BBYR Achieve
返回信息流
这是一条镜像帖。来源:北邮人论坛 / security / #345同步于 2005/12/13
Security机器人发帖

现今反病毒产业与其难题

tgyzl
2005/12/13镜像同步0 回复
现今的网络上充斥着犯罪的活动。一般的家庭使用者以及中小企业、跨国企业与政府单位都深深的被这些含有病毒与木马的有害内容困扰着。为何网络会有这样的症状已经被广泛的讨论,并且势必将持续的被讨论下去。但是当我说网络上充满了犯罪时我所指的是什么?说到底,开发与散布这些恶意程序已经被作为有心人士获取金钱的方法,例如: 窃取个人以及企业的银行帐号资料; 窃取信用卡卡号; 进行 DDoS ( 分布式阻绝服务攻击 ) 并进行勒索必须付费才停止攻击; 建立木马代理服务器网络。这些能够被用来发送垃圾邮件来获取利益; 建立僵尸网络,被用来做多方面的渗透破坏; 开发可自动下载并安装广告软件到受感染的设备中; 安装木马拨号软件重复的拨打付费电话; 等等... 我们很难去描述犯罪活动明确的扩散范围。我想应该没有一千也有一百个以上的骇客组织以及个人骇客在从事这类的地下活动。根据各国刑事单位调查结果─至少已经有上千个骇客加入了这些犯罪组织。在过去的几年中已经有不少的骇客以及骇客组织遭到了逮捕,然而,看来这并未改善病毒与木马的活动。 另外一个看法是去评估地下计算机犯罪组织不当获利的金额。根据统计 2004 年到 2005 年目前利用窃取或者恐吓欺诈取得的金额已经高达好几亿美元。由于仍有大量的计算机犯罪组织尚未被逮捕监禁,我们能够猜测每年不当获利的金额将有上亿美元的可能 这些病毒作者、骇客以及垃圾信发信者对于世界经济造成的损害已经突破每年几十亿美元。这个数值将会持续扩大,根据研究,2004 年因为计算机犯罪的损失达 180 亿美元,并且预估每年将 30 - 40 % 的比例扩大。 现在让我们看看哪些成员与虚拟计算机世界的犯罪活动有关: 病毒作者以及骇客为了某些理由开发以及散布病毒和木马; 一般使用者的计算机及网络遭到骇客的攻击并遭到入侵感染作为攻击他人的平台; 警察和刑事单位从事虚拟犯罪的调查与逮捕行动; 反病毒软件公司开发软件对抗虚拟世界的威胁; 已经有为数不少关于病毒、骇客和对抗它们的故事,好莱乌也拍过不少这类的电影。反病毒软件公司的开发人员也透过网站发表这类的消息。然而,似乎很少看到反病毒工业所面对的问题。因此我们将来谈谈这个主题。 简短的反病毒工业浏览 首先,让我们看看哪些厂商开发标准的计算机病毒对抗方案。 ( 我们将在文章的后段针对这些方案以及工具来讨论 )所谓的标准对抗方案是指保护计算机、服务器、邮件服务器和企业网络的反病毒方案。 目前为止这个标准解决方案的市场在 2003 年为 27 亿美元 2004 年为 33 亿美元,预估在 2005 年可达 38 亿美元 ( 信息来源 2005 IDC ) 所有的反病毒厂商可依照市场活动区分为三大组;第一阶厂商、第二阶厂商与其它并未没有在市场有显著的活动或者仅有在某些特定领域中活动的反病毒软件公司 目前第一阶厂商包含赛门铁克、McAfee (NAI) 和趋势科技 - 这些在市场上有较明显活动的厂商: 公司 年营业额r, $百万 2003 2004 Symantec 1098 1364 McAfee (NAI) 577 597 Trend Micro 382 508 这三个公司为目前占有大多数市场的厂商,除了少数的例外 ( 例如, 趋势科技支配了日本的市场) 赛门铁克和 NAI (McAfee) 则针对北美。趋势科技原本为台湾的公司并在日本上市。目前总部设在美国。 第二阶的公司包含其年营业额明显低于第一阶的这三家公司。