卡巴斯基實驗室首席分析師 Eugene Kaspersky 尤金‧卡巴斯基
原文網址 : http://www.viruslist.com/en/analysis?pubid=174405517 現今的網路上充斥著犯罪的活動。一般的家庭使用者以及中小企業、跨國企業與政府單位都深深的被這些含有病毒與木馬的有害內容困擾著。為何網路會有這樣的症狀已經被廣泛的討論,並且勢必將持續的被討論下去。但是當我說網路上充滿了犯罪時我所指的是什麼?說到底,開發與散佈這些惡意程式已經被作為有心人士獲取金錢的方法,例如:
- 竊取個人以及企業的銀行帳號資料
- 竊取信用卡卡號
- 進行 DDoS ( 散佈式阻絕服務攻擊 ) , 並進行勒索必須付費才停止攻擊
- 建立木馬代理伺服器網路。這些能夠被用來發送垃圾郵件來獲取利益
- 建立殭屍網路,被用來做多方面的滲透破壞
- 開發可自動下載並安裝廣告軟體到受感染的設備中
- 安裝木馬撥號軟體重複的撥打付費電話
- 等等 ...
我們很難去描述犯罪活動確實的擴散範圍。我想應該沒有一千也有一百個以上的駭客組織以及個人駭客在從事這類的地下活動。根據各國刑事單位調查結果 ─ 至少已經有上千個駭客加入了這些犯罪組織。在過去的幾年中已經有不少的駭客以及駭客組織遭到了逮捕,然而,看來這並未改善病毒與木馬的活動。
另外一個看法是去評估地下電腦犯罪組織不當獲利的金額。根據統計 2004 年到 2005 年目前利用竊取或者恐嚇詐欺取得的金額已經高達好幾億美元。由於仍有大量的電腦犯罪組織尚未被逮捕監禁,我們能夠猜測每年不當獲利的金額將有上億美元的可能
這些病毒作者、駭客以及垃圾信發信者對於世界經濟造成的損害已經突破每年幾十億美元。這個數值將會持續擴大,根據研究,2004 年因為電腦犯罪的損失達 180 億美元,並且預估每年將 30 ~ 40 % 的比例擴大 。
現在讓我們看看哪些成員與虛擬電腦世界的犯罪活動有關:
- 病毒作者以及駭客為了某些理由開發以及散佈病毒和木馬
- 一般使用者的電腦及網路遭到駭客的攻擊並遭到入侵感染作為攻擊他人的平台
- 警察和刑事單位從事虛擬犯罪的調查與逮捕行動
- 防毒軟體公司開發軟體對抗虛擬世界的威脅
已經有為數不少關於病毒、駭客和對抗它們的故事,好萊烏也拍過不少這類的電影。防毒軟體公司的開發人員也透過網站發表這類的消息。然而,似乎很少看到防毒工業所面對的問題。因此我們將來談談這個主題。
簡短的防毒工業導覽
首先,讓我們看看哪些廠商開發標準的電腦病毒對抗發案。 ( 我們將會文章的後段針對這些方案以及工具來討論 )所謂的標準對抗方案是指保護電腦、伺服器、郵件伺服器和企業網路的防毒方案。
目前為止這個標準解決方案的市場在 2003 年為 27 億美元 2004 年為 33 億美元,預估在 2005 年可達 38 億美元 ( 資訊來源 2005 IDC ) 所有的防毒廠商可依照市場活動區分為三大組;第一階廠商、第二階廠商與其它並未沒有在市場有顯著的活動或者僅有在某些特定領域中活動的防毒軟體公司
目前第一階廠商包含 賽門鐵克、McAfee (NAI) 和趨勢科技 - 這些在市場上有較明顯活動的廠商:
公司 | 年營業額r, $百萬 |
2003 | 2004 |
Symantec | 1098 | 1364 |
McAfee (NAI) | 577 | 597 |
Trend Micro | 382 | 508 |
這三個公司為目前佔有大多數市場的廠商,除了少數的例外 ( 例如, 趨勢科技支配了日本的市場) 賽門鐵克和 NAI (McAfee) 則針對北美。趨勢科技原本為台灣的公司並在日本上市。目前總部設在美國。
第二階的公司包含其年營業額明顯低於第一階的這三家公司。然而其年營業額仍有千萬美元以上:
公司 | 年營業額r, $百萬 |
2003 | 2004 |
Sophos (UK) | 97 | 116 |
Panda Software (Spain) * | 65 | 104 |
Computer Associates (USA) | 61 | 74 |
