安全軟件就是用來(lái)防護(hù)用戶免受惡意軟件和其他在線威脅的侵害的。大多數(shù)普通用戶總覺得如果電腦上不裝上一套,就跟裸奔一樣心驚膽顫。因此,防病毒軟件幾乎人手一份。
道理是這個(gè)道理,但很可惜,大多數(shù)防病毒工具的實(shí)際表現(xiàn)是令人失望的。安全軟件也是軟件,所有計(jì)算機(jī)程序都無(wú)法避免漏洞或者其他缺陷,達(dá)不到其宣稱的功能簡(jiǎn)直太正常不過(guò),防病毒(AV)軟件也不例外。
安全牛之前曾有過(guò)多次“安全產(chǎn)品不安全”的報(bào)道,幾乎所有你能叫得出名字的大型AV廠商的產(chǎn)品都出過(guò)這樣或那樣的問(wèn)題。甚至有人專門從事AV產(chǎn)品的漏洞挖掘研究,比如谷歌“零計(jì)劃”(Project Zero)研究員塔維斯·奧曼迪。
他在職業(yè)生涯中披露了數(shù)十幾此類問(wèn)題。僅在今年2月,他就分別在Avast的SafeZone和Malwarebytes產(chǎn)品中發(fā)現(xiàn)了問(wèn)題。前者是一個(gè)密碼相關(guān)的漏洞,后者的中間人攻擊漏洞也沒逃過(guò)他的法眼。更甚者,他在最近發(fā)現(xiàn)Comodo遠(yuǎn)程桌面工具GeekBuddy竟然可以無(wú)需身份驗(yàn)證就能擁有完全管理權(quán)限。說(shuō)直白點(diǎn),就是任何人都能以“IP:端口”這樣的簡(jiǎn)單形式連接用戶的計(jì)算機(jī)。
實(shí)際上,AV產(chǎn)品或解決方案中的安全問(wèn)題已經(jīng)是整個(gè)防病毒行業(yè)的共性問(wèn)題,但絲毫未妨礙通過(guò)一些權(quán)威的AV認(rèn)證。
就拿Comodo來(lái)說(shuō)吧,該公司的產(chǎn)品在被威瑞森認(rèn)定為“信息安全測(cè)試中表現(xiàn)杰出”的時(shí)候,此產(chǎn)品經(jīng)歷著數(shù)百起關(guān)鍵內(nèi)存崩潰的問(wèn)題投訴。更不可理喻的是,Comodo的默認(rèn)安裝留下一個(gè)弱身份驗(yàn)證的虛擬網(wǎng)絡(luò)計(jì)算(VNC)服務(wù)器,默認(rèn)安裝的瀏覽器禁用同源策略,掃描過(guò)程沒開啟隨機(jī)地址空間布局(ASLR),而且其產(chǎn)品全部使用的是訪問(wèn)控制列表(ACLs)。
如此漏洞百出的AV解決方案,怎么還能“表現(xiàn)杰出”?是不是鑒定認(rèn)證方法或標(biāo)準(zhǔn)出了問(wèn)題?
威瑞森的鑒定方法,部分是建立在一套陳舊的諸如“帶有啟動(dòng)和禁用惡意軟件檢測(cè)的管理功能”、“在按需測(cè)試中表現(xiàn)出惡意軟件檢測(cè)能力”等標(biāo)準(zhǔn)基礎(chǔ)之上的。但這種測(cè)試標(biāo)準(zhǔn)有意義嗎?
依據(jù)這套標(biāo)準(zhǔn),防病毒廠商稍做努力幾乎都會(huì)通過(guò)的。而且威瑞森的古董級(jí)鑒定方法還只是問(wèn)題的一小部分,更大的問(wèn)題在于,基于特征碼的安全軟件無(wú)法檢測(cè)新興惡意軟件。實(shí)際上,在安全公司Damballa《2015感染態(tài)勢(shì)報(bào)告》中,就已經(jīng)揭示出:大多數(shù)著名防病毒解決方案都在第一小時(shí)內(nèi)漏掉了70%的惡意軟件。
正是此類對(duì)著名安全廠商的實(shí)際能力的披露,以及對(duì)個(gè)人工具一直存在漏洞的曝光,讓一些人開始懷疑:依靠防病毒軟件是否實(shí)際上在讓用戶變得不安全。如果防病毒行業(yè)想重振雄風(fēng),基于特征碼的檢測(cè)方式必須要改。一個(gè)可能的前進(jìn)方向,是采用協(xié)議特定的深度數(shù)據(jù)包檢測(cè)(DPI),來(lái)掃描用戶電子郵件和其他數(shù)字通信中的威脅。還可以借鑒安全開發(fā)生命周期,包括動(dòng)態(tài)分析、模糊測(cè)試、攻擊面審查等,實(shí)際檢驗(yàn)AV產(chǎn)品的認(rèn)證申請(qǐng)人應(yīng)對(duì)當(dāng)今現(xiàn)實(shí)威脅的能力。
或許改善安全行業(yè)現(xiàn)狀的第一步,就是確保這些鑒定、認(rèn)證能真正檢測(cè)出有價(jià)值的東西出來(lái)。