然而其年营业额仍有千万美元以上: Company Annual turnover, $mln 2003 2004 Sophos (UK) 97 116 Panda Software (Spain) * 65 104 Computer Associates (USA) 61 74 F-Secure (Finland) 36 51 Norman (Norway) 23 31 AhnLab (S.Korea) 21 28 *Panda Software 是一个私人企业。财务资料并未受到确认 总部设于俄罗斯的卡巴斯基实验室也属于这个群组。然而卡巴斯基不愿意公布其财务资料。 这些主要第二阶的公司有个显著的特点就是在其各自的国内有着明显的市场占有率,但是其它海外的市场的市占率则并不是太大。例如 Sophos 在英国是相当成功的,Panda 在西班牙,F-Secure 在芬兰等。 第三阶的反病毒厂商有数十家。其中一些较为知名的有 : Alwil - Awast (the Czech Republic); Arcabit - MKS (Poland); Doctor Web - DrWeb (Russia); ESET - NOD32 (Slovakia); Frisk Software - F-Prot (Iceland); GriSoft - AVG (the Czech Republic); H+BEDV - AntiVir (Germany); Hauri - VI Robot (South Korea); SoftWin - BitDefender (Romania); VirusBuster - VirusBuster (Hungary); 第三阶包含 UNA 和 Stop! ( 乌克兰 ), Rising 和 KingSoft ( 中国 ) 和其它。 这些的公司在第三阶公司大多数不愿意公布其财务信息。然而其中某些公司的年营业额也已经达到一千万美元。 这些资料大约的让大家认识目前的反病毒软件公司的市场,然而有些公司仅提供的产品授权的部份并未被计算进来。例如一个德国的公司 G-Data ,其内建使用卡巴斯基实验室与 SoftWin 反病毒引擎技术,以及微软,提供由 Sybari 所开发的多引擎产品。 另外也有一些非标准解决方案的反病毒,一些特别的产品。包含仅针对企业邮件进行预防中毒保护 ( 禁止使用者执行可执行档案或者未授权 HTML 邮件 ),系统激活保护,更新管理软件。然而,这些都不能算是完整的反病毒产品。 反病毒产业目前所面对的问题 现在反病毒产业所面对的问题,除了花费相当多的心思生产开发消费市场性质的产品。我们都知道病毒是存在的,且反病毒解决方案也是存在的。这使得这些反病毒方案似乎是一种消费性市场的产品 - 每项产品之间仅有些许的不同。使用者在选择消费性产品的时候会根据其设计、或者其品牌、或者其它非技术性的原因。如果是这样的话,一个反病毒方案的选择变成只是一种消费性市场的产品,就像洗衣粉、牙膏或者汽车一样。 不幸的是 ( 或者可以说幸运的是 ) 这并不是这样的。使用者通常根据技术观点选择反病毒方案,这些产品之间将会有很大的不同。使用者会针对其反病毒方案是否能够对抗某些特别的攻击来评断这个产品的能力。 其实一个反病毒方案应该能够保护对抗所有的恶意程序。一个越好的反病毒方案将会使得其使用者以及系统管理者越愉快。任何不了解这个理论的人将会很快的面对其带来的后果。采用一个不良的反病毒方案,便会有可能遭到有心人士窃取其帐号或者财物,计算机将可能自动拨打付费电话,使用者将会发现越来越多奇怪的对外联机。也因为这样,使用者应该根据反病毒方案所能提供的保护来作选择。 