F-Secure (Finland) | 36 | 51 |
Norman (Norway) | 23 | 31 |
AhnLab (S.Korea) | 21 | 28 |
*Panda Software 是一個私人企業。財務資料並未受到確認 |
總部設於俄羅斯的卡巴斯基實驗室也屬於這個群組。然而卡巴斯基不願意公布其財務資料。
這些主要第二階的公司有個顯著的特點就是在其各自的國內有著明顯的市場佔有率,但是其他海外的市場的市佔率則並不是太大。例如 Sophos 在英國是相當成功的,Panda 在西班牙,F-Secure 在芬蘭等。
第三階的防毒廠商有數十家。其中一些較為知名的有 :
- Alwil - Awast (the Czech Republic)
- Arcabit - MKS (Poland)
- Doctor Web - DrWeb (Russia)
- ESET - NOD32 (Slovakia)
- Frisk Software - F-Prot (Iceland)
- GriSoft - AVG (the Czech Republic)
- H+BEDV - AntiVir (Germany)
- Hauri - VI Robot (South Korea)
- SoftWin - BitDefender (Romania)
- VirusBuster - VirusBuster (Hungary)
第三皆包含 UNA 和 Stop! ( 烏克蘭 ), Rising 和 KingSoft ( 中國 ) 和其他。
這些的公司在第三階公司大多數不願意公布其財務資訊。然而其中某些公司的年營業額也已經達到一千萬美元。
這些資料大約的讓大家認識目前的防毒軟體公司的市場,然而有些公司僅提供的產品授權的部份並未被計算進來。例如一個德國的公司 G-Data ,其內建使用卡巴斯基實驗室與 SoftWin 防毒引擎技術,以及微軟,提供由 Sybari 所開發的多引擎產品。
另外也有一些非標準解決方案的防毒,一些特別的產品。包含僅針對企業郵件進行預防中毒保護 ( 禁止使用者執行可執行檔案或者未授權 HTML 郵件 ),系統啟動保護,更新管理軟體。然而,這些都不能算是完整的防毒產品。
防毒產業目前所面對的問題
現在防毒產業所面對的問題,除了花費相當多的心思生產開發消費市場性質的產品。我們都知道病毒是存在的,且防毒解決方案也是存在的。這使得這些防毒方案似乎是一種消費性市場的產品 - 每項產品之間僅有些許的不同。使用者在選擇消費性產品的時候會根據其設計、或者其品牌、或者其他非技術性的原因。如果是這樣的話,一個防毒方案的選擇變成只是一種消費性市場的產品,就像洗衣粉、牙膏或者汽車一樣。
不幸的是 ( 或者可以說幸運的是 ) 這並不是這樣的。使用者通常根據技術觀點選擇防毒方案,這些產品之間將會有很大的不同。使用者會針對其防毒方案是否能夠對抗某些特別的攻擊來評斷這個產品的能力。
其實一個防毒方案應該能夠保護對抗所有的惡意程式。一個越好的防毒方案將會使得其使用者以及系統管理者越愉快。任何不了解這個理論的人將會很快的面對其帶來的後果。採用一個不良的防毒方案,便會有可能遭到有心人士竊取其帳號或者財物,電腦將可能自動撥打付費電話,使用者將會發現越來越多奇怪的對外連線。也因為這樣,使用者應該根據防毒方案所能提供的保護來作選擇。
舉例來說,一個 X 防毒軟體對所有病毒的偵測能力是 50%,Y 能夠偵測 90% 而產品 Z 能夠偵測 99.9%。假設電腦被攻擊 10 次,產品 X 絕對可能發現漏掉一個惡意程式;產品 Y 則很可能漏掉某個惡意的手法;產品 Z 在這樣的情形下則幾乎不可能發生攔截失敗的狀況。
不幸的是,在店面能買的防毒產品很少提供這樣接近 100% 的保護。甚至大部分也無法保證提供 90% 以上的防護,這就是目前防毒產業所面對的問題。
Problem #1
