[計世網 消息]2008年9月24日����。新世紀飯店的一間小會議室里�,坐著兩位院士,幾位司局級信息安全專家����,還有國家863計劃的某個課題組長���,還有幾位機要部委負責信息安全的處長們����。
兩臺不同電腦開始演示����。一個技術人員從網上找到一個木馬����,下載之后,控制了另一臺電腦���。屏幕上清楚地顯示,一臺電腦被完全監控��。隨后����,監控程序甚至打開了另一臺電腦上的攝像頭。更驚人的是��,像這樣的程序�����,可以同時監控多臺電腦�����,如同我們在電視上看到的路況監控臺。
而這臺被控制的電腦里已裝上的殺毒軟件居然毫無察覺�����。
這樣的事情很多���。一位電子政務的處長說���,“信息安全問題嚴重性越來越大����,發現的問題都不是小事”�。他說的不是個人用戶,而是,政府部門信息系統���。
這是在,國家863計劃“基于程序行為自主分析判斷的實時防護技術”課題組召開的“病毒防范現狀與國際病毒防御技術最新發展趨勢”高端研討會上的一幕。
百萬“肉雞”
上網搜一下���,你就可以看到各種“黑客”報價,諸如�,一萬只“肉雞”叫賣1000元——大約每只“肉雞”0.1元���。所謂“肉雞”��,簡單解釋是指在互聯網上被黑客遠程控制的電腦。被遠程控制有的有如上面所描述的被完全監控���,打開攝像頭。而更多的是�,長期潛伏�。監控用戶動作竊取一切有價值的東西��,諸如密碼�,虛擬財產�,個人隱私等等。甚至�,還有一些是被控制的計算機屬于僵尸網絡�����,通過攻擊網絡進行敲詐�����。
例如��,媒體報道�����,有人利用木馬病毒偷拍下夫妻生活,敲詐5000元。再例如��,媒體報道��,有人在網上花70元購買的病毒���,2小時內竊取到3萬元���。
“現在互聯網上�����,被秘密控制的電腦已經達到數百萬臺”,國家863計劃“基于程序行為自主分析判斷的實時防護技術”課題組組長、著名反病毒專家劉旭對記者表示��,病毒的趨利性正在變得日益明顯�。劉旭分析,“肉雞之所以賣得這么便宜,正是因為數量巨大”。
例如���,有人在網上花70元購買的病毒,2小時內竊取到3萬元。
國家計算機網絡應急技術處理協調中心統計顯示���,2007年監測到中國內地有90萬個IP地址主機被植入木馬,比2006年增加21倍。另外,2007年的抽樣監測發現,內地有360萬個IP地址主機被植入了僵尸程序,2007年各種僵尸網絡被用來發動拒絕服務攻擊一萬多次,發送垃圾郵件110多次,實施信息竊取操作3900多次。調查發現����,黑客如果利用僵尸網絡對某一個特定的目標實施拒絕服務攻擊的話����,破壞力將會更強���,互聯網數據中心IDC機房很容易遭遇類似的攻擊�。目前��,我國監測到最大規模的僵尸網絡達到了129萬個僵尸節點��。
在中國互聯網上,有數百萬���。
專家說,“這個數據還是保守估計”�����。
病毒“行銷增值一條龍” 
現在�����,這種獲利性病毒已經形成了一條完整的產業鏈���,有專門從事生產的病毒制造者��,他們只管生產病毒,有下家接手��。
有控制大量“肉雞”兜售“市場”的專業“分銷商”�����。他們不從事具體破化和竊取��,只是販賣“渠道”,販賣大量“肉雞”給那些需要作惡的人����,這算是“批發業務”�。
有專門從事最終渠道的兜售者���,他們像零售商一樣���。
有花錢買來作惡的病毒最終“消費者”�����,他們利用買來的病毒進行破壞��,竊取,敲詐��,攻擊���。
更離譜的是��,還有專業的病毒制作“培訓”��。這一切都是公然在互聯網上進行,網民可以以很低的成本獲取��。
這種病毒趨利化的趨勢�,不僅危及到了個人用戶的利益,更對國家信息安全和信息化造成了威脅���。與會的電子政務專家陳拂曉指出,一年多以來�,我國政府遇到的泄密事件里面�,有相當多是由于木馬盜竊泄露出去的���。陳拂曉表示����,出于對泄密的擔憂���,一些新的應用開發不得不被停止����,“這產生的結果,就是嚴重影響了國家的信息化�。”
殺毒軟件“死了” 
“基于原來原理的殺毒軟件每天都要升級特征碼���,這個受不了�����,F在是不升級,而是升級了實際上也沒有多少用”。來自中辦秘書局一位負責信息系統的處長說��。
