安全软件还“安全”吗？

本刊记者  杜昕

（引言）
2007年在安全业界看来，绝非风调雨顺。
从“熊猫烧香”到“灰鸽子”，再到新进爆发的“AV终结者”，让安全厂商疲于应对；从误杀操作系统文件而导致的系统崩溃，到安全软件之间的“互不相容”，安全软件带给用户越来越多的困扰。除此之外，安全软件自身的各种漏洞，使其成为继Windows操作系统后，黑客攻击的最大目标。安全软件还“安全”吗？我们还能继续相信安全软件是我们电脑门户的守护神吗？《电脑爱好者》经过深入调查，首度推出长达11页的精彩专题，为您揭开安全软件不安全之谜！

知法犯法，杀毒软件病毒化？
5月18日早上，很多诺顿用户的机器弹出一个病毒报警框后，只要重启，电脑就再也进不去Windows了。原来是赛门铁克SAV 2007-5-17 Rev 18版本的病毒定义码，将Windows XP操作系统的netapi32.dll文件和lsasrc.dll文件判定为Backdoor.Haxdoor病毒，并进行了隔离，这导致上万用户电脑重启后系统崩溃。紧接着5月19日上午，瑞星卡卡被卡巴斯基误杀。由于事发者均为国外安全软件厂商，一时间，国内舆论纷纷将矛头对准了国外安全软件厂商，有的说国外厂商在升级软件的时候，并没有对中国版本进行病毒库测试；有的说在国外厂商看来，中国用户根本不是他们的“重点用户”。此外，呼吁国外安全软件“本地化”的文章也登上了各大报刊的醒目位置。

然而，令人始料不及的是，6月28日，国内三大安全软件厂商之一的江民又爆出了误报Windows系统文件，从而导致系统瘫痪的事件。尽管江民对广大用户做出了会做好善后补偿的承诺，但这一事件的爆发，使人们意识到，将误杀误报归结为是国外企业在中国“本地化”推进工作中的一个失误，显然并不足以揭示问题的根本。更有人预言道，这些事件的发生仅仅是一个开始，它预示着整个安全业界误杀误报时代的来临！

客观上讲，所有安全软件厂商都承认，误杀误报是不可避免的，所谓“杀毒软件病毒化”的说法更是无从谈起。安天实验室品牌总监张晓兵对记者说：“从病毒发现和报告的流程来看，现在都是使用自动化的病毒处理技术和病毒库的方式来查杀病毒，通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定是否感染未知病毒。这就像警察只是根据一个人拿刀刺向另一个人这个动作来判断这个人是凶手，而不管他们是不是朋友之间开玩笑一样，引发错误当然是难免的。”

尽管，导致误杀成为安全软件不安全的一大因素有其技术方面的必然性，然而，我们也不能不看到更深层次的市场层面的原因。网络时代，蠕虫、木马、后门等恶意程序的泛滥加剧了安全软件厂商之间的竞争，从市场运作出发，甚至出现了一家厂商利用对某种病毒查杀效果好而打压其他厂商的策划。在如此激烈的竞争中，安全厂商之间各自为政，甚至是黑箱操作、互不信任，这一定程度上也导致了彼此误杀的增多，而在这种竞争中最容易受害的，便是用户的利益。

（单独作表）
传言一：诺顿能查到操作系统里的病毒，证明赛门铁克的技术比国内厂商的技术强。因为赛门铁克的安全层是与操作系统在一个级别上，而国内的安全软件都是基于操作系统的，会默认操作系统的所有软件都是安全的，所以查不出来。
答：赛门铁克确实是把反病毒引擎放在了系统的内核，这样做的好处是，由于内核的权限高，响应速度和处理速度都很快，查杀得干净。不像放在上层那样，查杀后还需要重启。但存在的隐患是，由于内核的资源有限，会增加系统的不稳定性，一旦程序出现问题，会导致整个系统崩溃。其实很多厂商没有把反病毒引擎移植到内核，并不是没有技术能力，而是考虑到系统不稳定的因素。

传言二：在赛门铁克误杀事件中，诺顿杀掉的其实是美国政府内置在Windows XP操作系统简体中文版中，定向监视中方的后门程序。
答：微软Windows XP操作系统的每个程序在访问网络的时候都会提示用户是否允许访问，并会告诉用户本次访问是不收集任何信息的，如果用户同意就放行。微软作为国际大公司，是不可能做这些有损公司形象的事的。更何况中国民间不乏技术高人，如果确有其事的话，相信他们早就发现了。
（来源于记者对赛门铁克安全响应中心高级发展总监Vincent Weafer独家专访）

腻了Windows，安软漏洞成黑客新宠（小标题）
诺顿误杀事件还没结束，安全软件厂商CA又自爆“家丑”，其多款杀毒软件存在的引擎存在缓冲溢出漏洞，如果该漏洞被成功利用，那么将允许黑客在用户的计算机中执行恶意代码，导致系统崩溃。咨询机构Yankee集团分析师在研究报告明确指出:“杀毒软件对黑客而言，就像随手可摘的果实。”随着微软Windows操作系统的可用漏洞日渐减少，黑客的目光也转向安全软件软件。

