(这条文章已经被阅读了 152 次) 时间:2000-06-29 14:30:50 来源:柯志雄 (karate) 原创-IT
更网络 更人性
回顾过去时间中病毒的变化,让人不能不感叹一句“那过去的好时光!”在80年代的一段时间中,有些人甚至会争议电脑病毒的存在,还有人认为肯定有方法让自己的电脑可以不受病毒的影响。而今天这么想的人就算有,也少的可怜了。
病毒鸟枪换炮,过去通过小容量的磁盘传递,感染影响的扩散速度较慢,范围较窄,技术上通过常驻内存已算得上满厉害的了;现在通过互联网传递,快速地传向世界各地,而且有效地利用各种互联网技术、各种软件的插件、控件(当然还有各种软件的Bug),让受害人不自觉中把带毒的“接力棒”一棒一棒往下传。仔细一想,在国内象病毒这样做到“与世界同步”的东西委实不算多。
病毒的制造者对网络的利用上无所不用其极,而且紧跟潮流。OUTLOOK有问题,就通过OUTLOOK的“特点”按照地址簿“按图送骥”;ICQ用的人多,又有了邮件提醒功能,就利用功能上的漏洞作孽。随着病毒与木马等黑客软件相结合,病毒在网络时代打通任督二脉,功力大增。
所谓“文无第一,武无第二”,功力大增后的病毒到处寻求与人对战的机会,试图在对战中寻找最适合自己的招式。大多数病毒有个很大的难关,那就是需要让“目标客户”运行它。新病毒Life Stages的起初看上去并不会造成太大的危害;美国计算机协会国际公司(Computer Associates International Inc.)把它列为“中度威胁”。但仅过了两天,该公司将这种病毒的危险性提升为“中高度威胁”,因为它使因特网际的许多邮件服务器陷于瘫痪(又是邮件服务器)。产生这种现象的原因是社会工程学(我最早接触到这个词是因为世界上最出名的黑客麦特尼克,简要的说社会工程学就是欺瞒自己的目标对象,使他/她认为自己无害),它看上去象是朋友在通过电子邮件中跟自己开玩笑,而且它还能在每次扩散时改换主题,这种病毒的主题语不下12种。与爱虫病毒不同的是,Life Stages在附件中带有一个扩展名为SHS的Windows废文档,名为life-stages.txt.shs。在许多电子邮件程序中,扩展名SHS是隐藏的,用户看到的附件很有可能显示为life-stages.txt,很可能会误认为是一份不会有什么伤害的文本文件。
曾经感染过电脑病毒花几天时间不得不重新格式化过硬盘而且丢失所有文件的电脑用户或听闻过电脑病毒在假想中惴惴不安的电脑用户们在对抗病毒的过程中已经变得越来越聪明,因此,病毒制造者面临最大的挑战并不是如何使自己的作品更具有创造性杀伤力,而是如何使他们发布病毒变得更隐密。“爱虫”病毒是在利用病毒的社会性方面做的很成功的一个病毒,它之所以世界闻名很大的一个原因来源于此,由于它携带着友好信息而且“来自”自己所熟悉的人(因为收件人的名字是在前一个收件人的Outlook地址簿中),所以这种病毒增大了用户打开这一带有描述性语言的邮件几率。“爱虫”病毒的变形,NewLove,则更进一步,它能在每次扩散时变换电子邮件的主题句。这就大大降低了被杀毒软件或邮件过滤器捕捉的机会,而且向用户预先提
供警告也变得非常困难。因为IT管理人员无法肯定地描述用户收件箱中这些讨厌的邮件的模样。
长时间的繁忙工作,是否有时会觉得对挚爱自己的母亲太少的回报,考虑过在母亲节的时候做点表示?不急,有人已经想好了,给你一个“母亲节病毒”。
闲暇的时光如何渡过,打把电脑游戏或看部片子是不错的选择,有人发个邮件告诉你这就是你想要、找了很久没找到的游戏(南方公园病毒),还有人业已在色情网站上给你准备好很精彩的片子了(塞尔维亚坏男人特洛伊木马)。公司里总是找不到合适的员工或者你自己也经常考虑是否更换一个工作?简历病毒等在前头。新一代的病毒长江后浪推前浪,为不同特性的人度身定制了不同的病毒无时不刻地“关爱”着你。
防、杀病毒的技术可以不断升级,但你能升级人性吗?
道的尺和魔的丈
我们无法丢弃网络,我们也无法丢弃人性,由此网络时代的新病毒将终生相伴,是否无所依靠?反病毒软件公司说,有我们在,不用过于担心。是否真的可以不用担心?从现在的情形看,还是应了一句古话,“道高一尺,魔高一丈”。
前面我们说过,网络技术是网络时代新病毒的内功,而对人性的研究是它的招式来源,二者合一是它的“武功”最后表现出来的威力。看看这两方面反病毒软件公司做的如何?
