Content
McAfee 安全观点
专家观点:拦截间谍软件
企业用户的桌面机总是充斥着各种潜在有害程序,从耗费计算资源、令人厌烦的弹出广告到专门窃取员工信用卡号和其他隐私信息的击键记录程序,无所不包。 大多数企业 IT 管理人员都大大低估了这些问题的严重性。 间谍软件和广告软件的危害到底有多大?更重要的是,企业应该采取什么样的措施来阻止这些软件侵入其桌面机和便携式计算机? 为了了解该问题的具体情况进而寻求解决之道,我们采访了 McAfee® AVERT® Labs 的运营总监 Joe Telafici。
安全要点:间谍软件问题有多严重? 为什么它的危害越来越大?
Joe Telafici:间谍软件危害非常大。 在过去的一两年中它的破坏性不断增大, 甚至远远超过了病毒的危害。 潜在有害程序 (PUP),尤其是广告软件所侵入的计算机比其他任何病毒侵入的计算机都要多。 在大多数月份,最主要的 20 种病毒攻击中,有 10 至 15 种为广告软件和间谍软件。 企业报告显示,病毒给企业环境造成的破坏仅仅排在第 200 位, 而排名靠前的都是间谍软件、广告软件和其他恶意程序。
出现这种现象的原因有二: 首先,这类软件都具有合法的目的, 有人需要用到这些程序。 例如,在下载 Kazaa 的同时也会下载到其他几种程序;因为如果您需要 Kazaa,就不得不下载这些程序。 如果您从事 IT 工作,则可能需要在工作中使用到嗅探器或远程控制程序, 但如果将这类软件用到不该用的地方,问题就会随之产生。
其次,识别和清除间谍软件的工具尚未得到广泛普及,尤其是未在企业中得到普及。 除非 IT 人员拥有既能广泛部署又能集中管理的工具,否则他们无法真正了解问题所在,解决之道更是无从谈起。
“间谍软件”一词可谓富有深意。 许多真正的恶意软件其实就是木马程序,如密码盗取程序、击键记录程序以及远程控制程序等,目的都只有一个 — 盗取用户身份资料。
新动机:谋取不义之财
安全要点:您是否认为间谍软件的主要动机是谋取钱财,比如盗取或骗取用户身份资料?
Telafici:2003 年和 2004 年,恶意软件攻击的动机从政治目的和“数字涂鸦”转向了谋取钱财。 很难判定是恶意软件编写者借鉴了广告软件供应商的经验,还是广告软件供应商偷取了恶意软件编写者的秘籍。
Spy-bot 和蠕虫已开始传播广告软件,可能是因为蠕虫的编写者要通过安装的广告软件程序谋取钱财。 一些不知名的 PUP 编写者则通过发掘漏洞来传播 PUP,并将恶意软件编写者惯用的社会工程伎俩借为己用。
从消极的一面来看,这导致了多种技术混合的局面。 而大量广告软件编写者不断从中捞取不义之财则更是吸引了其他“同僚”们趋之若鹜。 其中一些还拥有风险投资基金,并试图以此来吸引投资者。
安全要点:间谍软件编写者动机的转变使阻止这些软件更容易还是更困难了?
Telafici:有些情况下,更容易了;有些情况下,则更难了。 编写 PUP 的人比两年前更专业更老练了。 他们不再是校园里稚嫩的学生, 而是拥有十年代码编写经验的老手, 并且会对自己编写的程序进行测试。 他们通过这种工作来赚钱。
从好的方面讲,这种情况更具预见性。 许多程序都带有卸载程序,但是如果事先不知道该软件是如何安装到计算机中的,即使提供卸载程序也无济于事。 而一些 PUP 编写者对于软件的说明信息毫不避讳,包括公开版本信息和公司的真实名称。
另一方面,这些编写者通常不顾及自己的名声,而做一些见不得人的勾当,并使用隐身技术将自己隐藏在系统中。
策略问题
安全要点:您是否估计过美国企业中有多少台桌面机感染了间谍软件?
Telafici:您总不能使用雷达扫描间谍软件吧,所以说,缺少工具是难以统计数量的原因之一。 很多企业的桌面机防病毒工作做得不错,但却没有锁定桌面机配置。
很多人,尤其是在美国,都在工作期间进行网上购物或做与工作无关的事。 一些企业会禁止与工作无关的网络使用,但大多数企业没有这个规定。强制实施策略是阻止潜在有害程序侵入桌面机的最佳途径。
安全要点:企业应该采取哪些措施来阻止潜在有害程序侵入他们的系统?
