下面先请各位嘉宾做一个简单的自我介绍吧。
谢腾翔:首先非常感谢搜狐给我们这么一个平台,我们今天的主题就是关注电脑安全、提升软件质量,我们这个中心是国家惟一一个软件产品质量监督中心,一贯坚持以公正、科学、权威的方法,给社会公众提供独立的第三方的检测服务。
现在软件跟我们以前其他的产品相比,可以说是一种比较新型的东西出来了,但是现在软件其实是无处不在的,包括从我们的生活中,实际上软件的面可大可小,实际上现在有应用软件还有嵌入式软件。但是光盘这类产品消费者在购买的时候如何关注质量、如何进行评估,有什么样的专业机构能够替我们用户在质量环节进行把关,我想我们国软质检中心参加搜狐这个平台的探讨就是跟大家探讨这方面的话题。
金锴:方正安全,我们公司从安全角度来讲有整体的解决方案也有针对用户的解决方案,今天可能就是涉及到防恶意软件的主题,我们是和熊猫来合作对产品软件的防护。
这次谈到关注电脑安全、提升产品质量,希望这次访谈能够引起大家对恶意软件,以及新兴的软件的关注,希望通过这次3•15的访谈能够引起对这些恶意软件的重视,以及对于用户的互联网应用习惯提供一些有利的帮助。
王本锐:瑞星公司大家都比较熟悉,对于恶意软件瑞星一直都比较关注,去年也有相应的产品在推出,帮助用户解决除病毒之外的安全问题,今天我觉得这是一个很好的机会,除了厂商之外还有管理部门大家能够坐在一起探讨一下恶意软件它的来龙去脉,包括以后的发展趋势,感谢搜狐提供这样一个平台,相信广大的网友应该也是会对这个事情很感兴趣。
曹凌翔:我是江民科技策划部曹凌翔,非常高兴今天到这边参加搜狐关于恶意软件和软件质量的访谈。
关于恶意软件我们也在去年就非常重视,恶意软件包含的范围很广,包括广告软件、间谍软件、恶意插件。我们去年针对这块推出了木马一扫光和未知病毒检测的一整套防范系统,因为恶意软件的界定目前还没有很规范,所以我们目前把权限交给用户,我们在未知病毒检测里面提供了一个用户自己检测的功能,用户只要发现这里面有恶意软件就会添加到病毒库里面进行扫描和清除,这里也希望通过这个让大家了解更多的防护办法和途径。
齐军:大家好,我是趋势科技的齐军,非常高兴今天能够进行这样一个话题的探讨。趋势科技主要是进行内容过滤,包括病毒、蠕虫,只要发现有这样的恶意软件都会进行防范。我们从公司1988年成立到现在逐渐的在拓展,最初只有病毒,随后木马上来了,蠕虫上来,还有更多的叫不出名字的东西上来了,所以我们就归了一个大的类别叫恶意软件,可能英文叫法跟搜狐这边会有点区别,但是总的来讲我觉得大家的方式是一样的。
这种东西我们也遇到一些刚才同业提到的一些困惑,比如如何界定这个东西,界定以后如何能够比较高效的能够剔除出去,必须阻止以后再出现,帮助国家制定界定标准,以及帮助用户解决这些,今天多多少少都会谈到,我想今天的话题一定会对大家有益的。
李铁军:我是金山公司毒霸事业部的工程师李铁军,我长期做金山毒霸的支持。我们公司大家都清楚,金山在信息安全领域也有企业级的、用户级的,针对恶意软件所有计算机用户都非常关注这个话题,我们从早期的反病毒过渡到现在针对各种各样的鉴别软件,主要是对用户系统有不良影响的软件都是我们的目标,最终就是让用户使用计算机系统更方便、更快捷、更安全。
主持人:下面我们开始第一个主题,关于恶意软件以及具体的讨论。
首先,恶意软件这块儿,现在有没有一个统一的定义?
