还内置了预先执行算法,这种预测机制可以模拟不熟悉的代码可能进行的操作。美国Sophos Labs的经理Richard Wang说,虽然病毒特征易于创建,但预先执行代码这类东西比较难创建,因而要花更多的时间。不过得到的回报是,它能对付恶意软件的多种变种。他说,Sophos只为Storm蠕虫创建了一种特征,但能够识别这种蠕虫的所有变种。Wang把这项技术称为“简直就像是广谱抗生素。”
事情远没有这么简单
值得关注的是,每个儿童一台笔记本电脑基金会(OLPC)是考虑使用新反病毒技术的另一个组织。它推出的XO使用了专为这款简易电脑开发的Bitfrost规范。OLPC声称,系统“比目前市场上的任何主流系统都要安全得多,并且提供了实用得多的安全功能”。
OLPC XO采用了锁定的默认模式(不过用户很容易开启锁定设置)。Bitfrost规范使用了一系列内置保护机制,比如针对应用程序的沙盒或者程序分区; 另外采用了系统级保护机制,可防止代码进行改动,以避免带来破坏。
Bitfrost会不会适用于公司环境,或者会不会在OLPC项目之外得到商用,这还不清楚。不过至少Avien的Harley认为: 反病毒软件不可能消失,这有心理上的原因。
他说: “一种解决方案能够切实阻止威胁,又不妨碍没有恶意的对象和进程,这种想法非常诱人。人们喜欢针对特定威胁的软件这种想法,只要它能发现所有进来的恶意软件,又不会引发任何误报,因为那样人们只要安装,以后就不用管它。遗憾的是,这是无法实现的梦想。”