2008年9月24日。新世紀(jì)飯店的一間小會議室里,坐著兩位院士,幾位司局級信息安全專家,還有國家863計劃的某個課題組長,還有幾位機(jī)要部委負(fù)責(zé)信息安全的處長們。

  兩臺不同電腦開始演示。一個技術(shù)人員從網(wǎng)上找到一個木馬,下載之后,控制了另一臺電腦。屏幕上清楚地顯示,一臺電腦被完全監(jiān)控。隨后,監(jiān)控程序甚至打開了另一臺電腦上的攝像頭。更驚人的是,像這樣的程序,可以同時監(jiān)控多臺電腦,如同我們在電視上看到的路況監(jiān)控臺。 

  而這臺被控制的電腦里已裝上的殺毒軟件居然毫無察覺。 

  這樣的事情很多。一位電子政務(wù)的處長說,“信息安全問題嚴(yán)重性越來越大,發(fā)現(xiàn)的問題都不是小事”。他說的不是個人用戶,而是,政府部門信息系統(tǒng)。 

  這是在,國家863計劃“基于程序行為自主分析判斷的實時防護(hù)技術(shù)”課題組召開的“病毒防范現(xiàn)狀與國際病毒防御技術(shù)最新發(fā)展趨勢”高端研討會上的一幕。 

  百萬“肉雞” 

  上網(wǎng)搜一下,你就可以看到各種“黑客”報價,諸如,一萬只“肉雞”叫賣1000元——大約每只“肉雞”0.1元。所謂“肉雞”,簡單解釋是指在互聯(lián)網(wǎng)上被黑客遠(yuǎn)程控制的電腦。被遠(yuǎn)程控制有的有如上面所描述的被完全監(jiān)控,打開攝像頭。而更多的是,長期潛伏。監(jiān)控用戶動作竊取一切有價值的東西,諸如密碼,虛擬財產(chǎn),個人隱私等等。甚至,還有一些是被控制的計算機(jī)屬于僵尸網(wǎng)絡(luò),通過攻擊網(wǎng)絡(luò)進(jìn)行敲詐。 

  例如,媒體報道,有人利用木馬病毒偷拍下夫妻生活,敲詐5000元。再例如,媒體報道,有人在網(wǎng)上花70元購買的病毒,2小時內(nèi)竊取到3萬元。 

  “現(xiàn)在互聯(lián)網(wǎng)上,被秘密控制的電腦已經(jīng)達(dá)到數(shù)百萬臺”,國家863計劃“基于程序行為自主分析判斷的實時防護(hù)技術(shù)”課題組組長、著名反病毒專家劉旭對記者表示,病毒的趨利性正在變得日益明顯。劉旭分析,“肉雞之所以賣得這么便宜,正是因為數(shù)量巨大”。 

  例如,有人在網(wǎng)上花70元購買的病毒,2小時內(nèi)竊取到3萬元。 

  國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心統(tǒng)計顯示,2007年監(jiān)測到中國內(nèi)地有90萬個IP地址主機(jī)被植入木馬,比2006年增加21倍。另外,2007年的抽樣監(jiān)測發(fā)現(xiàn),內(nèi)地有360萬個IP地址主機(jī)被植入了僵尸程序,2007年各種僵尸網(wǎng)絡(luò)被用來發(fā)動拒絕服務(wù)攻擊一萬多次,發(fā)送垃圾郵件110多次,實施信息竊取操作3900多次。調(diào)查發(fā)現(xiàn),黑客如果利用僵尸網(wǎng)絡(luò)對某一個特定的目標(biāo)實施拒絕服務(wù)攻擊的話,破壞力將會更強(qiáng),互聯(lián)網(wǎng)數(shù)據(jù)中心IDC機(jī)房很容易遭遇類似的攻擊。目前,我國監(jiān)測到最大規(guī)模的僵尸網(wǎng)絡(luò)達(dá)到了129萬個僵尸節(jié)點。 

