曹凌翔:我感觉这个很难实现。为什么这样说呢?目前比如说很大的下载网站,公开在卖木马软件,你说木马软件是灰色软件还是绿色软件?不好说。可能跟一把刀一样的,可以是凶器也可以是很好的工具。 比如灰鸽子很普遍,你说是不是病毒,很多人就说是远程控制程序,这个很难界定。
齐军:王本锐提的这个情况我来的路上也在想,我觉得方向上应该是对的,但是大家要积极的做这个事情。大家能坐在一起就是因为我们要想办法做一些事情,这个应该是一个梦想,是一个好事。但是想一想都觉得这个是一个极其恐怖的工作量,我们假设别的不关照,我们就关照搜狐下载,搜狐下载上有多少,假设有2万用户,更新频率是每周其中10%会更新版本,这个认证过程就会极其耗人力的。
王本锐:难度相当的大,但是我觉得如果能够帮助用户,让用户的电脑上流氓软件尽量少,作为安全公司做这些努力也是有价值的,也是有他的社会意义的。
齐军:可能还会想到一件事情,这是一个认证的角度,另外从QA的角度讲,一家负责任的商业公司,产品出来之前都会有一个测试过程。我有的项目出来都会痛恨我的QA,做特别多的测试,你到不注重规范的角度可能有QA就不错了,不做QA是正常的事情。
我们甚至曾经在网上搜索程序的时候发现,在这个网站上你给了钱以后他就帮你做指定的攻击行为的恶意软件,然后他推荐你去另外一个网址,你给钱以后那个网址背后的那家公司帮你做QA,他还确保不被你点名的这些防病毒软件检查到。你说攻击者或者做QA的人比那些正常软件还要注意,这就是我们现实社会里面一个很大的悖论,很痛苦的一件事。
这些恶意软件出来以后我们又受到法律上的约束,又受到实际行为上的限制,我们不想干扰用户太多,我们保证现有的品质。同时又遇到那么多的软件写家在做的时候不那么注重规范,我们很难处理。同时碰到恶意软件的写受又不很规范,所以弄得我们现在安全软件的厂商很痛苦,这种痛苦是很难表达的东西。
金锴:这个矛盾是跟一个社会上比如说一个诚信机制,比如作为一个企业一方面可能会以赢利为目的。另外一方面,原则上做一个诚信企业不能做这个企业范围之外的,比如可能对用户并不知情的我们认为是恶意的行为。同时,这种诚信机制比如一旦国家的主管机构能够发现企业的不诚信行为以后,可能对这个企业包括处罚力度也好或者是公布与众也好,能够让这个企业长远发展存在一些问题的话。像比如说防病毒企业,很多人都会问你们防病毒企业是不是会做病毒?这在诚信企业的机制里面是不允许发生的,尤其是在比较规范的情况下。其实建立这样一种监督机制,也有可能比较有效的杜绝这样的信息。
趋势很多网站大家很关心间谍软件,也有的做了间谍软件的排名,其实大家看到排在前面的都是知名的公司,是不是所有人都知道这些事情,是否对这些公司有大的干预力度在里面,我希望后期能够有相应的动作,至少在企业行为这块去规范。
当然另外一块,比如个人的共享软件编制着,对他们要从另外一个角度看这个问题,无论是生存问题或者是兴趣去规范他们的行为。
谢腾翔:这里面就扯出一个自律,刚才讲我们自己本身是防病毒的安全产品,可能为了自己的利益有个别不排除可能会生产一些病毒,因为病毒是大生产出来的他知道怎么防它,这样保证他在市场范围内有一定的占有率,这要求我们加强自律,刚才讲的诚信这一块。
另外一块,市场监管力度。这块要加强,刚才各位都提到了安全厂商的无奈,因为我们用户对我们的安全产品提出了很高的要求,不仅要防范这些恶意软件的攻击,同时又不让你本身的软件给他带来麻烦。像我们因为无奈很难评估,所以我们很多事情让用户自己进行判断,不可避免的给用户的操作带来某种困扰,在某种程度上对你不认可,他觉得怎么这么麻烦啊。比如安装软件的时候就像弹出去什么要不要下载等等,也在困扰他,所以用户的要求确实各方面都很高。
还有一个问题,刚才像瑞星的这位先生提的,我们自己企业内部有自己的规则,但我们这个规则是不是大家统一的,大家是不是认可,像瑞星提出有自己的规则,其他的厂商也说有自己的规则。因为我们的用户不知道选择哪家的产品安全防范,又要跟你这边沟通,又要跟这边沟通,市场上有四家产品,他都要沟通,才能保证把恶意软件防在外面,所以会带来很大的困扰。关键是有牵头的机构,很可能要有第三方,把大家集合起来,我们把规范也好、标准也好,把它细化公布出来,大家就不会有任何的扯皮了,不会因为互动关系没有弄好造成更多的困扰问题了。而且这个还要给用户进行教育,为了保证你更多的利益,所以某种程度上你应该有一定的容忍度,这就是几个方面可能要一起来做更多的工作,才能保证我们这个市场更加规范起来,我觉得更好一些抱怨,而且有效的保证我们用户企业的利益,我觉得各方面来考虑。
主持人:我知道昨天咱们国软质检中心搞一个活动,关于消费者权益的活动,这块的活动有没有跟用户软件安全这块有一些考虑?