曹凌翔:去年北京市网络行业协会有一个叫非安全软件的界定,有两个特征,一个叫不请自来,我不想安装自动来了,第二,来了就赖着不走。我们当时总结了这两个特征,所以如果区别这两个特征,我们认为可以叫做恶意软件。就是说我们没有安装的自己自动安装的,来了以后我想删除掉但是不让我卸载,这样的软件都可以称之为恶意软件。
齐军:从趋势这边来看,我们在界定的时候有几块,大的范畴来讲,第一,它的行为是不告知用户的,而且这个信息有对外传播的结果,我们称之为这种东西含有恶意的。还有,跟他所声明的东西不符。假设说这是一个桌面的美化程序,实际上它记录了很多用户的行为,而且这个行为跟桌面这块没有逻辑关系,这样来看这个行为就有点问题。当然还会有其他的界定,包括法律方面的。但是大概从工程师这边分析就是这两个点。
金锴:对恶意软件因为每家公司可能有不同的定义,我们从IDC这块有一些关于这方面的调查,IDC有一个定义,对恶意软件的软件定义是指非常宽泛的范围,任何有害的行为的软件都统称为恶意软件。目前来讲,说的简单一点,可能大家能够更清楚界定一点,第一,可能包含传统意义上的我们所谓的病毒,再加上新出现的广告软件、间谍软件,包括机器人。这个可能是大家所了解的定义上面。
行为方面,最重要的一点,它所做的行为,第一,对它所运行的这台计算机用户而言是不可知的,这个通常是判断是恶意软件或者是非恶意软件可能有这样一个比较明显的标志。如果你是可知的,我们可能排除在恶意软件之外,但是并不是让你知晓这个行为,这个可能是会成为一个有害的恶意软件的范畴。
主持人:去年更多的提到是流氓软件这个词,和恶意软件能划等号吗?
王本锐:在法律有规定的病毒和木马,除此之外正规的、合法的软件,中间还有一个灰色软件,处于灰色地带的,我们普通的归为流氓软件或者恶意软件这个范围之内。
从用户感知的角度讲,恶意软件应该是给用户的计算机造成了一些不可控的操作,不请自来的,未知弹出广告的,这个广告不知是谁弹出的,想卸载的时候找不着卸载的地方,这个文件本身正规的软件多住在版权信息里面有公司的名称,很多恶意软件是不写的,因为是属于一个灰色地带,既不属于病毒,也不属于木马,也不是合法的软件,这种灰色的,都可以称之为是恶意软件或者是流氓软件。
具体讲,叫的多的应该叫间谍软件,但是不全,除了间谍软件还有其他的,包括浏览器的劫持,搜索引擎的劫持,一般来讲都是属于这个范畴,就是面非常宽广。
李铁军:实际上可以理解为对用户使用计算机造成任何不良影响的软件,都可以列为恶意软件。
主持人:现在很多软件体积非常庞大,我们说一个最简单的例子,Photoshop,可能是一个正常的应用型的软件,但是实际上很耗费内存。
齐军:像类似这样的情况,应该在系统需求里面写清楚,你如果配置这个东西你给他一个很差的硬件平台就是恶意软件,刚才你说的所有的东西都满足了系统需求,突然发现还是有一部分内存不知道谁吃掉了,这里面就有某种恶意的行为。但是我觉得今天的主题里面提到两个比较大的问题,一个是恶意的行为,还有一个就是软件的漏洞,这个里边我觉得很大的程度上是说有目标还是没有目标。
我们举个例子,比如说很多人可能会写一些共享软件出来,但是当他写一个共享软件,比如他吃了太多的系统资源,或者无比终止,或者它没有版权信息,或者它卸载其他很困难,我们都说它是恶意软件。比如有一天说我写了一个共享软件出来了,觉得我这个东西是不是可以谋利呢,我找另外一个人,你那边有一个软件急于选择,我可以让我这个检查你的软件,当一段时间我就出一个消息指向你的软件,我们就说这就是恶意的行为。中间有很小的跨步,这个跨步就决定了你是恶意的还是不是恶意的。
李铁军:正邪区别就是一步间。
主持人:谢主任这边,从国家管理部门的角度考虑,有没有关于软件检测这块,比如关于恶意软件或者流氓软件有没有明确的规定?将来会有哪些方面东西出来?