举例来说,一个 X 反病毒软件对所有病毒的侦测能力是 50%,Y 能够侦测 90% 而产品 Z 能够侦测 99.9%。假设计算机被攻击 10 次,产品 X 绝对可能发现漏掉一个恶意程序;产品 Y 则很可能漏掉某个恶意的手法;产品 Z 在这样的情形下则几乎不可能发生拦截失败的状况。 不幸的是,在店面能买的反病毒产品很少提供这样接近 100% 的保护。甚至大部分也无法保证提供 90% 以上的防护,这就是目前反病毒产业所面对的问题。 Problem #1 每年有越来越多的恶意程序。这造成反病毒公司不能很轻易的对付这种爆炸性的病毒战争。使用者所能选择的产品厂商也不能保护所有的恶意程序。不幸的是,大多数的使用者被很多市场上的反病毒方案产品宣称能够做到保护所有的威胁。 顺带一提,五到十年前,我们可以很诚实的说反病毒方案不需要保护系统对抗新的病毒和木马。整体来说,一个新的恶意程序将不会直接植入使用者的计算机中。这些病毒仅止于某些想要展现其编码技术的怪人或者满足其好奇心。使用者只需对抗少数的计算机病毒便足以保护其系统。事实上,在五到十年前,老实说反病毒软件并不需要防护每一个新的病毒和木马。此时的新病毒并不会自动的植入使用者计算机中。这些病毒都是由一些计算机怪客所撰写的,仅是为了展现他们的技术或者满足其好奇心。使用者只需防护那些真正已经感染计算机并且正在流传中的病毒。然而,现在已经不是再像以往那样。超过 75% 的恶意程序是地下犯罪组织所制造,且争抢着网络上每一部可能被感染的计算机,每天都会有几百个像这样的病毒被制造出 - 卡巴斯基实验室现在每天都能够收到两百到三百个新的病毒样本。 这些样本来自于几个地方 - 诱捕站 ( 在网络上专门搜集这些病毒的机器 ); 已经被感染的机器; 公司的网管人员 ; ISP ; 和其它的反病毒软件公司,也许这个听起来觉得很怪。除了行销范围之外,反病毒软件公司确实是会互相合作的。如果一个新的蠕虫被一家反病毒软件公司侦测到,这些病毒分析师几乎将会很迅速的告诉其它竞争对手,并且互相交流这些蠕虫或者病毒的样本。市场上这些主要的反病毒软件公司至少每月会交流一次病毒的样本,并且会在一些专业人士的私下集会中互相交换讯息。在这些专业的高峰会中,反病毒软件公司的确会互相分享这些信息,除了一些会破坏这种业界默契的公司之外。 一个新的病毒或者木马被侦测到之后,表示什么?这表示已经有许多的计算机已经被感染或者植入。并且按照其在网络上能够多快的进行扩散,一些"怪物级"的蠕虫可能在此时已经造成上百万的设备遭到感染,而在此时,反病毒软件公司必须在最短的时间内释出并更新其反病毒数据库,并且还能够防护其不再入侵其它还未受感染的计算机。这也使得我们将面对到反病毒产业的第二个问题。 Problem #2 时至今日,恶意程序感染的速度非常的快速使得反病毒软件公司也必须很快的释出对应的更新以减少使用者遭受感染的危险。不幸的是,许多反病毒软件公司无法达到这样的目标 - 使用者通常都是载其已经被感染之后才收到对应的更新。 让我们假设病毒已经直入受害的设备中,而安装在这个受害的设备上的反病毒方案却无法侦测任何可疑的行为 ( 可能的原因有可能是反病毒方案本身品质的问题,或者使用者不小心而未将反病毒数据库实时更新至最新 ) 很快的,侦测此病毒的更新被释出S - 这表示病毒已经能够被侦测,但是不一定能够解除。想要完全摆脱这个病毒,所有被感染的档案必须能够很小心的由此受感染的设备中移除。"很小心的" 在这里是一个关键词,这将使得我们必须面对下面这个反病毒软件公司必须面对的问题。 Problem #3 第三个反病毒产业所面对的问题是由受感染的设备中删除恶意程序。通常病毒或者木马会将其隐藏在系统中或者直接感染系统档案使得删除的工作变得非常复杂。