安全軟件廠商應(yīng)該徹底放棄“認(rèn)證免殺”這個(gè)概念
幾年前,免檢產(chǎn)品出問(wèn)題的新聞曾經(jīng)屢次出現(xiàn)。最近,又發(fā)生了“免殺”事件。
近日,央視《經(jīng)濟(jì)與法》欄目曝光了木馬病毒通過(guò)360認(rèn)證,盜取支付寶賬戶信息一事。
針對(duì)央視的報(bào)道,360安全衛(wèi)士官方微博發(fā)布360公司回應(yīng)稱,被曝光病毒是通過(guò)混入正常軟件,然后提交安全認(rèn)證實(shí)現(xiàn)“免殺”,360對(duì)此類行為已加強(qiáng)監(jiān)管措施,會(huì)配合公安機(jī)關(guān)進(jìn)行重拳打擊,并承諾用戶如因木馬造成財(cái)產(chǎn)損失,360公司會(huì)進(jìn)行現(xiàn)金賠償。
360公司稱:“3月23日晚間,央視《經(jīng)濟(jì)與法》欄目報(bào)道的事件,是一家名為‘廈門(mén)盛游網(wǎng)絡(luò)科技有限公司’的員工,在接受犯罪分子賄賂后,把木馬混入該公司旗下的‘801游戲客戶端’提交給360軟件安全認(rèn)證平臺(tái)實(shí)現(xiàn)免殺。對(duì)此類非法行為,我們已加強(qiáng)監(jiān)管措施,遵循‘實(shí)名認(rèn)證+技術(shù)檢測(cè)+用戶舉報(bào)’的基本原則,通過(guò)多重審核、人工分析、定期回查等措施杜絕此類事件的再次發(fā)生。”
之前,在我印象里,“免殺”是病毒木馬制造者為了躲避殺毒軟件的查殺而采取的一種手段。那么,安全認(rèn)證“免殺”是怎么一回事呢?
根據(jù)我平時(shí)的見(jiàn)聞,這種免殺可能是一種類似于“白名單”的模式,并非360一家獨(dú)創(chuàng),而是很多安全軟件廠商都在做的一件事情。因?yàn)樵谝恍┸浖螺d站,我曾經(jīng)多次見(jiàn)過(guò)“某某殺毒軟件認(rèn)證安全”的字樣,這些殺毒軟件不只是一家。一些網(wǎng)站,下面也有類似標(biāo)注。很久以前,在搜索引擎進(jìn)行搜索,一些網(wǎng)站鏈接后面也有類似的安全或不安全的標(biāo)注。而在一個(gè)大型的知名安全軟件論壇,我也見(jiàn)過(guò)一些軟件開(kāi)發(fā)者咨詢某安全軟件(不是360,是另外一家)“怎么進(jìn)行軟件安全認(rèn)證”的問(wèn)題。
為了得到更專業(yè)的解釋,對(duì)“免殺”這個(gè)概念,我咨詢了安全軟件行業(yè)的某從業(yè)人員。
關(guān)于360的“認(rèn)證免殺”,他是這樣解釋的:“這個(gè)認(rèn)證是360為了避免誤殺正規(guī)軟件搞的,加入免殺認(rèn)證以后,廠商上傳的文件就會(huì)被360當(dāng)作可信直接放過(guò)。”
應(yīng)該說(shuō),這個(gè)目的的出發(fā)點(diǎn)是好的,是為了避免誤殺。
那為什么會(huì)出現(xiàn)木馬也被混入而“免殺”的問(wèn)題呢?他認(rèn)為:“正常流程應(yīng)該是對(duì)軟件進(jìn)行嚴(yán)格安全審核后再加入白名單,360顯然在審核方面出了問(wèn)題,造成明顯的木馬也被直接加進(jìn)了白名單。 ”
我知道,這個(gè)審核方面的問(wèn)題,也就是廈門(mén)盛游網(wǎng)絡(luò)科技有限公司員工“接受犯罪分子賄賂后”,“把木馬混入該公司旗下的‘801游戲客戶端’提交給360軟件安全認(rèn)證平臺(tái)。”
很顯然,這并非完全是360產(chǎn)品和技術(shù)的過(guò)錯(cuò),而是人的問(wèn)題,一種特殊的利益關(guān)系造成的特殊“內(nèi)鬼”問(wèn)題。