  在中國互聯(lián)網(wǎng)上,有數(shù)百萬 

  專家說,“這個數(shù)據(jù)還是保守估計”。 

  病毒“行銷增值一條龍” 

  現(xiàn)在,這種獲利性病毒已經(jīng)形成了一條完整的產(chǎn)業(yè)鏈,有專門從事生產(chǎn)的病毒制造者,他們只管生產(chǎn)病毒,有下家接手。 

  有控制大量“肉雞”兜售“市場”的專業(yè)“分銷商”。他們不從事具體破化和竊取,只是販賣“渠道”,販賣大量“肉雞”給那些需要作惡的人,這算是“批發(fā)業(yè)務(wù)”。 

  有專門從事最終渠道的兜售者,他們像零售商一樣。 

  有花錢買來作惡的病毒最終“消費(fèi)者”,他們利用買來的病毒進(jìn)行破壞,竊取,敲詐,攻擊。 

  更離譜的是,還有專業(yè)的病毒制作“培訓(xùn)”。這一切都是公然在互聯(lián)網(wǎng)上進(jìn)行,網(wǎng)民可以以很低的成本獲取。 

  這種病毒趨利化的趨勢,不僅危及到了個人用戶的利益,更對國家信息安全和信息化造成了威脅。與會的電子政務(wù)專家陳拂曉指出,一年多以來,我國政府遇到的泄密事件里面,有相當(dāng)多是由于木馬盜竊泄露出去的。陳拂曉表示,出于對泄密的擔(dān)憂,一些新的應(yīng)用開發(fā)不得不被停止,“這產(chǎn)生的結(jié)果,就是嚴(yán)重影響了國家的信息化。” 

  殺毒軟件“死了” 

  “基于原來原理的殺毒軟件每天都要升級特征碼,這個受不了。現(xiàn)在是不升級,而是升級了實際上也沒有多少用”。來自中辦秘書局一位負(fù)責(zé)信息系統(tǒng)的處長說。 

  “作為我們來講,受病毒侵害很深。我們覺得互聯(lián)網(wǎng)的問題嚴(yán)重性越來越大,發(fā)現(xiàn)的問題都不是小事”。國務(wù)院辦公廳電子政務(wù)辦公室的劉慈副處長也深有感受。 

  同樣憂心忡忡的還有財政部信息網(wǎng)絡(luò)中心運(yùn)營維護(hù)處的趙曉光處長,以及國家保密局攻防實驗室的相關(guān)負(fù)責(zé)人。本報記者在“病毒防范現(xiàn)狀與國際病毒防御技術(shù)最新發(fā)展趨勢”高端研討會上看到,這樣的擔(dān)憂已經(jīng)很普遍,基本達(dá)成共識。 

  他們,都是信息安全技術(shù)的“關(guān)鍵”用戶。 

  “反病毒軟件非常容易被攻破”,得出這一結(jié)論是來自美國SonomaState大學(xué)的教授GeorgeLedin,他帶領(lǐng)自己的學(xué)生們模擬“黑客”進(jìn)攻,這一切都是在學(xué)校內(nèi)部的封閉網(wǎng)絡(luò)進(jìn)行的,以防止危害互聯(lián)網(wǎng),實驗結(jié)果是,絕大多數(shù)殺毒軟件本身是沒有什么用。 

  根據(jù)瑞星公司今年發(fā)布的研究報告,黑客利用加殼等手段產(chǎn)業(yè)化、自動化生產(chǎn)病毒成為趨勢,使得病毒數(shù)量暴增,一個熟練的病毒工程師每天可以分析40到50個樣本,但目前每天出現(xiàn)在網(wǎng)上的病毒樣本平均是3000到4000個。這樣的生產(chǎn)速度,幾乎已經(jīng)達(dá)到了廠商捕獲和分析能力的極限。 

  今年年初,國內(nèi)三大殺毒軟件廠商——江民、金山、瑞星都先后推出2007年年度安全報告,都提出,傳統(tǒng)殺毒軟件技術(shù)難以防范新病毒。而在賽門鐵克的用戶大會上,專家也認(rèn)為,“殺毒軟件將死”。 