谢腾翔:现在我们都讲信息化时代,我们的国防也是信息化的国防策略。我觉得信息化最重要的就是安全的问题,我们现在为什么老在讲消除信息怎么怎么样,其实很大的一块,大家为什么不把自己的东西公开出来,就是对安全不放心。可能有恶性攻击或者还有人为的因素造成他不安全,我们名字叫应用软件,但是从国际标准和国家标准来讲是8个质量特征,就是说要评测的是8个质量特征。但是我们现在感觉到信息产品安全这块越来越大的需求,所以我们有单项的检测,所以安全我们会日益的提到比较重要的程度上来。
主持人:我们刚才都说了很多关于恶意软件的界定或者区分或者对策,关于恶意软件我们这边会有什么样的发展趋势,大家就自己的体会谈一下,可能今年会有什么样的趋势?
曹凌翔:我们昨天发现了一个最新的情况,恶意软件目前传播已经是跟病毒进行捆绑了,昨天我发现一个叫做安哥的病毒变种,有好几个捆绑软件。这种恶意软件为了达到自己的目的,跟自己的病毒狼狈为奸。假如说恶意软件,比如像病毒这样的大量传播跟捆绑在一起的话,也是很可怕的事情。
金锴:其实从发展趋势我们比较宽泛的角度讲,我们一直比较关注病毒,病毒比如出现蠕虫以后大家关心的是传播速度,恶意软件前面都已经讲到了,一个是经济利益,以前一些制作传统意义上的恶意软件,大家可能为了出名,觉得这是一种成就感,现在可能有利益在里面。
另外,可能是一种混合性的东西,不仅跟病毒,包括跟蠕虫,或者跟其他的病毒软件进行捆绑,给用户造成威胁。
还有一种,在国外出现的目标非常明确的东西,以前病毒或者恶意软件攻击的时候可能是漫无目的的,一片撒出去攻击到谁是谁,现在可能有更多的经济利益驱动目标非常明确的东西,这种东西是目前出现的一些情况。
还有一种,像以前提到的大规模传播以后出现控制网络的事情,像河北也发现了,在美国也发现了这样的案例,控制了差不多4万台计算机,并且以这4万台计算机的赢利为目的,公布了很多价格,这是相对比较新的动向。
王本锐:我觉得刚才曹凌翔先生提到恶意软件和病毒捆在一起,这对防病毒公司来讲反而好处理,当你是流氓软件或者恶意软件一旦跟病毒捆在一块用病毒的方式进行传播的话,我们在处理这类的恶意软件的时候就可以合法的跟你干掉。
对于这个趋势来讲,我这边预计,今年应该是这样一种情况,一方面防病毒公司或者安全公司,会在消除或者替用户卸载、阻止灰色软件、流氓软件这块会作出一定的努力,但是同时因为现在目前立法不健全,可能会有更多的商业公司加入到这种集团军里面去,这中间会形成一种博弈,看谁往前跑的快,看谁的动作大,看谁的胆子大。
为什么这么讲呢?因为是一个灰色地带,严格意义来讲既然是灰色地带,法律管不到,我商业公司可以做流氓软件装上去,法律目前对我来说没有太大的办法。对于安全公司来讲,安全公司一般都是比较谨慎的,如果我们力度大一点儿,这一个灰色软件,你做流氓软件我把你流氓软件杀掉,是不是可以,也是很难界定的。
而且我还得到了一个消息,最近有几家新成立的公司,这些公司主要是以广告公司在后面支撑着,他们成立的公司专门做流氓软件,甚至已经放出风来要拿钱收买安全公司。这里我觉得广大用户对于安全公司可以很放心,我觉得在座的任何一家公司不会被这些流氓软件背后的商业集团收买,这一点广大用户可以放心。这种斗争应该是长期的,有可能会加剧,而且规模恐怕也会越来越大,所以说在国家法律规范方面会越来越紧迫,安全公司也是大家一起尽量的从两头把他们挤的越来越载,让用户不管是上网还是使用计算机的时候能够有比较干净的、用起来比较爽的机器,别天天出问题。
