保护合法恶意软件和网络”雇佣兵”
我们所生活的这个时代令人痴迷,计算机和网络正越来越多地与我们的日常生活息息相关。不久前,我们还只是将计算机和网络用在办公室和生产设施,但今天,它们早已走进了我们的客厅和厨房,几乎人手一部可连接计算机的移动设备。我们正在步入美好的互联网时代,几乎所有东西都将被接入网络。 我们越是将日常工作更多委托给计算机处理,对于那些热衷于”挖掘”他人隐私的坏家伙(网络犯罪分子)和好家伙(有正当理由使用黑客技巧的在执法机构官员)来说就更具吸引力。 如果我们将他们可能相反的动机放在一边,另一个有趣的特征也能将他们区分开来:网络入侵和间谍活动于情报局而言几近犯罪行为,但确也是他们日常工作的一部分。 合法恶意软件现象 当今网络犯罪业务领域有一个重要的趋势即网络犯罪合法化,与信息安全市场的定位完全不同。例如,出售零日漏洞(类似于缺乏适当安全解决方案的漏洞)问题日益突出。 网络犯罪合法化正成为网络犯罪业务领域的新趋势。 目前任何人(能够买得起某些标价超过6位数以上的漏洞)都能购买漏洞利用工具并适时加以使用—通常用于保护自己的资产,但是事实上,可用于任何的东西。此类漏洞的交易完全可与导弹或精密炸药这样的军火交易相提并论。 此外,一些公司会提供能网络潜入的全功能软件包,并在掌控受害者计算机后即能监视他们的一举一动。我们曾此前讨论过顶级间谍木马病毒 – 这一情况好比出售全套虚拟文件系统。 FinFisher的广告标语显示了其完美的合法入侵和远程监控手段。提供此类服务的公司众多,范围从政府下属最大的国防工业大型综合性企业到中等规模的独立公司。 后者当然不会向任何人出售恶意软件,但其客户名单却包罗万象:除了政府情报组织以外,还包括了一些大型企业。此类网络”雇佣兵”的服务产品还热销于第三世界国家政府(例如:巴基斯坦和尼日利亚)。 此外,你还会注意到网络间谍服务的实际买家并不一定就是表面购买的那个:曾发生过将监控和过滤解决方案出售给阿联酋后,最终由受禁运国叙利亚获得。 无论如何,从卡巴斯基实验室的经验看,私人开发的合法恶意软件不仅出售给”拥有合法权”的情报局(其用途合法性到底几何非本文讨论主题),也会落入极端功利的第三方手中。换句话说,尽管作为普通人的你与网络犯罪或政治领域毫不相关,但总有一天你会发现自己也受到牵连。 到底有多危险? 可以说是相当的危险。类似恶意软件专为手握大把钞票的客户而量身打造。其技术水平之先进,并非只是不良少年或小偷小摸的犯罪分子从信用卡内偷几百块美金那么简单。 此类恶意软件开发者的深刻见解载于了维基解密中,上面有这样一句话:传统反病毒软件对其产品无法造成任何威胁。 合法恶意软件开发商在其产品内使用了大量先进技术,能够完全躲避病毒分析人员的追踪并防止其暗中监视。 我们该如何应对? 事实证明此类技术的确有其局限性所在:要想偷偷入侵系统并没有什么神秘性可言,需要的只是一款通常的恶意软件。 因此,这意味着卡巴斯基实验室解决方案中所使用的启发式算法(基于搜索与恶意软件有关可疑属性的检测方法)完全能过滤网络”雇佣兵”的攻击。 卡巴斯基启发式算法能成功捕获极具创造性的网络”雇佣兵”。 例如,通过我们对FinFisher产品的研究(合法网络武器市场中最优秀的一家公司)证明与FinFisher的说法完全相反,我们的卡巴斯基反病毒6.0(MP4)内所采用的启发式算法分析器能成功处理此类威胁。 考虑到一些界限模糊的’反网络犯罪分子’工具最终会落入”不法分子”手中,这意味着每个用户都应安装一款运用相关技术可应对高精密性威胁的反病毒软件。