不幸的是,有些反病毒软件无法直接删除和恢复由病毒造成的变动而必须借助其它的程序或步骤帮忙。 另外一个问题是所有的软件都会占用系统资源,反病毒软件也不例外。为了保护计算机,反病毒软件必须对应执行于这些动作 - 开启档案、读取其中信息,解开封装并扫描等等。这个档案需要越多的动作来进行检查,反病毒软件就需要越多的系统资源。照这样看来,反病毒软件就像是一个安全检查门 - 检查越仔细,提供的保护也越多;然而这个门越重也越难开启或关闭。这个问题就是如何去取得安全层级与效能的平衡点。 Problem #4 不幸的是,关于占用系统资源的问题几乎是难以解决的。我们的经验显示如果反病毒软件提供很快速的扫描通常都有许多的缺陷,将会使得病毒和木马躲过这些检查就像水穿过筛子一样。然而反过来做也不一定能够提供相对应的保护能力。 为了能够顺利的扫瞄档案并提供计算机中不间断的保护,反病毒软件必须与系统的核心做很深入的结合。就技术来说,反病毒软件安装了系统深处的事件断点并且传递结果到反病毒引擎上来中断这些档案存取、网络封包或其它可能造成危险的对象来进行扫描。 然而,有些时候是无法很轻易的安装两个中断器在操作系统的核心中。这也造成反病毒软件之间的不兼容,使得第二组反病毒软件将无法中断系统的事件,或者试图重复中断运算将造成系统的损毁。这也造成另外一个反病毒产业所面对的核心问题。 Problem #5 因为反病毒软件之间的不兼容; 在绝大多数的例子中,安装两个不同反病毒公司的反病毒软件在同一部设备上以增加保护层级是一个由技术上就不可能的事情,且两个程序将会互相干扰对方的功能。 人们常会比喻反病毒公司就像小孩一样互相在争夺对方的玩具,这个不兼容的因素也导致了不公平的竞争,特别是一些挤压对手厂商生存空间的策略。但是这么说也不完全正确,不公平或者不道德的竞争是没有问题的。相反的,程序开发人员极力的想让其产品不会与其它产品互相排斥,包含反病毒软件。 以上,我已经总结了今日反病毒产业所面对的问题。所以反病毒产业将要怎么面对这些议题?反病毒公司将在未来提供什么样的保护? 新技术 vs. 传统技术 自然的,大家都希望有一个反病毒软件是可以永久解决病毒问题的,不幸的是,目前还没有一套"永久"有效的方法来对况这些不知道何时会有新手法的病毒。计算机病毒并不是自然演化的,而是人所撰写出来的,所以是没有规则和逻辑可循的,只能猜这些病毒作者会想要做什么。 所以当一个是以病毒码比对为主的反病毒软件与以行为逻辑猜测防御为主的反病毒软件来比较。这在扫描病毒时就会有不同的结果。一个反病毒病毒码是一个很小的程序片断来进行档案的比对。一个行为逻辑猜测判断的则是去追踪这个档案激活以后的状况,并且将这个可疑的程序或者是已知的病毒进行拦截。两者都同样有各自的优缺点。 利用反病毒特征码进行扫描的好处就是扫描的结果是稳定肯定的,而坏处就是如果没有这样的特征码,则无法侦测病毒。而另外一个问题就是越大的病毒数据库就会需要越大的资源来比对。行为模式逻辑的判断提供的好处就是能够侦测未知的恶意程序。而坏处就是可能带来的误判;将目前所有的病毒与木马作为规则的分类并且最多也只能告诉你这"有可能"是病毒。这也表示行为逻辑的判断方式也无法侦测所有的恶意程序,并且可能造成正常的程序无法执行。 行为模式逻辑判断的方法也有缺点,就是无法侦测新创造的病毒。比如反病毒软件 AVXXXX 已经开发出一套行为模式逻辑判断可以 100% 侦测目前所有的恶意程序。所以你们觉得骇客会怎么作?他们当然会再创造一个全新的病毒。随即反病毒软件也必须更新其行为模式逻辑的规则,但骇客一定又再更新其手法,而反病毒软件也必须同样再更新一次其规则,就这样一直循环下去。因此这个反病毒软件也同样在更新其特征码,但其中更新的是行为逻辑的规则,而不是程序代码的片段。 