Telafici:首先要正确确定用户的计算机使用权限。 在 Windows 中,默认情况下每个人都是管理员,而管理员能对他们的计算机执行任何操作。 不管何时访问网页,都不会有人干涉。
公司应该创建一个策略,要求软件员工不得做与工作无关的事,无论是在 Microsoft Office 中还是在软件开发环境中。 IT 人员应该锁定使用者桌面机中的应用程序,以保证他们只运行允许的应用程序。
此外,员工可能想下载其他有用的流行软件。 此时,员工应当申请临时权限,让 IT 人员进行审查并决定是否可以下载,而不应为员工提供自动下载权限。
安全要点:企业还能做什么呢?
Telafici:IT 人员应该执行一个补丁程序安装策略,以保证能自动分发更新内容,并隔离未及时更新的计算机。
许多企业仍然对其网络中的 IRC 通信不加限制, 而大多数 spy-bot 都是使用 IRC 传播的。 即便它不一定与 PUP 有关联,企业也不应该允许这类通信。 他们应该锁定某些特定端口。 至于广告软件,企业可以获得可能包含恶意内容的域的开放源代码列表。 使用防火墙可拦截对这些域的访问。
企业可以将 McAfee® Secure Content Management、McAfee® Foundstone® 漏洞管理软件和 McAfee® Desktop Firewall 结合使用来应对这种问题。 McAfee® Anti-Spyware Enterprise 可保护企业免受间谍软件、广告软件、击键记录程序、cookies 和远程控制程序的攻击。
安全要点:如何更好地加强用户的意识,防止他们安装可能将间谍软件和广告软件带入企业的软件?
Telafici:培训是相当重要的。 人们总是认为在自己使用的公司计算机上安装软件是他们的权利, 但他们没有意识到安装浏览器工具栏和感染间谍软件之间的联系。 这类软件通常是在线购物网站和博彩网站的一部分。 下载它需要承担一定责任。
法律的作用
安全要点:联邦政府和州政府尝试过哪些阻止间谍软件的方法? 在多数人看来,CAN-SPAM 无法有效拦截垃圾邮件。 我们是否有更好的办法来阻止间谍软件?
Telafici:犹他州已通过一项旨在遏制间谍软件的法规,加利福尼亚州也正在考虑制定此类法规。 此法规要求:如果软件公司的软件和某些网站会安装间谍软件,那么该软件公司和网站必须通知用户,并说明间谍软件将执行哪些操作以及收集哪方面的信息。 美国众议院正在讨论两项相关法案,而参议院也在讨论一项相关法案。
CAN-SPAM 为垃圾邮件合法化打开了一条全新通道。 它没能减少垃圾邮件的流量,反而可能让事情变得更糟。 我们专家对这种情况有一些担忧,恐怕很难有任何联邦立法可明确判定这些行为违法。
立法流程永远跟不上技术更新的节奏, 新的技术不断涌现, 这种形势下,如果有人指出某种特定行为方式弊端多多,那么他得承受巨大的压力,除非能像食品与药品管理局对待好药与坏药一样,列出一个恶意行为的名单,并不断对这个名单进行更新。 我们需要不断进行调整,不断总结,才能确保立法与技术发展保持同步。
或许联邦贸易委员会等机构能够对此类软件供应商加以管制,情况可能会有所好转。 最近 FTC 出于商业惯例的目的关闭了垃圾邮件之王 Sanford Wallace。 他们对此领域开始有了一些想法,但问题是他们能拿出多少预算和时间来进行这项工作呢。
安全要点:该如何解决呢?
Telafici:我们与其他病毒防护和反间谍软件团体进行了多次交流。 在一些规章制定工作组中,有多家安全供应商都在参与命名约定和行为的制定。
解决方案将主要由安全团体和较为合法的 PUP 供应商来开发,这主要是为了响应公众的要求。 McAfee 正在响应客户的需求,而其他公司出于利润考虑也在响应投资者或广告商的需求。
技术供应商和社会团体需要联合起来寻求解决之道, 否则 Internet 的全球化特点极有可能让所有的监管措施最终付之东流。
在本文截稿时为止,McAfee 又推出了可提供类似功能的新产品。 要了解更详细的信息,请参阅我们的产品部分。
资源