于是,對(duì)于“認(rèn)證免殺”,我有些反感了。我就想,如果說(shuō)免殺認(rèn)證就像發(fā)了個(gè)通行證,央視曝光的犯罪人員屬于“冒領(lǐng)”通行證,那會(huì)不會(huì)出現(xiàn)“盜領(lǐng)”通行證的現(xiàn)象發(fā)生呢?記得前段時(shí)間曾經(jīng)出現(xiàn)過(guò)帶有數(shù)字證書(shū)的木馬。
對(duì)于我這個(gè)疑問(wèn),上述安全行業(yè)人士是這樣回答我的:“這個(gè)不是通過(guò)證書(shū),而是讓廠商直接上傳文件。 比如你用公司營(yíng)業(yè)執(zhí)照注冊(cè)個(gè)賬戶,賬戶開(kāi)通以后通過(guò)這個(gè)賬戶上傳的文件直接免殺。”
“那這個(gè)經(jīng)過(guò)免殺認(rèn)證的文件得有一個(gè)特征吧?或者叫標(biāo)識(shí)吧?”我問(wèn)。
“很容易,機(jī)器自動(dòng)提,甚至直接用文件的Hash值。”他回答我。
在對(duì)免殺認(rèn)證有了一定認(rèn)識(shí)后,我認(rèn)為認(rèn)證免殺的安全隱憂很大。我又有了疑問(wèn):“別有用心者,能通過(guò)修改這個(gè)文件、改造這個(gè)文件的手段讓木馬實(shí)現(xiàn)免殺嗎?”
上述安全行業(yè)人士回答我:“這要看安全軟件廠商具體是什么策略,如果是只判斷MD5,現(xiàn)在有可以撞的辦法,兩個(gè)文件相同MD5就可以免殺。不過(guò)這種方法顯然不如直接賄賂公司人員上傳文件來(lái)得方便 。”“某些安全軟件廠商官網(wǎng)寫(xiě)的是會(huì)有安全審核,但從實(shí)際看,應(yīng)該是上傳文件直接加白,這步可能是機(jī)器自動(dòng)完成,沒(méi)有人工參與。”顯然,如果是機(jī)器自動(dòng)完成“加白”的話,那渾水摸魚(yú)就容易多了。
必須承認(rèn),360安全軟件是出色的安全軟件。當(dāng)然,我也相信360今后會(huì)采取更為嚴(yán)格的準(zhǔn)入措施來(lái)完善它的免殺制度。但是,這次免殺事件的發(fā)生卻給我們提了一個(gè)醒兒,那就是:免殺易做,內(nèi)鬼難防!依我看,軟件行業(yè)的“免檢產(chǎn)品”還是免了吧!
我曾經(jīng)看過(guò)一位網(wǎng)友形容某產(chǎn)品的留言,大意是:“產(chǎn)品是好產(chǎn)品,技術(shù)是好技術(shù),就是腦袋秀逗了。”誠(chéng)如斯言,如果一個(gè)出于好意的認(rèn)證過(guò)程,中間摻入與人相關(guān)的利益因素,就有可能會(huì)出現(xiàn)利益糾葛導(dǎo)致“變味”。
賄賂軟件廠商員工,在軟件免殺認(rèn)證時(shí)“搭便車”,這是已經(jīng)被驗(yàn)證過(guò)了的手段。或許,還有別的隱憂。我們應(yīng)該記得這樣一件事情,那就是2015年9月的蘋(píng)果XCodeGhost特洛伊木馬事件。開(kāi)發(fā)工具被植入了惡意代碼,那被開(kāi)發(fā)的軟件產(chǎn)品如何能幸免?假如這種手段被滲透到我們一些廠商的免殺認(rèn)證模式中去,恐怕要比賄賂軟件廠商員工的災(zāi)害大得多。
所以我認(rèn)為,安全軟件廠商應(yīng)該對(duì)所有進(jìn)行認(rèn)證的軟件進(jìn)行不同方式的檢測(cè)。甚至,安全軟件廠商應(yīng)該徹底放棄“認(rèn)證免殺”這個(gè)概念,不給任何人留空子。這不是因噎廢食,而是這個(gè)模式有著太多的漏洞。免檢產(chǎn)品都不能讓人徹底放心,更何況你這個(gè)免殺軟件呢?
還是我前面那句話:免殺易做,內(nèi)鬼難防——“免檢”軟件產(chǎn)品還是免了吧!
不過(guò),還有一個(gè)大問(wèn)題,在免費(fèi)安全軟件大行其道的今天,安全軟件廠商舍得放棄這個(gè)業(yè)務(wù)嗎?