这个结论将可以套用的自我启发式分析法。一旦骇客们知道这个反病毒的技术能够防御其开发的病毒,他们便会发明新的病毒技术来规避这种启发式分析法。也就是会变成"全新开发"一个预防机制只能带来很短时间的保障。一个没有经验的骇客可能需要数周到数个月的时间来发现怎么闪避这种预防侦测,而一个专业级的骇客则只需要一到两天,甚至更糟糕的只需要几个小时就能破解这种机制。这也将意味不论是行为模式逻辑判断还是启发式判断都还是需要进行更新的。而也代表以加入更新新病毒特征码仅需数分钟便可完成,而开发行为模式逻辑或者启发式侦测则需要较长的时间。这也是目前为什么更新病毒数据库的作法远比开发预防技术来的叫好的原因。这样的方式才是最保险的在很短的时间内将新病毒新蠕虫或者新的恶意程序代码所在成的疫情控制住。 当然这并不表示预防的技术是完全没有用的,这样的技术在某个范围内可以预防大多数的病毒 (那些没什么经验的骇客或者病毒撰写者)。所以说,这种预防的技术可以与病毒特征码搭配,但是并不应该完全依赖这样的方法来作为全盘的保护方式 比对测试和其缺点 这部份的文章将讨论使用者在选择产品时的问题。这将影响当使用者选择一个真正能够保护恶意程序的反病毒方案。哪些的信息可以协助使用者做这样的决定呢? 最符合逻辑的方式就是参考一些来自于不同机构的测试报告,当然也包含专业的测试机构。这样的机构是否存在?是的,的确有这样的机构存在,但是并不多。多数的 IT 媒体会发表一些依据某些常见的基准进行比对测试。这些测试比对了产品的所有属性包含由价格到技术支持的品质。但是这些测试通常并未真正的进行反病毒品质的测试。这是可以理解的,因为进行这样的测试必须搜集大量的病毒样本、一个测试站和一个测试这些反病毒软件的自动测试程序。这也表示专职的反病毒方案测试机构将会有这些测试的资源是这些 IT 媒体所没有的。IT 媒体的比对测试因此将会依照其编辑者的自我意识或者其能够达到的能力来挑选测试的产品。 目前最有经验的反病毒产品测试机构是 Andreas Marx ( 德国http://www.av-test.org) 和 Andreas Clementi (奥地利http://www.av-comparatives.org).这些测试详细的描述不同种类恶意程序的产品侦测品质与反病毒公司面对病毒爆发时的反应速度。这些详细的测试因此也能够精准的反应这些反病毒产品的特性。遗憾的是,这些测试只能试验上述的两种特性;却无法反映反病毒产品在真实状态下的特质,例如对中毒的系统进行解毒,或者对于受感染的网站的响应,系统资源的使用,能够检查多少的封装和安装程序档案。 遗憾的是,这样深入的测试能够确实反映反病毒产品状态是几乎不存在的。除了我们所知的莫斯科州立大学,利用了许多仿真状态进行大范围的测试。然而这样的测试方式仍在进行中,且这个大学的测试实验室也还不为大众所认识。 另外一个相当值得一提的是 VirusBulletin ( 一个产业中的媒体 ) 所进行的测试 - 我很确定如果我不提到他们,读者将会问到为什么没提到此测试和其颁发的 VB100% 的奖项。遗憾的是,这个测试并不完美。这个测试标准订立于 1990 年中并且这几年并未有重大的变化。其测试将会以所搜集到目前流通中的病毒来对反病毒产品进行测试并对其测试结果颁发奖项。然而,其所搜集到的样本数仅有两到三千个病毒档案 - 仅是目前一个月中病毒数量的少部份。因此一个 VB100% 奖项并不真正表示反病毒产品可以提供对于所有恶意程序的保护。仅表示这个产品所涵盖的保护范围包含 VirusBulletin 所搜集到的病毒样本,仅此而已。
订阅后,新回复会通过你的通知中心匿名送达。
0 条回复
暂无回复 · 你可以订阅本帖等待新回复。