每年有越來越多的惡意程式。這造成防毒公司不能很輕易的對付這種爆炸性的病毒戰爭。使用者所能選擇的產品廠商也不能保護所有的惡意程式。不幸的是,大多數的使用者被很多市場上的防毒方案產品宣稱能夠做到保護所有的威脅。
順帶一提,五到十年前,我們可以很誠實的說防毒方案不需要保護系統對抗新的病毒和木馬。整體來說,一個新的惡意程式將不會直接植入使用者的電腦中。這些病毒僅止於某些想要展現其編碼技術的怪人或者滿足其好奇心。使用者只需對抗少數的電腦病毒便足以保護其系統。事實上,在五到十年前,老實說防毒軟體並不需要防護每一個新的病毒和木馬。此時的新病毒並不會自動的植入使用者電腦中。這些病毒都是由一些電腦怪客所撰寫的,僅是為了展現他們的技術或者滿足其好奇心。使用者只需防護那些真正已經感染電腦並且正在流傳中的病毒。然而,現在已經不是再像以往那樣。超過 75% 的惡意程式是地下犯罪組織所製造,且爭搶著網路上每一部可能被感染的電腦,每天都會有幾百個像這樣的病毒被製造出 - 卡巴斯基實驗室現在每天都能夠收到兩百到三百個新的病毒樣本。
這些樣本來自於幾個地方 - 誘捕站 ( 在網路上專門蒐集這些病毒的機器 ); 已經被感染的機器; 公司的網管人員 ; ISP ; 和其他的防毒軟體公司,也許這個聽起來覺得很怪。除了行銷面之外,防毒軟體公司確實是會互相合作的。如果一個新的蠕蟲被一家防毒軟體公司偵測到,這些病毒分析師幾乎將會很迅速的告訴其他競爭對手,並且互相交流這些蠕蟲或者病毒的樣本。市場上這些主要的防毒軟體公司至少每月會交流一次病毒的樣本,並且會在一些專業人士的私下集會中互相交換訊息。在這些專業的高峰會中,防毒軟體公司的確會互相分享這些資訊,除了一些會破壞這種業界默契的公司之外。
讓我們這些假設,一個新的病毒或者木馬被偵測到之後,這代表什麼意義?這表示已經有許多的電腦已經被感染或者植入。並且按照其在網路上能夠多快的進行擴散,一些"怪物級"的蠕蟲可能在此時已經造成上百萬的設備遭到感染,而在此時,防毒軟體公司必須在最短的時間內釋出並更新其防毒資料庫,並且還能夠防護其不再入侵其他還未受感染的電腦。這也使得我們將面對到防毒產業的第二個問題。
Problem #2
時至今日,惡意程式感染的速度非常的快速使得防毒軟體公司也必須很快的釋出對應的更新以減少使用者遭受感染的危險。不幸的是,許多防毒軟體公司無法達到這樣的目標 - 使用者通常都是載其已經被感染之後才收到對應的更新。
讓我們假設病毒已經直入受害的設備中,而安裝在這個受害的設備上的防毒方案卻無法偵測任何可疑的行為 ( 可能的原因有可能是防毒方案本身品質的問題,或者使用者不小心而未將防毒資料庫即時更新至最新 ) 很快的,偵測此病毒的更新被釋出S - 這表示病毒已經能夠被偵測,但是不一定能夠解除。想要完全擺脫這個病毒,所有被感染的檔案必須能夠很小心的由此受感染的設備中移除。"很小心的" 在這裡是一個關鍵字,這將使得我們必須面對下面這個防毒軟體公司必須面對的問題。
Problem #3
第三個防毒產業所面對的問題是由受感染的設備中刪除惡意程式。通常病毒或者木馬會將其隱藏在系統中或者直接感染系統檔案使得刪除的工作變得非常複雜。不幸的是,有些防毒軟體無法直接刪除和恢復由病毒造成的變動而必須藉助其它的程式或步驟幫忙。
另外一個額外的問題是我有軟體都會使用系統資源,防毒軟體也不例外。為了保護電腦,防毒軟體必須對應執行於這些動作 - 開啟檔案、讀取其中資訊,解開封裝並掃描等等。這個檔案需要越多的動作來進行檢查,防毒軟體就需要越多的系統資源。照這樣看來,防毒軟體就像是一個安全檢查門 - 檢查越仔細,提供的保護也越多;然而這個門越重也越難開啟或關閉。這個問題就是如何去取得安全層級與效能的平衡點。
Problem #4
不幸的是,關於佔用系統資源的問題幾乎是難以解決的。我們的經驗顯示如果防毒軟體提供很快速的掃描通常都有許多的缺陷,將會使得病毒和木馬躲過這些檢查就像水穿過篩子一樣。然而反過來做也不一定正確;掃描的很慢也不一定能夠提供相對應的保護能力。
