继2006年流氓软件在互联网肆虐以来,用户对其已是深恶痛绝。在国家有关部门的管制与民间组织的声讨下,对于流氓软件的遏制在2007年已小有成效。时隔四年,虽然在互联网上我们仍能看到部分流氓软件的存在,但拥有“数字签名”的流氓软件引起了更多人的注意。
 
事件回顾:流氓软件披数字签名外衣肆虐网络
1月29日,央视新闻频道《新闻直播间》栏目,报道了一则含有×××网站的流氓软件利用数字签名披上合法外衣的新闻。内容介绍,一款名为“午夜影院”的软件在安装后,自动删除原系统IE浏览器图标,并且自动添加六个新的软件程序,其中包括一个伪装的IE浏览器,浏览器主页被强行篡改。如果只是一款流氓软件倒也不足为奇,问题是这款软件拥有合法的数字签名,并且由于数字签名的作用,让这款流氓软件可以成功绕过传统杀毒软件的防线。据360安全卫士监测,这软叫做“午夜影院”的软件,在网络上的日下载量达到了60万次。
 
疑问:午夜影院如何骗得数字签名
据软件签名中相关信息了解,午夜影院这款软件的发布者是一个叫做中诺世纪的公司,中诺世纪的数字签名是Verisign国内授权伙伴天威诚信数字认证中心颁发,那为什么流氓软件可以获得数字签名呢?51CTO记者向天威诚信相关工作人员了解到,“数字认证中心作为第三方机构,负责对代码签名证书申请者资格进行审核,并对代码签名证书进行管理。一般情况下,正规企业不会利用代码签名证书对恶意软件进行数字签名。因为数字签名后软件将被标明企业的身份信息,一旦出现问题,很短时间便会被查出,不但证书被吊销而且经过数字签名的软件程序直接证明了企业程序代码的真实意图,这些信息足以为后期追溯提供有力的证据。”如此看来,中诺世纪是向天威诚信申请了代码签名证书,然后又对自己的流氓软件进行了数字签名。但中诺世纪为什么要在自己的恶意软件上进行数字签名呢?据央视节目电话采访了解,中诺世纪公司总经理常明表示,“因为那是我们为了好推广,为了下载量和安装量高。”
 
正视软件代码签名 有证件不代表不犯错
如天威诚信介绍,数字认证中心是负责对代码签名证书申请者资格进行审核,那么获得签名资格的人对自己什么样的软件进行代码签名似乎不存在明确的监管措施。软件有×××明,并不意味着软件就一定安全合规。央视新闻的比喻也很恰当,“我们不会因为一个人有驾驶执照就一定可以放心的坐他开的车”。午夜影院事件报漏了互联网软件发布安全鉴定流程上存在的不足,我们在关注流氓软件为网民带来危害的同时,也需要关注互联网软件传播的途径与隐患。
 
传统杀毒机制或要反省
一般的安全公司对拥有数字签名的软件会提高信任,所以当杀毒软件等安全产品在进行文件检测时通常会为有签名的软件放行,这导致恶意软件在通过各种手段获取代码签名后可以迅速在网络上传播蔓延。流氓软件的作者为了能给集成或绑定的服务带来流量和用户,从而获得经济利益,他们可以利用各种手段来达到目的,数字签名就是被午夜影院这种软件利用的合法外衣。安全公司在为用户提供安全服务的同时,可能也需要更多的考虑如何应对各种可以被安全威胁利用的传播途径和方法,不然,杀毒软件等安全产品或将形同虚设了。
 
作茧自缚 “午夜影院”谁看谁知道
央视报道中提及的流氓软件为什么不是某某系统管理软件、办公软件或游戏软件?为什么是午夜影院,而不是别的什么夏日影院、周末影院?午夜影院的名字是不是更诱人?那么是哪些网民因为什么下载安装呢?如果推敲下去的话,不免让人有“黑吃黑”的遐想。那么下载安装午夜影院的受害网民自然不必喊冤了,因为无论是中诺世纪,还是有意图安装软件的网民名义上可能都是要“各打二十大板”。
 
建议:用户上网需当心 增强安全意识很关键
面对网络中不断涌现的流氓软件、***病毒等隐患,作为用户我们应该怎样去防范拥有数字签名的潜在威胁呢?天威诚信公司市场部经理刘燕翔表示:“我的建议有两点:第一, 我们的互联网用户在下载相关软件的时候,还是要下载那些自己比较清楚了解、信任的公司发布的软件;第二,用户发现带有数字签名的软件有一些问题时,需要及时向我们数字认证中心举报,以便我们采取相关措施,以免造成更大的损失和影响。”
 
相关报道:
查看央视节目原文实录:央视揭秘×××网站利用数字签名披上合法外衣
http://www.cioage.com/art/201002/87885.htm
天威诚信:如何查验软件代码签名证书信息
http://www.cioage.com/art/201002/87900.htm