2010年01月《安全天下事之兼容还是冲突》

兼容还是冲突

 

（2010年01月）主持人/江海客

 

嘉宾：
何公道：江民科技技术副总，资深程序员，中国通用软件史上知名的郑州七杰之一。
托马斯：(化名，资深程序员，美国某知名反病毒公司高级技术经理，负责运营)

李德浩：微软公司恶意软件防护中心高级研发主管（Malware Raesearch Manager）。

 

      杀毒软件相互之间的兼容性问题本月再被提到焦点话题上来，国内主导厂商瑞星再次明确建议用户只安装一种杀毒软件。因为反病毒产品共存“会诱发严重的不稳定因素”。
      对于反病毒技术界来说，如果与IT批评家一样，简单把这种言论归入“口水战”是不负责任的。在实时监控这一当年业界以为会让反病毒斗争攻守异型的技术出现之时，反病毒工作者已经打破了稳定性的潘多拉魔盒。随着驱动级过滤不断被实施到文件、进程、注册表、网络包等对象之上，随着大量系统级和用户级hook的引入，反病毒厂商修补在自身bug、应对操作系统的变化以及面对与兄弟产品的冲突三者之间疲于奔命。
      以单机防火墙为例，在主流产品采用NDIS驱动时，由于NDIS是链式结构，无论安装了几个防火墙，无非数据包多被过滤一次而已，虽然能感到多个防火墙会影响到网络速度，但并不会相互干扰。但后来微软开放了IP filter接口，而这个接口是不能嵌套的，这就让先接驳了接口的应用才能生效，而抢不到的自然会崩溃或者弹出错误消息。而在安全浏览之争中，由于hook的位置问题，诱发蓝屏的现象也不是第一起。
      除了这种明显的冲突之外，还有很多隐性的冲突，比如反病毒软件A只能检测并不能清除某个病毒，就会尝试隔离该文件（禁止访问），但这种隔离就会导致其他的反病毒软件对此也无法查杀。
      这种独占性 或许这会让我们怀念DOS时代，尽管反病毒软件行命令时代显得那样的丑陋和不友好，尽管几十个古怪的参数会把用户搞的晕头胀脑，但至少能自由的用多个引擎扫描自己的系统。目前尽管virustotal、virscan.org这样的多引擎扫描站点都具有巨大的人气。但毕竟用户不可能把整个硬盘提交上去，
      我期待主流厂商能公益性的开放云检测接口，这样便于在终端应用中封装出更便利的多引擎扫描，而不对兼容性产生巨大的困扰。

      何公道：
      在早期，反病毒厂商较少，遇到问题相对集中，因此遇到可以相互规避，但现在厂商越来越多，而且都带有大量监控和主动防御，这些技术有很多都必然要求互斥性，而厂商的各个技术往往又期望组成一个整体的安全模型，相互规避非常困难，最后不堪重负，最后必然导致要求用户卸载其他的，换用自己的。也许随着微软系统的设计更新，提供一些可复用公共的接口出来。能够逐步规范和解决这样的问题。
我们认为一个系统只安装一个反病毒软件的观点对于企业用户和普通个人用户来说，还是有道理的，但对高手来说，则自然会摸索出共用兼容，取长补短的方法。

      托马斯：

      我们希望用户能够理解我们，兼容问题并不是反病毒厂商之间商业斗争的武器，这种需要独自存在是对用户负责的表现，特别是在企业级用户中，反病毒厂商承担了极大的责任和压力，而当这种问题由不同安全产品之间冲突所导致时，则很难有效界定和快速解决。这就会伤害我们为用户服务的能力。

 

重载还是轻装

 

文/江海客

 

      监控、脱壳等传统技术带来的问题不只是兼容和稳定性的问题，更包括造成系统的重载。而这往往是反病毒产品最终失去用户的原因，从传统的角度，提高结构和代码段检测的效力以避免全文件IO、避免过于重载的虚拟机而代之以其他的综合判定方法，以及采用更好的描述方法降低内存利用，都是很好的方法。但反厂商浓厚的底蕴则可能成为负担，积重难返，很难做出快捷的调整。
      而即使360这样讲求快速敏捷的团队，也在全面解决安全问题的压力下，开始变成一个机制俱全的整体解决方案。
      这其实给小安全工具的成长创造了空间。如金山发布了贝壳，这个十分精致的、只有500K的云查杀工具，也许这个名字显得过于写意，在各大下载站上贝壳基本上“波澜不惊”。但确实传统重载厂商的新尝试，而且延续了金山良好的UI传统。而一个叫村落安全的小工具，似乎正在弥补360重载化后已经开始不能系统涵盖的主页劫持的小众问题空白。
      一个同仁在CSDN在深圳的CTO联谊中，提出了这样一个问题，用户更需要精通十八般武艺的慕容复，还是只会一招黑虎掏心的虚竹。我想对安全也是如此，重载的解决方案级产品和轻载的小工具，哪个更有商业前途。其实小的崛起、成长、庞大，灭亡，都是必然的规律，但庞大者确实总是站在价值链的顶端，但机会却总在霸王龙看不到的地方。

 

 

相关新闻。

反微软：微软推出COFEE，用于司法取证的工具之后，黑客们迅速发布了Decaf这样一个轻量级的工具用于监控并中止COFEE的正常工作，这个工具可以在http://decafme.org/下载。

反Google：Google9月份购买的reCAPTCHA技术也在数日前被黑客发布的攻击技巧轻松绕过，也许图像验证码真的要用甲骨文或者拉丁文弄到天才都无法识别的地步才能奏效。

假冒杀毒软件：
 FBI认为假冒杀毒软件的勒索式销售和恐吓式销售赚取了超过1.5亿美金的利润，只缘于消费者对信息安全的不甚了解，而这一趋势仍将加剧，虽然欧美的反病毒厂商均已经将Roguware或者Scareware当作一个独立的类别加以处理.

打击地下经济：
江苏的特大盗号木马“温柔”一案的宣判，伴随着长达三年的有期徒刑和八十三点三万元的罚款，网游厂商的商业利益与地下产业经济之间的非法所得使得双方的冲突将进一步加强，精细的分工与周密的控制使得抓获地下盗号团伙的难度也进一步加大；

口水：
趋势的CTO Raimund Genes说Win7远不如Vista更安全，引发了微软的诸多口水，趋势还煞费苦心的发布了Trend Micro 2010 Future Threat Report用于佐证这一说法。

产品：
SC杂志已经推出了2010产品决选清单，谁是欧美信息安全年度“当家花旦”已经揭晓。

会议消息：
CCC会议12月30日在柏林开幕，这是今年欧洲最大规模的安全会议。而有关人员预测openwrt 题为a visible 'hackspace' inside the building的报告，将代表年度无线安全研究的最新水准。