為了能夠順利的掃瞄檔案並提供電腦中不間斷的保護,防毒軟體必須與系統的核心做很深入的結合。就技術來說,依個防毒軟體安裝了系統深處的事件中斷點並且傳遞結果到防毒引擎上來中斷這些檔案存取、網路封包或其他可能造成危險的物件來進行掃描。
然而,有些時候是無法很輕易的安裝兩個中斷器在作業系統的核心中。這也造成防毒軟體之間的不相容,使得第二組防毒軟體將無法中斷系統的事件,或者試圖重複中斷運算將造成系統的損毀。這也造成另外一個防毒產業所面對的核心問題。
Problem #5
因為防毒軟體之間的不相容; 在絕大多數的例子中,安裝兩個不同防毒公司的防毒軟體在同一部設備上以增加保護層級是一個由技術上就不可能的事情,且兩個程式將會互相干擾對方的功能。
人們常會比喻防毒公司就像小孩一樣互相在爭奪對方的玩具,這個不相容的因素也導致了不公平的競爭,特別是一些擠壓對手廠商生存空間的策略。但是這也說也不完全正確,不公平或者不道德的競爭是沒有問題的。相反的,程式開發人員都極力的想讓其產品不會與其他產品互相排斥,包含防毒軟體。
以上,我已經總結了今日防毒產業所面對的問題。所以防毒產業將要怎麼面對這些議題?防毒公司將在未來提供什麼樣的保護?
新技術 vs. 傳統技術
自然的,大家都希望有一個防毒軟體是可以永久解決病毒問題的,不幸的是,目前還沒有一套"永久"有效的方法來對況這些不知道何時會有新手法的病毒。電腦病毒並不是自然演化的,而是人所撰寫出來的,所以是沒有規則和邏輯可循的,只能猜這些病毒作者會想要做什麼。所以當一個是以病毒碼比對為主的防毒軟體與以行為邏輯猜測防禦為主的防毒軟體來比較。這在掃描病毒時就會有不同的結果。一個防毒病毒碼是一個很小的程式片斷來進行檔案的比對。一個行為邏輯猜測判斷的則是去追蹤這個檔案啟動以後的狀況,並且將這個可疑的程式或者是已知的病毒進行攔截。兩者都同樣有各自的優缺點。利用防毒特徵碼進行掃描的好處就是掃描的結果是穩定肯定的,而壞處就是如果沒有這樣的特徵碼,則無法偵測病毒。而另外一個問題就是越大的病毒資料庫就會需要越大的資源來比對。行為模式邏輯的判斷提供的好處就是能夠偵測未知的惡意程式。而壞處就是可能帶來的誤判;將目前所有的病毒與木馬作為規則的分類並且最多也只能告訴你這"有可能"是病毒 。這也表示行為邏輯的判斷方式也無法偵測所有的惡意程式,並且可能造成正常的程式無法執行。且行為模式邏輯判對的方法也有另外一個跟隨而來的缺點就是無法偵測全新手法的病毒。比如防毒軟體 AVXXXX 已經開發出一套行為模式邏輯判斷可以 100% 偵測目前所有的惡意程式。所以你們覺得駭客會怎麼作?當然他們會發明一個全新手法的病毒。並且當然這個防毒軟體必須更新其行為模式邏輯的規則。且當然駭客一定又再更新其手法,而這個防毒軟體也同樣必須也再更新一次其規則,就這樣一直循環下去。因此這個防毒軟體變成也同樣在更新其特徵碼,但其中更新的是行為邏輯的規則,而不是程式碼的片段。
這個結論將可以套用的自我啟發式分析法。一旦駭客們知道這個防毒的技術能夠防禦其開發的病毒,他們便會發明新的病毒技術來規避這種啟發式分析法 。也就是會變成"全新開發"一個預防機制只能帶來很短時間的保障。一個沒有經驗的駭客可能需要數週到數個月的時間來發現怎麼閃避這種預防偵測,而一個專業級的駭客則只需要一到兩天,甚至更糟糕的只需要幾個小時就能破解這種機制。這也將意味不論事行為模式邏輯判斷還是啟發式判斷都還是需要進行更新的。而也代表以加入更新新病毒特徵碼 僅需數分鐘便可完成,而開發行為模式邏輯或者啟發式偵測則需要較長的時間。這也是目前為什麼更新病毒資料庫的作法遠比開發預防技術來的叫好的原因 。這樣的方式才是最保險的在很短的時間內將新病毒新蠕蟲或者新的惡意程式碼所在成的疫情控制住。當然這並不表示預防的技術是完全沒有用的,這樣的技術在某個範圍內可以大多數的病毒了(那些沒什麼經驗的駭客或者病毒撰寫者) 所以說,這種預防的技術可以與病毒特徵碼搭配,但是並不應該完全依賴這樣的方法來作為全盤的保護方式
比對測試和其缺點
這部份的文章將討論使用者在選擇產品時的問題。這將影響當使用者選擇一個真正能夠保護惡意程式的防毒方案。哪些的資訊可以協助使用者做這樣的決定呢?