Yankee的研究报告指出，在安全软件产品中发现的漏洞数量已经连续第五年呈现增长趋势，而且其漏洞数量已经超过在微软产品中发现的漏洞数量。这些数字无疑让安全软件厂商感到了尴尬，安全软件为这些厂商带来了数十亿美元的收入，但是它们现在却成了黑客的帮凶。以前安全软件厂商忙于为微软产品中的漏洞打补丁，而现在他们得为自己的产品打补丁了。为此安全软件厂商辩解道，安全软件同样也是由程序员编写出来的，每个人都知道无法开发出完美无暇的软件产品。

（单独作表）
针锋相对，小黑小白论安全
小白：现在小黑们的有些攻击手法并不是穿过安全软件漏洞的问题，而是想办法让用户的安全软件无法运行。
小黑：我们编个木马软件，教给一个略懂电脑的人20分钟，他就可以突破防火墙。就算是公认技术最强的卡巴斯基再加上防火墙，小黑们想穿过它们也非常容易。
小白：漏洞一旦被发布，小白们会在3、4天内发布补丁。
小黑：其实这个漏洞只是小黑反馈给软件厂商的一个程序，而且一般安全软件在监测时也会默认打了这个补丁之后就不会受攻击，但是一般小黑们会保留另一个攻击程序，可以进行二次攻击。
小白：我们反病毒的机理是通过特征码来确认病毒，病毒库越大的软件，查杀效果越好。
小黑：小白在查杀熊猫烧香一代的时候，都号称自己技术一流，但熊猫烧香二代、三代，四代甚至五代，每次只是在源代码的基础上修改了一些验证码，小白就又认不出来了。还有像灰鸽子，每次加密都能躲过安全软件，小白们认为病毒或木马的特征码是不可更改的，但其实，一个软件没有什么是不可更改的。
小白：不懂安全的人是幸福的人，我们的责任是捍卫这种幸福。
小黑：最好的方法就是提高自身的技术水平，真正的高手不会去安什么安全软件，都是“裸奔”的。

主动防御，易引误杀遇尴尬（小标题）
原安全部总工程师说，尽管如今的安全软件功能日益强大，然而用户的安全问题却没有得到很好的改善。在采访中，一位黑客也对记者透露说：“安全软件后知后觉式的被动防御是问题的关键。”这是否意味着，安全软件从一开始的设计理念就有问题呢？

趋势科技中国区技术总监蔡昇钦对记者解释道：“所谓被动型的防御，是对于一个病毒来说，安全软件需要首先将其截获，然后进行分析，提取病毒特征、测试，然后升级给用户使用。而这种模式的弊端在于，在病毒爆发的最初几天，在安全软件还不能查杀这个病毒的时候，用户就已经为此遭受了严重损失。所以，一直以来，各大安全软件厂商也在主动型的防御领域中不断探索。”

所谓主动型防御，就是对未知病毒的查杀。目前在这个领域，各个厂商用的方法不尽相同，但主要思想都是对文件进行分析。被动型防御就像指纹匹配，它的前提是必须先抓到犯罪嫌疑人，然后取他的指纹进行比对；而主动型防御是根据嫌疑人的行为来分析其可疑性。比如你看到一个人鬼鬼祟祟地跟在另一个身后，这时他的可疑性是1；不久你又看见他向前面那个人的皮包伸出了手，他的可疑性就升到了2；紧接着你又看到他的手已经伸到对方皮包里面了，这时他的可疑性已经是3了，你就报警了。然而，不可否认，主动型防御更容易引起误报，所以厂商必须斟酌使用，一是将行为分析得更细，二是将主动型防御和被动型防御结合运用。

（小故事，单独排）
1、6月19日，据英国《每日电讯报》报道，一位网名为“加布里埃尔”的黑客在一家知名的黑客网站上留言说，他数天前攻入了出版商布鲁斯伯里出版公司的电脑系统，并已经获知了《哈利·波特》完结篇——《哈利·波特和死圣》的大结局。在留言中，他将书中两位主角的命运以及死亡方式等详细地陈述出来。他还信誓旦旦地表示：“看到这些细节之后，再看小说已没什么意义，只会让人觉得冗长而繁琐。”

2、今年6月，有黑客入侵了美国内华达州卡尔森市高级银行，并且直接盗窃了4.5万美元的资金。据安全专家透露，这次黑客行为并不存在过多的技术含量，只是通过向市政府电脑发送并且安装间谍软件，黑客成功盗窃了银行系统的登录账户和密码。

3、今年4月，韩国小天后宝儿遭一名黑客入侵私人网页和电子邮箱，盗取了她和绯闻男友Danny Ahn的亲密合照，并被勒索30万港元。