2005年6月21日,关于防治“流氓软件”的研讨会在北京召开。会后,瑞星、千龙、263等16家网络和软件企业,开始共同草拟《软件产品行为安全自律公约》。 安全厂商、网络公司、相关机构共同参与的这场打击“流氓软件”的活动,将打击“流氓软件”的运动推向了新一轮的高潮……然
2005年6月21日,关于防治“流氓软件”的研讨会在北京召开。会后,瑞星、千龙、263等16家网络和软件企业,开始共同草拟《软件产品行为安全自律公约》。 安全厂商、网络公司、相关机构共同参与的这场打击“流氓软件”的活动,将打击“流氓软件”的运动推向了新一轮的高潮……然而,流氓软件究竟该如何打击?一、究竟什么是“流氓软件”?
“流氓”这个词生活中常常听到,可要你对其下一个准确定义,多数人都会语塞。这也难怪,连目前国家的法律至今都对“流氓罪”尚存争议。笔者找了一个段对“流氓”二字下定义的文字:
从有关辞典的释义来看,对流氓所下的定义大致如下:一是指居所不定之流浪者。二是指所谓的莠民。如《中文大辞典》解释为:“今谓扰乱社会秩序安宁、专事不良行为者,亦曰流氓,与无赖同。”(《中文大辞典》第19册,中国文化研究所印行,第205页)仅就这两种解释来看,其第一义是语源的阐释,属广义概念;第二义属社会学的诠释,当属狭义的定义。罗竹风主编的《汉语大词典》则对“流氓”一词作如下解释:一是本指无业游民,后用以指不务正业、为非作歹的人。二是指施展下流手段、放刁撒泼等行为(《汉语大词典》第5册,第1263页,汉语大词典出版社1990年版)。
又如中国社会科学院语言研究所词典编辑室编的《现代汉语词典》解释为:“(1)原指无业游民,后来指不务正业、为非作歹的人。(2)指放刁、撒赖、施展下流手段等恶劣行为的人。”(中国社会科学院语言研究所词典编辑室编:《现代汉语词典》,商务印书馆1996年版)从上述辞书中的解释看,基本上是从两个方面加以解释的:一是在职业方面指“无业”;二是在行为方面指“不务正业,手段下流,为非作歹”。
那么,什么又是“流氓软件”呢?据说这个词是由“深受其害”的网民们集体发明的,诠释这个新名词跟诠释“流氓”一词一样费劲。既然不能对其下个准确的定义,那不如来看看究竟什么样的软件可以称为“流氓软件”。
首先,流氓软件介于病毒和正规软件之间,属于“灰色群体”。它既不象病毒那样具有“自我复制”的特性,也不如正规软件“专门用于计算机工作、娱乐功能而开发,并公开发行”。流氓软件与病毒的区别,大抵可以用“小混混”和“黑社会”的区别来做类比,它对计算机用户的危害不如病毒那么恶劣,但“小混混”习惯于玩阴招、搞暗箱操作,或许这比“光明正大”的作恶更让人防不胜防。
其次,目前比较流行的流氓软件大致可以分为5类。我们可以一起来看看:
1. 广告软件(Adware)
此类软件在安装后频繁弹出广告,消耗系统资源,让其运行变慢。大名鼎鼎的FlashGet便属于这类软件。当然,广告软件是流氓软件中的小儿科,危害性不是很强。
2.间谍软件(Spyware)
这类软件最显著的特征就是在行使其正常功能的同时,偷偷地在系统中开启“后门程序”,搜集用户隐私信息并将其传播出去。其典型代表是GetRight。
3.行为记录软件(Track Ware)
行为记录软件是指未经用户许可,窃取并分析用户隐私数据,记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。它危及用户隐私,可能被黑客利用来进行网络诈骗。
4.浏览器劫持(Browser Hijack)
这类软件多半以浏览器插件的形式出现,具有“不请自来,挥之不去”的特点。这是目前最为流行,也是用户最为深恶痛绝的流氓软件。
5.恶意共享软件(Malicious Shareware)
某些共享或者免费软件,在其中加入强制注册功能,或者采用诱骗、试用陷阱等手段捆绑各类恶意插件。此类软件目前的发展趋势比较迅猛,属于流氓软件家族中的“新新人类”。以前Net Transport的一个版本中曾经恶意捆绑了插件。
二、“流氓软件”有什么危害?
