2008年9月25日。新世纪饭店的一间小会议室里,坐着两位院士,几位司局级信息安全专家,还有国家863计划的某个课题组长,还有几位机要部委负责信息安全的处长们。
两台不同电脑开始演示。一个技术人员从网上找到一个木马,下载之后,控制了另一台电脑。屏幕上清楚地显示,一台电脑被完全监控。随后,监控程序甚至打开了另一台电脑上的摄像头。更惊人的是,像这样的程序,可以同时监控多台电脑,如同我们在电视上看到的路况监控台。
而这台被控制的电脑里已装上的杀毒软件居然毫无察觉。
这样的事情很多。一位电子政务的处长说,“信息安全问题严重性越来越大,发现的问题都不是小事”。他说的不是个人用户,而是,政府部门信息系统。
这是在,国家863计划“基于程序行为自主分析判断的实时防护技术”课题组召开的“病毒防范现状与国际病毒防御技术最新发展趋势”高端研讨会上的一幕。
百万“肉鸡”
上网搜一下,你就可以看到各种“黑客”报价,诸如,一万只“肉鸡”叫卖1000元——大约每只“肉鸡”0.1元。所谓“肉鸡”,简单解释是指在互联网上被黑客远程控制的电脑。被远程控制有的有如上面所描述的被完全监控,打开摄像头。而更多的是,长期潜伏。监控用户动作窃取一切有价值的东西,诸如密码,虚拟财产,个人隐私等等。甚至,还有一些是被控制的计算机属于僵尸网络,通过攻击网络进行敲诈。
例如,媒体报道,有人利用木马病毒偷拍下夫妻生活,敲诈5000元。再例如,媒体报道,有人在网上花70元购买的病毒,2小时内窃取到3万元。
“现在互联网上,被秘密控制的电脑已经达到数百万台”,国家863计划“基于程序行为自主分析判断的实时防护技术”课题组组长、著名反病毒专家刘旭对记者表示,病毒的趋利性正在变得日益明显。刘旭分析,“肉鸡之所以卖得这么便宜,正是因为数量巨大”。
例如,有人在网上花70元购买的病毒,2小时内窃取到3万元。
国家计算机网络应急技术处理协调中心统计显示,2007年监测到中国内地有90万个IP地址主机被植入木马,比2006年增加21倍。另外,2007年的抽样监测发现,内地有360万个IP地址主机被植入了僵尸程序,2007年各种僵尸网络被用来发动拒绝服务攻击一万多次,发送垃圾邮件110多次,实施信息窃取操作3900多次。调查发现,黑客如果利用僵尸网络对某一个特定的目标实施拒绝服务攻击的话,破坏力将会更强,互联网数据中心IDC机房很容易遭遇类似的攻击。目前,我国监测到最大规模的僵尸网络达到了129万个僵尸节点。
在中国互联网上,有数百万。
专家说,“这个数据还是保守估计”。
病毒“行销增值一条龙”
现在,这种获利性病毒已经形成了一条完整的产业链,有专门从事生产的病毒制造者,他们只管生产病毒,有下家接手。
有控制
大量“肉鸡”兜售“市场”的专业“分销商”。他们不从事具体破化和窃取,只是贩卖“渠道”,贩卖大量“肉鸡”给那些需要作恶的人,这算是“批发业务”。
有专门从事最终渠道的兜售者,他们像零售商一样。
有花钱买来作恶的病毒最终“消费者”,他们利用买来的病毒进行破坏,窃取,敲诈,攻击。
更离谱的是,还有专业的病毒制作“培训”。这一切都是公然在互联网上进行,网民可以以很低的成本
获取。
这种病毒趋利化的趋势,不仅危及到了个人用户的利益,更对国家信息安全和信息化造成了威胁。与会的电子政务专家陈拂晓指出,一年多以来,我国政府遇到的泄密事件里面,有相当多是由于木马盗窃泄露出去的。陈拂晓表示,出于对泄密的担忧,一些新的应用开发不得不被停止,“这产生的结果,就是严重影响了国家的信息化。”
杀毒软件“死了”
“基于原来原理的杀毒软件每天都要升级特征码,这个受不了。现在是不升级,而是升级了实际上也没有
多少用”。来自中办秘书局一位负责信息系统的处长说。
“作为我们来讲,受病毒侵害很深。我们