“作為我們來講��,受病毒侵害很深��。我們覺得互聯網的問題嚴重性越來越大,發現的問題都不是小事”。國務院辦公廳電子政務辦公室的劉慈副處長也深有感受����。
同樣憂心忡忡的還有財政部信息網絡中心運營維護處的趙曉光處長����,以及國家保密局攻防實驗室的相關負責人����。本報記者在“病毒防范現狀與國際病毒防御技術最新發展趨勢”高端研討會上看到,這樣的擔憂已經很普遍,基本達成共識����。
他們��,都是信息安全技術的“關鍵”用戶���。
“反病毒軟件非常容易被攻破”�,得出這一結論是來自美國SonomaState大學的教授GeorgeLedin,他帶領自己的學生們模擬“黑客”進攻��,這一切都是在學校內部的封閉網絡進行的�,以防止危害互聯網���,實驗結果是��,絕大多數殺毒軟件本身是沒有什么用。
根據瑞星公司今年發布的研究報告,黑客利用加殼等手段產業化��、自動化生產病毒成為趨勢�����,使得病毒數量暴增���,一個熟練的病毒工程師每天可以分析40到50個樣本����,但目前每天出現在網上的病毒樣本平均是3000到4000個�����。這樣的生產速度���,幾乎已經達到了廠商捕獲和分析能力的極限��。
今年年初,國內三大殺毒軟件廠商——江民、金山、瑞星都先后推出2007年年度安全報告���,都提出���,傳統殺毒軟件技術難以防范新病毒����。而在賽門鐵克的用戶大會上,專家也認為���,“殺毒軟件將死”。
“現有的殺毒技術非常脆弱���。”劉旭說,“現在用戶的計算機已經很少沒有安裝殺毒軟件�����,但是超過千萬臺的計算機被黑客控制�,而這些‘肉雞’和‘僵尸’上安裝的殺毒軟件卻對病毒視而不見。”
“所有的殺毒軟件都是跟著病毒跑����,滯后于病毒�����。”在中國工程院院士倪光南看來,反病毒產業發展到當前�����,“跟著病毒跑的話��,特征庫也會越來越大�����,將來掃描起來可能需要很長時間�,所以我覺得需要創新。”
主動防御真假論 
隨著“殺毒軟件將死”的論斷被普遍認可�����,全球信息安全廠商也紛紛開始“主動防御”的探索��,但迄今為止�,國際上沒有純粹的主動防御產品�����,很多殺毒軟件里的“主動防御”功能頻繁誤報使得用戶反饋不好�,甚至對主動防御產生誤解。這讓殺毒軟件廠商只能把“主動防御”作為缺省“不使用”���。
“目前國內外殺毒軟件提供的所謂主動防御功能,實際上還只是處于主動防御的初級階段”����,劉旭在研討會上分析�,“舉一個很常見的例子�,在使用某款號稱具有智能主動防御功能的產品時,經常會遇到‘有程序正在向您的計算機設置全局掛鉤�����,是否允許’之類的提示���。什么叫全局掛鉤�����?一般用戶可能不理解��,也就無從選擇��。用戶使用殺毒軟件���,就是將殺毒防毒的工作交給軟件����,現在反而要自己進行判斷���,這是不合理��,更是不負責任的�����,F在的殺毒軟件越來越像‘高手’專用的,表面上是易用性不足,實際上是這些產品還沒有真正成熟的主動防御技術���。”
主動防御技術是依據程序行為,自主識別和判斷程序是否是病毒的一項反病毒新技術�。它通過對病毒行為規律分析�、歸納�����、總結���,并結合反病毒專家判定病毒的經驗���,提煉出病毒識別規則知識庫����;模擬專家發現新病毒的機理,通過分布在用戶計算機系統上的各種探針����,動態監視程序運行的動作�����,并將程序的一系列動作通過邏輯關系分析組成有意義的行為��,再結合應用病毒識別規則知識,實現對病毒的自動識別��。劉旭認為��,主動防御技術是解決目前病毒危害比較理想的反病毒技術��。
根據微點公司對近百萬種病毒的測試表明,微點主動防御軟件能夠有效防范99%以上的未知病毒。
“我們組織了專家對微點軟件進行檢測�,檢測后我們認為技術層面上是很好的�,是個很了不起的成果” 中國工程院院士周仲義對微點主動防御技術給予高度評價�。“國家863每個課題都有七到八個,從反病毒角度來說���,我們布置的不多�����,所以你們拿到863課題,說明專家對微點的技術方案、技術思路,是認可的�。”國家863計劃信息安全技術主題專家組組長����、首席專家馮登國教授說��,“863計劃十一五要總結出很多亮點���,希望這個能夠作為一個亮點被總結����。”
肩負財政部信息安全重責的趙處長說���,“覺得有了新的希望”�����。
研討會現場圖(全景)