笔者曾购买过两套反病毒软件,但在一次病毒发作后手足无措,慌忙之间见到其中一套软件的背面印着一个技术支持的热线电话,拨了几个长途之后终于找到一个技术人员(接线小姐说技术人员不多,都在忙),告诉他情况之后,他说那我也没办法了。电话支持不行,那就试试网络支持,另一张反病毒软件上有该公司的网址,于是登录到该公司的网站上仔细浏览查找。可惜我所看到的网站就象许许多多企业网站一样,关注的是一厢情愿的自我宣传。要想在这样的网站上得到网络技术支持,还不如到一些防病毒的个人网站或人流较大的论坛去,在那里查些解决方案或贴个呼救的帖子,响应会更多一些。
网络公司热火起来以后,一些反病毒软件公司都声称自己准备转向ASP。“我爱你”病毒出来以后,在线扫毒多了许多。这些都是好事,但不少反病毒软件公司在网络化的道路上可能还有一长段路要走。不信你看看前段时间一家公司的新闻,该公司声称自己成立了24小时不间断的在线技术支持中心,但24小时病毒技术支持的热线及公布电子邮件地址是否能称得上是24小时的在线支持呢?曾见过一个防病毒个人网站,网站上有许多不同病毒的解救案例,首页上放了站长ICQ及OICQ的号码,站长说有紧急的情况可以呼他,这个个人网站站长的网络支持意识强过一些反病毒软件公司。
来自反病毒软件公司的反对意见认为,大多数电脑病毒受害者中招的原因是防范意识不强,使用电脑的习惯也不好,平时不记得应该常升级自己的病毒软件。这或许也有道理,但“好了伤疤忘了疼”是人性,现代社会工作节奏很快,容易忘却一些事情是现状,病毒制造者对此很了解,但反病毒软件公司呢?ISP或ICP与反病毒软件公司签了合作协议以后对这样的情况会有所改善,反病毒软件公司从做小客户变到做大客户,销售上的操心程度可以降低,更多的心思可以放在技术上;而对于用户来说,上一个网站就可以看到在线扫毒的提醒,对最新病毒的预防也更容易实现,不过对病毒的防范仍然是个难题。
如同病毒制造者面临最大的挑战不是如何使自己的作品更具有创造性杀伤力,而是如何使他们发布病毒变得更隐密一样,反病毒软件公司面临的一个大的挑战也不仅仅是如何使自己的产品在对付病毒上更高明,还有如何吸引提醒更多的人使用。过去反病毒软件公司可以用商业的原由来解释自己无法在这上面做的更多(盗版太多),但与ISP、ICP合作之后,这仍旧是个大问题。君不见在病毒制造者用不同的方式“勾引”电脑用户使用时,反病毒软件厂商大多只是通过描述病毒的可怕来提醒用户。方式的不同最终会造成结果的不同。反病毒软件公司是否能再多一些方式!一块草地上插不同的两块木牌,一块标着“严禁践踏,违者罚款”,另一块写着“脚下留情,地上留青”,结果会有很大不同。反病毒同样如此。
横看成岭侧成山
至今为止对病毒与反病毒大多数的研究是在技术层面,但这可能是不够的,运作机制或许也值得研究。
计算机病毒的来源多种多样,从产生的原因来看,部分是蓄意破坏,但有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的,有的则是软件公司为保护自己的产品不被非法拷贝而制造的报复性惩罚,因为他们发现病毒比加密对付非法拷贝更有效且更有威胁,这种情况助长了病毒的传播。从运作机制上做些研究或许也有一定的必要。
比如目前“流行”的几个病毒大多是个人玩家业余爱好性质的,拿它跟反病毒的做一些比较,我们很容易发现:前者的操作主体是个人,制作的原因和动力是非商业的—钻研最新的电脑技术,挑战自己的技术极限,体会成就感,有时通过公开源代码的方式相互支援,推广的方式是“借鸡生蛋”(比如依附于一些不知情的网站或通过邮件);反病毒的操作主体是商业公司,通常相互间不协作,通过销售更多的拷贝版本让更多的人使用。我们无法据此判断目前的反病毒的机制一定存在什么问题,但在某些方面做些改善会对目前的病毒肆虐的现状会有些改观,比如:提供更多合法的机会使电脑爱好者体验对自己技术水平的突破与成就感,尝试一些非商业的反病毒方式—这一方面香港特别行政区政府做了一些尝试,香港资讯科技署署长刘锦洪5月11日在香港城市大学的互联网安全及PKI应用中心开幕礼上表示,为使社会各界加强对电脑病毒的认识,资讯科技署特意收集有关电脑病毒的最新资料及一些预防电脑病毒的试用软件,并把它们登载在资讯科技署的网页上供市民参考和免费下载。
即便以商业方式运作,模式上也有可改善的地方。从向终端用户出售拷贝版本到转向ASP或与ICP、ISP合作在线杀毒是一大改进,但具体如何来转向,反病毒软件公司如何来实现这些转变以实现商业上和社会效果上的双丰收需要有一个平衡点。今天反病毒软件公司与个人反病毒网站似乎存在一种敌对的关系,反病毒软件公司拼命地防止他人“未经许可”的使用,而个人反病毒网站则想尽办法为网络用户弄到这些软件(当然是在网络用户不需为此付费的前提下),两者之间是否一定是水火不相容?鉴于个人网站也有商业价值,反病毒软件公司是否能找到某种方式既能推广自己的产品和服务,又不损失很多经济利益?
网络时代向我们款款走来,网络时代的新病毒也向我们款款走来。快速发展的互联网把一枚硬币更频繁地抛向空中,这枚硬币一面刻着“安全”两个字,另一面刻的是“病毒”,掉在你的桌面上时出现的会是哪一面?
网络时代的病毒与反病毒 - 金错刀 - 2000-06-29 16:47:40
嘿嘿,我爱病毒! 柯兄,刚搬家,现在用不了ICQ,NMD只能用OICQ,你有否OICQ?我的是:2388078