谢腾翔:我觉得刚才各位嘉宾讲的非常到位,所谓恶意软件也好、流氓软件也好的定义确实解释的非常非常到位,确实是我们现实生活中从用户角度讲,尤其我们普通用户常常跟计算机打交道,确实不是我们需要的东西占有我们的内存资源,这还是好的占用一下,有的还可能充当一些木马窃取一些信息,对我们的安全造成很大的困扰。
到现在为止我们客户已经在不断的抱怨这种情况,所以我们的软件,包括在座的各位生产出来的产品都在这方面怎么样屏蔽这个可能性去解决,无论是人工智能的方式,怎么样解决这个问题。有时候这种方式防不胜防,因为我们总是在滞后去追堵的方式,未来我们可能选择做一些开发的工作。
我们从国软质检中心来讲,政府应该从什么层面上,比如现在的法规还不健全,对于这类软件我们并没有定义,就像网上传播什么东西,如果我们一旦抓住我们还没有相应的手段对他进行严厉的处罚,防止他。
从软件的检测角度讲相应的标准并没有,目前我们还在讨论什么是恶意,还没有非常严格界定清楚的情况下相应的标准很难能出台,如果没有相应的标准对我们执法机构、监管机构很难采取措施或者怎么进行处罚,所以我觉得有逐渐完善和成熟的过程,所以我觉得这个话题今天讨论是非常有必要的。
主持人:我个人有一个小问题,现在捆绑软件很多,可能有些有意的有些是无意的没有对用户进行告知。是否可以认为没有告知的捆绑软件我们可以说是恶意的或者是流氓,这种不进行告知而进行捆绑的软件怎么来界定?
王本锐:我这边有一些数据,跟大家分享一下。这个数据是网上某一个共享软件的作者来整理的,这个数据很惊人,他列举了大概几十个共享软件,在他这个列表里都是有捆绑插件的,最高的一个软件捆绑了16个。这个软件本身清理系统的一些垃圾信息的,捆了16个插件,这些插件有一些搜索的工具条、加速器、专门的广告播放软件、彩信、网络电视,可能这个软件本身很小,捆了这个之后就翻倍了,这只是其中之一。
如果讲为什么会存在插件捆绑这个因素,其实这个事情我们讨论的差不多清楚了,怎么讲呢?后边整个的是一个产业链,因为有这个产业链的存在所以流氓软件这几年越来越严重,应该说愈演愈烈。我觉得判断这个软件是故意的捆绑还是非故意的捆绑,很简单的一个原则,看他捆绑的插件有没有给他带来实实在在的经济利益,如果是实实在在的带来了经济利益,我们可以怀疑这种捆绑是一种故意的行为,如果他捆绑的插件没有给他带来收益,我们可以认为可能就是一个非故意的行为。
齐军:这个标准执行起来确实比较麻烦,因为经常比如会指向某一个门户网站,行为有可能是两种情况,一种行为是攻击行为。举个例子,比如像你说的那个工具,是一个发行量很大的,我们打开一个组件可能对谁有特别大的访问量,我们公布到网上说这个东西更新了,很多人好事就装一下,装下以后可能就在一定时间里形成攻击,这是一种。
我们以前看到过类似的状况,实际上也是一种商业目的,是为了把别人搞瘫,还有一种为了给自己过滤。
王本锐:这种不太属于恶意软件和流氓软件管辖的范围内,如果他把软件改了之后形成攻击行为应该可以用杀毒软件来处理的。
齐军:他的攻击很简单,不停的打开软件,频率很高,对用户来讲非常烦,但是对用户形成非常大的压力。
金锴:而且我觉得判断是不是恶意软件,经济利益确实有时候比较难判断,比如假设它是收集信息,收集信息这个后期可能产生后果那个时候并没有表现出来,收集信息可能出于个人行为,可能收集信息将来的目的还不是很明确的情况下很难判断这个信息是不是本身就能产生一些利益。
更多的,当两者捆绑的时候,第一,你安装的时候是不是知情,这是一个标准,如果是完全知情,捆绑的产品信息是什么,它在做什么你也知道,这个原则上不一定非要列为恶意软件。有可能这种产品给体带来一种额外的增值,一些用户可能更加愿意这样。但是如果一方面不知情,或者你知情只是其中一部分,这个都可以归为恶意软件这块。
