专家：反病毒软件是否拥有未来

在至少十年之内,对每位计算机用户的忠告就是,在他们的电脑上安装反病毒软件.但由于新的恶意软件更加商业化,更加复杂,更加隐蔽,迫使业界人士不得不重 新思考:反病毒是否能够提供长久保护?在已发现的安全威胁中,业界人士发现,恶意软件能够利用最新处理器的功能运行虚拟机,从而躲过反病毒程序的查杀.

然而,防病毒厂商似乎并未意识到他们遇到了一个棘手的问题.

赛门铁克调研部经理埃里克•陈说,“可能每年都有人会说,反病毒软件已死.”竞争对手Sophos公司高级技术顾问格雷厄姆•克鲁雷称,“我们经常发现病毒感染计算机的新方式……但归根结底都将通过传统方式达到计算机中.”也就是说,不管一种新型恶意代码如何传播,抑或想要干什么,它最终仍将以可执行代码的方式到达你的计算机,并在实施破坏之前被安全软件所检测到.

病毒技术已今非昔比

威胁改变

克鲁雷还说,“软件社区的某些人似乎低估了如今的反病毒软件.士别三日,当刮目相看.如今的反病毒软件虽然名称未变,但其工作的原理和方式与 20年前相比已截然不同.”首先,如今反病毒软件并非如人们惯性思维所认为的那样,它们已经很少依赖于病毒特征码来进行恶意软件和入侵检测了.一年前,反病毒软件尚不能处理Rootkit(一种将自身隐藏并控制计算机的程序),但如今,几乎所有的反病毒产品都可以轻易地将其消灭.

日前,西班牙Panda Security公司首席市场官彼得罗•巴斯特曼特,完成了对1206家公司网络的17809台计算机和150万台消费者PC中恶意软件类型的一份调查.在消费者PC中,仅有37%的用户拥有完全升级过的安全保护——但其中仍有近1/4感染有恶意软件.而在企业网络中,近72%的计算机被恶意软件所感染.

安全威胁已经变得更加短暂:长达数周的病毒攻击已经不复存在.

Sophos和赛门铁克使用启发式技术去寻找通用行为匹配,而反病毒软件也正从阻截黑名单转(阻截恶意对象)向放行白名单(仅允许善意对象).

与此同时,增长最为快速的威胁并非电子邮件,而是访问受感染网站时自动下载恶意软件的推动式攻击.不同于电子邮件威胁,你不能通过常识和避开恶意网站的方式免遭此类风险.克鲁雷表示,Sophos如今一天会发现29000个新感染恶意软件的网页,而其中80%都并非“危险区域”.相反,他们都是一些正规合法的网站,如印度银行和迈阿密海豚队的网站等.

关于旧种类恶意软件的统计数据令人感到恐慌.巴斯特曼特称,七年前,全世界大约有10万至30万种病毒;而如今这一数目难以统计,已经达到“成千上百万的规模”.并且,这些病毒采用新的技术:90%的病毒经常变化自己的外壳,从而使特征码不会相同.

更重要的是,恶意软件作者的目的已经从业余爱好转向了成熟的犯罪和商业市场.一起攻击的背后存在的业务链可能涉及6-7种不同的角色:一人攻击网站,另一人便携攻击程序,第三个人组织僵尸网络并将其出租.而如果你可知道具体的攻击对象,可以花100美元购买1天的DDOS攻击服务;发送一千万封垃圾邮件仅需600美元;发送100万条垃圾IM消息需要150美元;购买50Mb被盗银行和信用卡帐号数据需要30美元.

如今的恶意软件已完全不同:隐蔽已经取代华丽.病毒潜在在用户系统的时间越长,它窃取金钱、银行帐号和信用卡信息的机会越多.如今的恶意软件作者希望能够达到软件效率最大化和被检测的几率最小化.Mac和Linux系统仍然面临的安全威胁相对较少,这是因为Windows仍是世界PC操作系统的主流.

威胁背后

在8月份的Defcon大会上,新西兰奥克兰大学研究人员彼得•古特曼演示了他对恶意软件商业市场的一份调查结果.古特曼推测,一名出色的病毒成员每年可以挣20万美元左右.开源安全研究人员阿兰•高科斯指出了其他一些可能性.首先,恶意软件在设计时充分利用了如今的虚拟机.去年,微软和密歇根大学的研究人员曾发表了一篇介绍此类Subvirt攻击的概念性验证论文.新加坡安全公司Coseinc研究人员Rutkowska在去年的黑帽安全大会上的一篇演讲稿,介绍了一种称之为“蓝色药丸”的更加刁钻的攻击方式——它瞄准了Windows Vista以及当前AMD和Intel处理器内建的虚拟化.

到目前为止,这些攻击都仅仅处于理论阶段.但是安全公司Webroot首席技术官杰哈德•艾斯切尔贝克称,可能到明年8月的黑帽安全大会上,将看到真是世界中出现的利用虚拟机技术的恶意软件.

与此同时,克鲁雷表示,Sophos每天发现的短期病毒数量达到了300种.客户报告新病毒如今已经远远不能赶上病毒繁殖的速度了.艾斯切尔贝克说,“相反,我们不得不在互联网上猎取恶意软件.”

新安全层

贝斯特曼特认为,反病毒软件以及相关安全套件的作用已经越来越小.Panda公司对未来的想法就是添加一个称之为“集体智慧”的新安全层.他称之为“Web 2.0版安全”:不要将每个用户的计算机隔离,而是对这样一个计算机群进行扫描.他表示,由于所有计算机实时可见,所有这种方式将允许使用更大的签名文件,并直接面向攻击进行检测.

但即便这种方式也无法维持长久.哥伦比亚大学计算机科学院教授赛尔瓦托•斯道夫认为,攻击者“占据着优势.他们拥有充裕的时间,并且拥有足够的动机和动力去使病毒免遭查杀.”

他表示,反病毒软件还是有未来的,但可能是有名无实罢了.“基础实现和策略将发生改变.”就好比银行和信用卡公司所采用的欺诈检测,“最后,系统将学习你自己的个人行为,并通过检测不正常行为实施保护.”换句话说,反病毒软件前景一片迷茫.