另外一点,我觉得要把灰色软件或者流氓软件解决掉,还有国家机构可以考虑适当的介入,广告审核、广告审批,不太知道具体是哪个部门。为什么呢?恶意软件同时往往是跟恶意广告掺和在一起的,怎么讲呢?你上网的时候会看到一些广告,弹出一个框来,上面画一个小X,你去点的时候不是把这个窗口关掉而是打开一些新的网页。还有一些广告说你的机器已经中毒了,赶紧下载什么什么,没有,这只是一个下载广告。还有模拟,QQ或者MSN,你一上网的时候这边出一个小窗口跟那个很像,你一点击就会出现广告的东西,我觉得这种行为也是比较恶劣的一种行为,国家要加大力度审核。
李铁军:国家在出现正式的法律条文以前,这种恶意软件的传播趋势可能也会越来越厉害,安全公司还处在无奈的时间。
王本锐:大家一起来做努力,应该这个状况会比去年乐观一些。
齐军:这个东西让我想起以前的垃圾邮件,一开始对邮件内容进行过滤都是违法的,一开始法律上都说这如同破坏人家的信瓤一样,但是后来大家都受不了了,从用户的角度喊出来说我再也不能忍受了,这个时候立法时机就比较成熟了,可能有明确的规则,这些规则就可以让专业公司转化成某种以后来实现。
间谍软件这种目前来讲,应该说恶意软件有很多的行为还没有使大家达到那么烦的地步,所以有些东西来讲我们现在势必还得要观望一下,更带立法时机的成熟。
金锴:本身现在其实大家对恶意软件觉得很头疼,确实现在很多的行为取悦于用户自己的行为,作为安全公司来讲,给用户一种选择,从我们角度来判断比如这个软件到底是恶意的还是不是恶意的,但是怎么处理我们给你选择,你可以自己清除掉或者可以继续保留。否则如果没有这种安全软件他是无法选择的,因为对他来讲没有判断标准,这点安全公司可以起到一定的作用。至于到时候将来如何从一些角度去界定,包括一方面其实我觉得多个层次来做努力,比如国家也好、安全公司也好,包括用户个人角度来讲自己的习惯和行为。因为以前大家都知道,中国的上网率是非常高的,大家都觉得网络是一个免费的午餐,随着大家不管的关注间谍软件、垃圾邮件等等这些行为以后,我想大家的很多行为和习惯都改变了。随着各方面的努力,这个问题将来一定会解决,只是我们目前可能处在相对困惑的时期,比较我们到底怎么处理,还没有明确的标准,但是我相信这个安全公司其实内部来讲已经有一定自己的标准,但是这个标准可能还像这个先生讲的是各自的标准,没有形成统一的标准,这是一个发展的过程,我想不久的将来这个问题能得到一定的解决。
齐军:各个公司技术储备都是有的,只是寻找适当的时机产品化送到用户这边来。
我想现在来讲作为用户如果不想被恶意软件这种事沾染,其实还是回到前面说的,你所使用的是什么东西你最好使用负责的公司所出的正牌的产品,不要乱找一个东西就搞,这里面就回到一个老话题正版化的问题。
当然每个人都会有个性化的需求,一定会做一些下载安全一些共享软件,这些行为最好跟大站关联起来,最好不要随便给你指一个。比如打击邮件过来了,说某某地方看着软件不错,让你下载,你就真的下载了,没有准就带来恶意软件了。
过分好奇是招惹麻烦很重要的因素,最是好比较规范的去使用。
(责任编辑:刘鹏) |