或者像你刚刚讲的像Photoshop,确实如果同时去捆绑像其他的类似Flash的工具,如果他所告知的或者他做的完全是合法的或者透明的,我们也认为他完全不在恶意软件的范畴之内。
这种判断像我们前面讲的如何界定恶意软件,捆绑是一种行为,最终可能看产生的结果,包括自己的表现。
齐军:因为恶意这个词本身就带有很强的主观色彩,从安全厂家这边来讲,我们单纯以技术的角度来区分确实有时候感觉是无力的,因为是或不是,我们可以添加一个简单的特征码能很快的扫描出这个东西,我们可以做一个反安装的动作清除出去,但是这个是不是用户所用的。
典型的防病毒软件,我查出1千种病毒,最后我只告诉你一次这里边的东西我已经替你干掉了,就够了。恶意软件就不停的在问用户,不停的问用户这个事情来讲,很大程度上跟恶意软件所干的事情有点儿像,他也在打搅用户。所以我们在行为上来讲也会尽量避免这样去做,也就是为什么好多防病毒软件公司对很多的恶意软件目前采取一个束手无策。他没安装一次就要问我一次真的要这样做吗,这种烦的程度它有一次我有一次,你恨的时候也把它恨了,所以厂家碰到两难。
李铁军:现在杀毒软件公司轻易把这个干掉,可以用合法的途径告你,所以也没有办法。
曹凌翔:我们是有自己的切身体会,去年我们曾经添加过这样一个恶意软件,当时这个公司反复的跟我们交涉,后来我们咨询了一些法律专家的意见最后还是去掉了,去掉以后怎么办?在我们软件里面加了一个功能模块,如果用户觉得这个产品不好你自己添加进去自己杀、自己清除,我们把这个权利交给用户,确实当时影响挺大。可以说这类软件目前在中国的影响力还是挺大的。
李铁军:几乎没有人敢轻易对恶意软件下手的。
主持人:咱们安全厂商这边可以说是有心无力,可以这样说吗?
王本锐:应该这样说,安全厂商像今天大家讨论什么叫恶意软件,我想作为安全公司,就瑞星而言我们也在做这方面的准备工作,等待国家相关部门能够有一个规范出来,有一个规范出来的时候再做方便很多。现在应该说每处理一款灰色软件的时候,我们都非常的慎重,我们内部其实有一份表格,这份表格是公司内部对恶意软件的一个评测,这份表格如果我们把这个软件作为恶意软件以后除掉了,有些商业行为都要有一个说法,甚至会威胁我们、起诉我们,有个别的小公司甚至进行人身威胁,有这样的情况,但是进行人身威胁不是个人的行为是公司的行为。我们有恶意软件评分的标准,大概接近30规则,满足了这些规则就是灰色软件或者流氓软件。
如果这个软件被我们的杀毒软件处理掉了,找到之后我们照我们这个表格改,改好了我们就放回去,如果改不好我们只能删除。我们这方面其实是顶着商业公司的巨大压力在做,因为用户对这种流氓软件、恶意软件分不清楚,他只知道自己的机器有问题就慢,其实反病毒公司这个事情也很头疼,我觉得我们这个做法各家公司可以借鉴一下,我们不能跟恶意软件背后的公司做妥协,我们应该大伙站在一起,就好像有一个标准,能够让商业公司基本上的规范。虽然还是处于灰色地带,我们可以联手让这些公司逐步的规范起来。
另外一方面,既然是一个产业链,这个产业链里面共享软件作者是非常重要的环节,我曾经亲身经历过这么一个事情,是一个共享软件的作者亲口跟我说,这个软件是做BT下载的,他跟我说了一句话,他说当年我一无所有、身无分文,几乎活不下去的时候,某一家公司给了7000块钱我继续把这个工作做下去了,这个钱不是白给的,谁让他捆绑这些插件的。作为共享软件的作者在面临道德和利益选择的时候,如果他的共享软件能够挣到钱,可能大部分共享软件能够战胜这个利益,不会选择去安装。