当你正忙着应付病毒、木马、黑客攻击而疲于奔命的时候,流氓软件的“小打小闹”似乎不足以引起你的重视。“它不自我复制,所以它并不是病毒”,正是这句话成为流氓软件最好的开脱,也为用户对它的憎恨给了一个台阶。不过如果你真的对它们置之不理,后果也许比病毒还严重。
近日,美国发生了迄今最大一起个人金融信息被盗案,其始作俑者便是流氓软件。亚利桑那州的一家信用卡数据处理中心的电脑网络被侵入,4000万张信用卡账号和有效日期等信息被盗,盗窃者的手段正是在这家信用卡数据中心的电脑系统中植入一个“流氓软件”。此外,VISA、美国运通和Discover等三大信用卡发卡机构的信用卡信息都有部分被盗。
前不久,国外某信息处理中心因为一员工不遵守操作规范,在自己的电脑上访问了来历不明的站点,计算机上植入了恶意软件,数据大量丢失,而且敏感内容被泄露。
最近一段时间,国内外先后出现了多家伪装银行的站点,它们和正规银行的在线支付系统几乎一模一样,不明所以的用户在浏览这些站点之后,储蓄卡、信用卡资料泄露,造成重大损失。这种被称为“网络钓鱼”的站点其实也是“流氓软件”。
……
当然,这几个例子似乎有些极端。我们见得最多还是网民的无奈和愤怒:“我的浏览器主页被修改了”、“软件装了卸载不了”、“地址栏里好多以前没访问过的网站”……
永远也关不完的广告窗口、死缠烂打的IE插件、卸载不掉的霸王程序……,这些仅仅是流氓软件的表象,而它带来的真正危害则在于:不断被吞噬内存和CPU资源、不稳定的系统、常常崩溃的浏览器、用户知情权和隐私权的彻底丧失……当然,如果你也是美国这起金融案的受害者,那损失的就是白花花的银子了。
古往今来,造成社会土崩瓦解的往往不是那些“大恶人”,而恰恰是那些阳奉阴违的小人,所谓“名枪易躲,暗箭难防”就是这个道理。
三、“流氓软件”仅靠厂商是不行滴
此次防治流氓软件研讨会的召开,其重要成果就是催生了《软件产品行为安全自律公约》的发布。在打击流氓软件的战役中,该公约至少代表了部分厂商的立场。该公约提倡“自律”,制订的目的在于“规范软件行业和互联网相关企业从业者的软件编写与传播行为”,主要内容在于对软件厂商或个人在编写软件时应该遵循的安全规范和行为道德。
而之前,瑞星公司还于6月15日发表了一个《行业自律倡议书》,该倡议书中对软件编写厂商和个人应该遵循的行为准则和职业操守做了比较详细的阐述。
在这次研讨会上,国家计算机病毒应急处理中心主任张健介绍,“流氓软件”已经成为危及全球软件用户的一大公害。从去年底开始,国家计算机病毒应急处理中心已经把“流氓软件”的检测纳入对杀毒软件的检测标准之中。他强调,我国刑法第285条、286条对侵入用户计算机、破坏计算机功能的行为进行了明确规定,“流氓软件”的编写和发布可能触犯国家法律,国家有关部门正在密切关注。从官方的态度来看,流氓软件显然已经进入了有关人士的视线。(相关新闻:“流氓软件”引政府重视 相关规范将出台。
不过联想到在处理“垃圾邮件”等类似问题上的情况,笔者对“自律联盟”、“倡议书”等举措的实际效果持怀疑态度。众所周知,“反垃圾邮件”的大小会议开了一个又一个,而联盟也是一拨接一拨的出现,“公约”、“协议”也签署了一个又一个,为“反垃圾邮件”立法的呼声也是此起彼伏,可就是没见垃圾邮件的数量有所减少。“雷声大,雨点小”的情况屡见不鲜。
此外,该公约的执行和监督问题也是一个难题,毕竟它并非法律条文。软件厂商完全可以一边高喊着“打击流氓软件”,一边自己就是个彻头彻尾的“流氓”。在利益面前,不管是软件厂商还是个人软件作者,仅靠“自律”没有太大说服力和驱动力。
在流氓软件大行其道的今天,软件厂商能够有这方面的意识和举措,这本身是一件值得鼓励的好事,它至少能够唤起更多人的关注。不过,关注之后呢?
在《软件产品行为安全自律公约》中我们看到了有责任感的软件厂商和网络企业对流氓软件的态度,不过要让流氓软件从这个星球上彻底消失,光靠几家厂商、几份公约,显然是不可能的。如果对打击流氓软件的行动没有深入下去,所有的努力都将白费。
从软件开发者的角度,自律是一方面,它要求开发者从道德的层面上遵循一定的规则和标准。而从另一方面来讲,流氓软件之所以“耍流氓”,关键还是利益问题。试问,如果软件开发者的利益得不到保障,那有凭什么要求它不作恶呢?毕竟,软件厂商要生存,共享软件作者要糊口。
从软件传播者来看,目前已经有一些站点做出了表率。全球最大的软件下载站点CNET download.com全面封杀包含广告间谍程序的软件。该站点的编辑使用几款查杀广告软件的工具对递交给CNET Download.com发表的新程序进行扫描,如果发现任何程序包含广告软件,CNET Download.com将拒绝列出它在下载站。不过,就目前来看,国内软件下载站点目前还没有这方面的动作。
对于软件使用者,除了尽量保证不下载安装流氓软件外,改变自己安装软件的习惯性动作比较重要。实际上很多流氓软件都在打擦边球,如果你仔细阅读它们的“用户使用协议”和“安装须知”,其中往往申明了安装可能导致的后果。比较典型的一个例子是著名的Messenger Plus,该软件在安装过程中有可选的安装模式,如果你选择的是“ad-ware模式”,那安装后该软件就成为一个流氓软件。而一旦你选择“freeware模式”,那它又是一个正规软件。
总结:“流氓软件”的根治不仅仅需要厂商方面的努力,需要包括软件生产、销售、传播、使用等整个软件生命线上所有的人都来参与。
网友评论