觉得互联网的问题严重性越来越大,发现的问题都不是小事”。国务院办公厅电子政务办公室的刘慈副处长也深有感受。
同样忧心忡忡的还有财政部信息网络中心运营维护处的赵晓光处长,以及国家保密局攻防实验室的相关负责人。本报记者在“病毒防范现状与国际病毒防御技术最新发展趋势”高端研讨会上看到,这样的担忧已经很
普遍,基本达成共识。
他们,都是信息安全技术的“关键”用户。
“反病毒软件非常容易被攻破”,得出这一结论是来自美国SonomaState大学的教授GeorgeLedin,他带领自己的学生们模拟“黑客”进攻,这一切都是在学校内部的封闭网络进行的,以
防止危害互联网,实验结果是,绝大多数杀毒软件本身是没有什么用。
根据瑞星公司今年发布的研究报告,黑客利用加壳等手段产业化、自动化生产病毒成为趋势,使得病毒数量暴增,一个熟练的病毒工程师每天可以分析40到50个样本,但目前每天出现在网上的病毒样本平均是3000到4000个。这样的生产速度,几乎已经达到了厂商捕获和分析能力的极限。
今年年初,国内三大杀毒软件厂商——江民、金山、瑞星都先后推出2007年年度安全报告,都提出,传统杀毒软件技术难以防范新病毒。而在赛门铁克的用户大会上,专家也认为,“杀毒软件将死”。
“现有的杀毒技术非常脆弱。”刘旭说,“现在用户的计算机已经很少没有安装杀毒软件,但是超过千万台的计算机被黑客控制,而这些‘肉鸡’和‘僵尸’上安装的杀毒软件却对病毒视而不见。”
“所有的杀毒软件都是跟着病毒跑,滞后于病毒。”在中国工程院院士倪光南看来,反病毒产业发展到当前,“跟着病毒跑的话,特征库也会越来越大,将来扫描起来可能需要很长时间,所以我觉得需要创新。”
主动防御
真假论
随着“杀毒软件将死”的论断被普遍认可,全球信息安全厂商也纷纷开始“主动防御”的探索,但迄今为止,国际上没有纯粹的主动防御产品,很多杀毒软件里的“主动防御”功能频繁误报使得用户反馈不好,甚至对主动防御产生误解。这让杀毒软件厂商只能把“主动防御”作为缺省“不使用”。
“目前国内外杀毒软件提供的所谓主动防御功能,实际上还只是处于主动防御的初级阶段”,刘旭在研讨会上分析,“举一个很常见的例子,在使用某款号称具有智能主动防御功能的产品时,经常会遇到‘有程序正在向您的计算机设置全局挂钩,是否允许’之类的提示。什么叫全局挂钩?一般用户可能不理解,也就无从选择。用户使用杀毒软件,就是将杀毒防毒的工作交给软件,现在反而要自己进行判断,这是不合理,更是不负责任的。现在的杀毒软件越来越像‘高手’专用的,表面上是
易用性不足,实际上是这些产品还没有真正成熟的主动防御技术。”
主动防御技术是依据程序行为,自主识别和判断程序是否是病毒的一项反病毒新技术。它通过对病毒行为规律分析、归纳、总结,并结合反病毒专家判定病毒的经验,提炼出病毒识别规则知识库;模拟专家发现新病毒的机理,通过分布在用户计算机系统上的各种探针,动态监视程序运行的动作,并将程序的一系列动作通过逻辑关系分析组成有意义的行为,再结合应用病毒识别规则知识,实现对病毒的自动识别。刘旭认为,主动防御技术是解决目前病毒危害比较理想的反病毒技术。
根据微点公司对近百万种病毒的测试表明,微点主动防御软件能够有效防范99%以上的未知病毒。
“我们组织了专家对微点软件进行检测,检测后我们认为技术层面上是很好的,是个很了不起的成果” 中国工程院院士周仲义对微点主动防御技术给予高度评价。“国家863每个课题都有七到八个,从反病毒角度来说,我们布置的不多,所以你们拿到863课题,说明专家对微点的技术方案、技术思路,是认可的。”
国家863计划信息安全技术主题专家组组长、首席专家冯登国教授说,“863计划十一五要总结出很多亮点,希望这个能够作为一个亮点被总结。”
肩负财政部信息安全重责的赵处长说,“觉得有了新的希望”。