但是现在的问题是,知识产权这块,共享软件作者挣不到钱,已经生存不下去了,这种情况下他别无选择,我只能跟这个网络合作,我好生存下去。所以共享软件作者在这个角度可以考虑,但是很可怜,我觉得如果有办法让共享软件的作者合法的得到他的收益,这种捆绑行为会大大的减少。
齐军:刚才王本锐提到一个非常本质的问题,如果我们版权的管理能够更好,他通过正常的途径把自己的一些能力、一些服务给很多人使用的时候,在不危及自己生存的情况下,因为他必然消耗了精力、消耗了时间,这个时候就不会往这个方向发展。
再有一个可操作的方法,我们公司也有这样的操作,因为我们也有分析病毒软件、恶意软件,一旦发现的时候我们会想办法先去联系,看能不能联系上告知一下,告知以后人家一定会问到一个问题,你怎么样不认定我。如果你告知有我的办法,我告知的时候有我的办法,这个东西有可能合在一起有可能不合在一起,谢主任这边如果有统一的标准,作为一个正归的软件你应该怎么怎么样,如果这个作为国家的规范、一种指令,这样我们会好操作一些。
李铁军:政府的态度是非常重要的。
金锴:这个其实也像谢总讲的一样,现在就我们自己相对来讲对界定没有明确的说法,所以国家有急需出台相应的法律法规政策。将来出台这个政策,不管是个人穷途潦倒也好,还是以企业赢利的行为为目的也好,做出来软件由统一的标准进行界定,我们是比较好操作的。
社会上现在还有另外一种情况,这其实包括针对一些用户的使用习惯当中要注意的,即使他已经告知了你,但是他这种告知你可能很难关注到。举个例子,当你去安装一个总互联网上下载的软件的时候,有多少人注意他写的那个协议。如果你单纯从技术角度讲判断他的行为,他说我已经告知你了,这个时候很难做出判断的。因此对一些用户在使用习惯当中也是要非常去关注的,尤其是去用国外的应用软件,可能你更加不懂他的词汇,所以这往来也需要大家关注。
另外一方面,法律法规方面是需要去完善的。
另外一方面,从用户角度来讲应用习惯也要有良好的应用习惯。
应用厂商方面我们可能要避免产生恶意行为的应用。
李铁军:现在用户在安装用一些软件的时候不要像以前的习惯一路按回车,应该每步都看一看。
王本锐:现在恶意软件有一个特点就是欺骗,可能这个协议已经写了,比如本身安全过程中有一个选项,这边有一个钩,是否安装某某某插件,你把这个狗去掉了,按照我们惯常的思维是不安装的,但是有的软件是不管这个钩打不打都给你安装上。
现在灰色软件、流氓软件从法规上讲很难界定,对于安全公司来说可能各家有各家的尺度,但是这个问题现在已经摆在大家的面前了,不光是摆在用户面前,这个问题我们不可能回避,必须要解决。怎么解决特?除了各家正在努力的往前推进之外,我觉得可能换一个角度怎么做呢?灰色软件不好界定,绿色软件是不是能界定。同样的绿色软件的界定标准可以很快的公布,我们对日常常用的软件,下载类的、语音播放的、搜索的,这些软件我们做一个评测。这个绿色软件的标准我们会透明化,是公开的,谁都可以看到。利用这个标准看如果所有的标准你全过了,你是一个绿色软件,执照我们保证你这个版本从我们指定的服务器上下载是一个绿色软件,你可以放心安装,不必担心插件问题。这样用户知道,好,这个软件是经过瑞星安全认证的,是绿色软件,我就去下载。
如果这里面有很多的环节,我觉得大家不妨可以联合起来做一个的绿色软件的标注,包括跟下载的网站联合起来,给用户在网上提供一块净土,从这儿下载是我们安装公司认证的绿色软件。两头,这头是安全公司国家的相应机构,那头是我们做绿色软件的标准,两边往中间一挤,灰色软件、恶意软件的生存空间会越来越下载。
(责任编辑:刘鹏) |