傳統殺毒軟件 vs. 軍用惡意軟件

做者：邁克爾·卡斯納 （Michael Kassner）
翻譯：PurpleEndurer 2012-08-29 第1版

　　前言：殺毒程序過期了。在這種狀況下，咱們應該作些什麼呢？讓咱們來了解一下安全社區裏是怎麼說的。

 

　　不要在無防禦措施的狀況下訪問互聯網，不然你會後悔的。這樣的建議不絕於耳。接下來的會是否是：

　　「這意味着咱們你們都在兩年或更早以前錯過了對這個惡意軟件的檢測。這對咱們公司，對整個殺毒行業來講是一個使人扼腕的失敗。」

　　這段話源自米克·海波寧（Mikko Hypponen）近期發表的演講 《爲何像咱們這樣的反病毒公司未能捕獲 Flame（火焰） 和 Stuxnet（超級工廠）》一文，他是F-Secure創始人、研究總監（Chief Research Officer）——數字設備保護領域的一位重要角色。

　　這樣的聲明對米克來講非同尋常（他在TED上做了演講），由於受到普遍關注的電腦安全專家一般會對有關事物表示樂觀。我聯繫了米克，問他是否有進一步的想法：

　　「正規反病毒軟件能夠很好地對付惡意軟件，卻難奈政府資助的超級惡意軟件。你被超級惡意軟件看成***目標可能性有多大？我想這取決於你在作什麼。防彈背心和頭盔能夠很好的對付出來找碴的街頭強盜，但無法應付針對大家或者只有你的政府刺客。，你成爲政府刺客的目標的可能性有多大？我想這也取決於你在作什麼。

　　米克所指的是包括Stuxnet（超級工廠）、DuQu，Flame（火焰）在內的隱身惡意軟件（stealthy malware）新家族（軍事惡意軟件和超級惡意軟件是我發明的名稱）。在爲本文收集事實證據的過程當中，我發現這不是第一次有人質疑傳統的防病毒程序。

　　我想向你們介紹，得克薩斯州達拉斯大學的高級信息安全分析師保羅·施梅爾（Paul Schmehl）。保羅仍是一位優秀的做家，他爲Security Focus撰寫的稿件「廉頗老矣：防病毒掃描過期了嗎？（Past its Prime: Is Antivirus Scanning Obsolete?）」的起首段爲：

　　「這篇文章的標題和主題顯然是有爭議的。這從被堅信看到清晰前進方向的殺毒行業的強烈反應中獲得了印證。所以，防病毒掃描過期了嗎？一言概之，沒錯，但不要扔掉你的掃描程序。」

　　看來米克並不孤單也不是首倡者，由於保羅在10年前就寫出了這篇文章。

　　最後我想介紹的人是布魯斯·施奈爾（Bruce Schneier）。涉及到任何種類的安全時，布魯斯倍受敬重。要明白個人意思，能夠翻閱布魯斯的新書《騙子和局外人（Liars and Outliers）》。 2009年，信息安全雜誌刊載了「防病毒軟件死了嗎？」，介紹了布魯斯和馬卡斯·拉努姆（Marcus Ranum）之間的討論。布魯斯說：

　　「是的，當新病毒更加頻繁地出現，現有病毒變異速度更快時，防病毒程序已變得不那麼有效了。是的，反病毒公司永遠扮演着追趕者的角色，努力建立新的病毒特徵碼。是的，在新病毒的特徵碼添加到檢測程序以前，基於特徵碼的防病毒軟件沒法保護你。殺毒軟件毫不是萬能的。」

　　說句公道話，三個專家都以爲殺毒軟件有存在的必要，但對基於特徵碼方法的防病毒程序的支持率顯然不足。

　　扮演着追趕者

　　咱們在電話交談過程當中，保羅將傳統防病毒程序面臨的問題比做「打地鼠（Whac-A-Mole）」遊戲，在這個遊戲中，地鼠會跳出來，玩家要在這個可憐的小動物消失以前擊昏它。保羅解釋了二者的類似之處：

　　「Anti-virus scanning is based on Newton’s law; for every action there is an equal and opposite reaction. Each time a new virus, or a new viral approach is discovered, anti-virus scanners must be updated.」

　　「防病毒掃描是基於牛頓定律，每個動做都有一個大小相等、方向相反的反應。每當一個新的病毒，或一種新的病毒工做方法被發現，必須更新反病毒掃描程序。」

　　保羅繼續說道：

　　「不難看出這其中存在一個收益遞減點，在這個點上更新已再也不可行，由於測試時間過長。客戶開始尋找其餘克服惡意威脅的解決方案。」

 

　　還有但願嗎？

　　對於如何改善這種情況，布魯斯和保羅都有想法。我從保羅開始提及。早在2002年，他爲行爲攔截（Behavioral Blocking）技術而興奮。我讓他作了解釋：

　　「解決辦法是在一個受保護的虛擬環境中運行未經驗證的程序。程序能夠執行的全部功能，它一般會進行安裝，而後正常運行。程序採起的每一個行做能夠用來與一組規則進行比較，從而評定其是否具備惡意。執行某些操做超過必定的數量的程序將被自動刪除。處於一個較低的範圍內的程序將會被隔離，這樣安全管理員能夠更加密切地檢查它們。其他的程序就過關，原封不動的返回網絡。」

　　保羅認爲這種方法頗具價值。不幸的是，行爲攔截並無得到其餘安全專家的一致確定，但有一個被稱爲白名單（Whitelisting）的技術卻得到了。據布魯斯的說法：

　　「若是人們使用白名單，例如Bit9 Parity和薩文特保護（Savant Protection），安全性將獲得改善——我我的建議Malwarebyte的反惡意軟件（Malwarebytes’ Anti-Malware）。」

　　持樂觀態度的他們同時警告白名單技術存在下列問題：
　　用戶界面不是很友好。
　　需求和軟件的變動會增長管理開銷。
　　沒辦法處理附著於數據文件的惡意軟件。
　　重命名文件不難。（改變文件名就能突破白名單）

 

　　除了行爲攔截和白名單外，也有一些新開張的公司致立力解決這個問題——例如CrowdStrike和Shape Security。兩家公司經過使人關注的索賠，已經收到象徵性的資金，兩家公司也將公佈技術信息。

 

　　更新：我剛剛收到米克發來的電子郵件，他認爲有必要作如下澄清：

　　「關於白名單的這一點：幾乎每一個Windows白名單應用程序容許執行由微軟簽名的未知可執行文件（不然Windows補丁會失敗）。這很好 - 除了微軟簽名的火焰（Flame）之外」。

　　結語

　　除非我錯過了一些東西，我沒有發現任何在這個時候有效的技術解決方案。我詢問過保羅，他也贊成這個見解。保羅補充說，因爲爲教學機構工做，他的部門天然把重點放在教育學生和教師有關計算機安全的知識。我問保羅，他們是否發現了什麼改進。保羅熱情地回答，「比他們所但願的要好。」

　　掛電話時，我想起了TechRepublic做家乍得·佩蘭（Chad Perrin）的文章，「授人以漁（Teach a man to fish.）」。
　　（英文來源：http://www.techrepublic.com/blog/security/traditional-antivirus-software-is-useless-against-military-malware/8203）