最符合邏輯的方式就是參考一些來自於不同機構的測試報告,當然也包含專業的測試機構。這樣的機構是否存在?是的,的確有這樣的機構存在,但是並不多。多數的 IT 媒體會發表一些依據某些常見的基準進行比對測試。這些測試比對了產品的所有屬性包含由價格到技術支援的品質。但是這些測試通常並未真正的進行防毒品質的測試。這是可以理解的,因為進行這樣的測試必須蒐集大量的病毒樣本、一個測試站和一個測試這些防毒軟體的自動測試程序。這也表示專職的防毒方案測試機構將會有這些測試的資源是這些 IT 媒體所沒有的。IT 媒體的比對測試因此將會依照其編輯者的自我意識或者其能夠達到的能力來挑選測試的產品。
目前最有經驗的防毒產品測試機構是 Andreas Marx ( 德國 http://www.av-test.org) 和 Andreas Clementi (奧地利 http://www.av-comparatives.org).這些測試詳細的描述不同種類惡意程式的產品偵測品質與防毒公司面對病毒爆發時的反應速度。這些詳細的測試因此也能夠精準的反應這些防毒產品的特性。遺憾的是,這些測試只能試驗上述的兩種特性;卻無法反映防毒產品在真實狀態下的特質,例如對中毒的系統進行解毒,或者對於受感染的網站的回應,系統資源的使用,能夠檢查多少的封裝和安裝程式檔案。
遺憾的是,這樣深入的測試能夠確實反映防毒產品狀態是幾乎不存在的。除了我們所知的莫斯科州立大學,利用了許多模擬狀態進行大範圍的測試。然而這樣的測試方式仍在進行中,且這個大學的測試實驗室也還不為大眾所認識。
另外一個相當值得一提的是 VirusBulletin ( 一個產業中的媒體 ) 所進行的測試 - 我很確定如果我不提到他們,讀者將會問到為什麼沒提到此測試和其頒發的 VB100% 的獎項。遺憾的是,這個測試並不完美。這個測試標準訂立於 1990 年中並且這幾年並未有重大的變化。其測試將會以所蒐集到目前流通中的病毒來對防毒產品進行測試並對其測試結果頒發獎項。然而,其所蒐集到的樣本數僅有兩到三千個病毒檔案 - 僅是目前一個月中病毒數量的少部份。因此一個 VB100% 獎項並不真正表示防毒產品可以提供對於所有惡意程式的保護。僅表示這個產品所涵蓋的保護範圍包含 VirusBulletin 所蒐集到的病毒樣本,僅此而已。
總結
我希望大家在看完這篇文章之後能夠對於目前防毒產業所面對的問題能有更多的了解,這將能夠幫助您選擇您電腦或者網路中最合適的防毒方案。我總覺得連接在網路上的電腦就像性一樣 - 它能夠很安全,也能夠很不安全。總之,多些資訊蒐集是生存的關鍵,能夠保護您遠離不愉快的後果。祝上網愉快 !
資料來源
Kaspersky Lab 卡巴斯基實驗室