  “現(xiàn)有的殺毒技術(shù)非常脆弱。”劉旭說,“現(xiàn)在用戶的計算機(jī)已經(jīng)很少沒有安裝殺毒軟件,但是超過千萬臺的計算機(jī)被黑客控制,而這些‘肉雞’和‘僵尸’上安裝的殺毒軟件卻對病毒視而不見。” 

  “所有的殺毒軟件都是跟著病毒跑,滯后于病毒。”在中國工程院院士倪光南看來,反病毒產(chǎn)業(yè)發(fā)展到當(dāng)前,“跟著病毒跑的話,特征庫也會越來越大,將來掃描起來可能需要很長時間,所以我覺得需要創(chuàng)新。” 

  主動防御真假論 

  隨著“殺毒軟件將死”的論斷被普遍認(rèn)可,全球信息安全廠商也紛紛開始“主動防御”的探索,但迄今為止,國際上沒有純粹的主動防御產(chǎn)品,很多殺毒軟件里的“主動防御”功能頻繁誤報使得用戶反饋不好,甚至對主動防御產(chǎn)生誤解。這讓殺毒軟件廠商只能把“主動防御”作為缺省“不使用”。 

  “目前國內(nèi)外殺毒軟件提供的所謂主動防御功能,實際上還只是處于主動防御的初級階段”,劉旭在研討會上分析,“舉一個很常見的例子,在使用某款號稱具有智能主動防御功能的產(chǎn)品時,經(jīng)常會遇到‘有程序正在向您的計算機(jī)設(shè)置全局掛鉤,是否允許’之類的提示。什么叫全局掛鉤?一般用戶可能不理解,也就無從選擇。用戶使用殺毒軟件,就是將殺毒防毒的工作交給軟件,現(xiàn)在反而要自己進(jìn)行判斷,這是不合理,更是不負(fù)責(zé)任的?,F(xiàn)在的殺毒軟件越來越像‘高手’專用的,表面上是易用性不足,實際上是這些產(chǎn)品還沒有真正成熟的主動防御技術(shù)。” 

  主動防御技術(shù)是依據(jù)程序行為,自主識別和判斷程序是否是病毒的一項反病毒新技術(shù)。它通過對病毒行為規(guī)律分析、歸納、總結(jié),并結(jié)合反病毒專家判定病毒的經(jīng)驗,提煉出病毒識別規(guī)則知識庫;模擬專家發(fā)現(xiàn)新病毒的機(jī)理,通過分布在用戶計算機(jī)系統(tǒng)上的各種探針,動態(tài)監(jiān)視程序運(yùn)行的動作,并將程序的一系列動作通過邏輯關(guān)系分析組成有意義的行為,再結(jié)合應(yīng)用病毒識別規(guī)則知識,實現(xiàn)對病毒的自動識別。劉旭認(rèn)為,主動防御技術(shù)是解決目前病毒危害比較理想的反病毒技術(shù)。 

  根據(jù)微點公司對近百萬種病毒的測試表明,微點主動防御軟件能夠有效防范99%以上的未知病毒。 

  “我們組織了專家對微點軟件進(jìn)行檢測,檢測后我們認(rèn)為技術(shù)層面上是很好的,是個很了不起的成果” 中國工程院院士周仲義對微點主動防御技術(shù)給予高度評價。“國家863每個課題都有七到八個,從反病毒角度來說,我們布置的不多,所以你們拿到863課題,說明專家對微點的技術(shù)方案、技術(shù)思路,是認(rèn)可的。” 

  國家863計劃信息安全技術(shù)主題專家組組長、首席專家馮登國教授說,“863計劃十一五要總結(jié)出很多亮點,希望這個能夠作為一個亮點被總結(jié)。” 

  肩負(fù)財政部信息安全重責(zé)的趙處長說,“覺得有了新的希望”。 

責(zé)任編輯:admin