反病毒软件未来是否还能继续前行?

互联网 | 编辑: 杨剑锋 2007-09-26 17:08:00转载

在至少十年之内,对每位计算机用户的忠告就是,在他们的电脑上安装反病毒软件。但由于新的恶意软件更加商业化,更加复杂,更加隐蔽,迫使业界人士不得 不重新思考:反病毒是否能够提供长久保护?在已发现的安全威胁中,业界人士发现,恶意软件能够利用最新处理器的功能运行虚拟机,从而躲过反病毒程序的查杀。

杀毒软件是否有未来?

然而,防病毒厂商似乎并未意识到他们遇到了一个棘手的问题。赛门铁克调研部经理埃里克•陈说,“可能每年都有人会说,反病毒软件已死。”竞争对手Sophos公司高级技术顾问格雷厄姆•克鲁雷称,“我们经常发现病毒感染计算机的新方式……但归根结底都将通过传统方式达到计算机中。”也就是说, 不管一种新型恶意代码如何传播,抑或想要干什么,它最终仍将以可执行代码的方式到达你的计算机,并在实施破坏之前被安全软件所检测到。

威胁改变

克鲁雷还说,“软件社区的某些人似乎低估了如今的反病毒软件。士别三日,当刮目相看。如今的反病毒软件虽然名称未变,但其工作的原理和方式与 20年前相比已截然不同。”首先,如今反病毒软件并非如人们惯性思维所认为的那样,它们已经很少依赖于病毒特征码来进行恶意软件和入侵检测了。一年前,反 病毒软件尚不能处理Rootkit(一种将自身隐藏并控制计算机的程序),但如今,几乎所有的反病毒产品都可以轻易地将其消灭。

杀毒软件是否有未来?

日前,西班牙Panda Security公司首席市场官彼得罗•巴斯特曼特,完成了对1206家公司网络的17809台计算机和150万台消费者PC中恶意软件类型的一份调查。 在消费者PC中,仅有37%的用户拥有完全升级过的安全保护——但其中仍有近1/4感染有恶意软件。而在企业网络中,近72%的计算机被恶意软件所感染。

安全威胁已经变得更加短暂:长达数周的病毒攻击已经不复存在。

Sophos和赛门铁克使用启发式技术去寻找通用行为匹配,而反病毒软件也正从阻截黑名单转(阻截恶意对象)向放行白名单(仅允许善意对象)。

与此同时,增长最为快速的威胁并非电子邮件,而是访问受感染网站时自动下载恶意软件的推动式攻击。不同于电子邮件威胁,你不能通过常识和避开 恶意网站的方式免遭此类风险。克鲁雷表示,Sophos如今一天会发现29000个新感染恶意软件的网页,而其中80%都并非“危险区域”。相反,他们都 是一些正规合法的网站,如印度银行和迈阿密海豚队的网站等。

关于旧种类恶意软件的统计数据令人感到恐慌。巴斯特曼特称,七年前,全世界大约有10万至30万种病毒;而如今这一数目难以统计,已经达到“成千上百万的规模”。并且,这些病毒采用新的技术:90%的病毒经常变化自己的外壳,从而使特征码不会相同。

更重要的是,恶意软件作者的目的已经从业余爱好转向了成熟的犯罪和商业市场。一起攻击的背后存在的业务链可能涉及6-7种不同的角色:一人攻 击网站,另一人便携攻击程序,第三个人组织僵尸网络并将其出租。而如果你可知道具体的攻击对象,可以花100美元购买1天的DDOS攻击服务;发送一千万 封垃圾邮件仅需600美元;发送100万条垃圾IM消息需要150美元;购买50Mb被盗银行和信用卡帐号数据需要30美元。

如今的恶意软件已完全不同:隐蔽已经取代华丽。病毒潜在在用户系统的时间越长,它窃取金钱、银行帐号和信用卡信息的机会越多。如今的恶意软件 作者希望能够达到软件效率最大化和被检测的几率最小化。Mac和Linux系统仍然面临的安全威胁相对较少,这是因为Windows仍是世界PC操作系统 的主流。

威胁背后

在8月份的Defcon大会上,新西兰奥克兰大学研究人员彼得•古特曼演示了他对恶意软件商业市场的一份调查结果。古特曼推测,一名出色的病 毒成员每年可以挣20万美元左右。开源安全研究人员阿兰•高科斯指出了其他一些可能性。首先,恶意软件在设计时充分利用了如今的虚拟机。去年,微软和密歇 根大学的研究人员曾发表了一篇介绍此类Subvirt攻击的概念性验证论文。新加坡安全公司Coseinc研究人员Rutkowska在去年的黑帽安全大 会上的一篇演讲稿,介绍了一种称之为“蓝色药丸”的更加刁钻的攻击方式——它瞄准了Windows Vista以及当前AMD和Intel处理器内建的虚拟化。

到目前为止,这些攻击都仅仅处于理论阶段。但是安全公司Webroot首席技术官杰哈德•艾斯切尔贝克称,可能到明年8月的黑帽安全大会上,将看到真是世界中出现的利用虚拟机技术的恶意软件。

与此同时,克鲁雷表示,Sophos每天发现的短期病毒数量达到了300种。客户报告新病毒如今已经远远不能赶上病毒繁殖的速度了。艾斯切尔贝克说,“相反,我们不得不在互联网上猎取恶意软件。”

新安全层

贝斯特曼特认为,反病毒软件以及相关安全套件的作用已经越来越小。Panda公司对未来的想法就是添加一个称之为“集体智慧”的新安全层。他 称之为“Web 2.0版安全”:不要将每个用户的计算机隔离,而是对这样一个计算机群进行扫描。他表示,由于所有计算机实时可见,所有这种方式将允许使用更大的签名文 件,并直接面向攻击进行检测。

但即便这种方式也无法维持长久。哥伦比亚大学计算机科学院教授赛尔瓦托•斯道夫认为,攻击者“占据着优势。他们拥有充裕的时间,并且拥有足够的动机和动力去使病毒免遭查杀。”

他表示,反病毒软件还是有未来的,但可能是有名无实罢了。“基础实现和策略将发生改变。”就好比银行和信用卡公司所采用的欺诈检测,“最后,系统将学习你自己的个人行为,并通过检测不正常行为实施保护。”换句话说,反病毒软件前景一片迷茫。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