2016年 May月 27日
IT安全领域的《进化论》— 第三部分:是时候清理那些毫无用处的”寄生虫”
大家好!
之前已为大家带来了两篇有关IT领域《适者生存》主题的文章。原本并没有打算要写成”三部曲”…但目前看来木已成舟。似乎是有点…
IT安全领域的”寄生虫”问题很长时间一直萦绕在我的心头,而今天我就将重点讨论这一问题。”IT安全领域的《进化论》”系列文章也让我在这里有机会”敞开心扉,一舒己见”。下面将为你们带来精彩内容…
今天的话题:寄生虫。并非是我们打击的对象(不是十恶不赦的网络犯罪分子);而是那些公开宣称也在和网络犯罪分子作斗争的家伙们(问个哲学问题:到底是谁更坏?)。
IT行业如今正在高速发展之中。大约就在10-15年前,其关注重点依然还是台式计算机的反病毒程序、防火墙和备份;而现在各种新的安全解方案、方法和创意可谓层出不穷。有时候,我们设法走在IT安全科技的最前沿;有时,我们又是以落后者的角色奋起直追。但也有些时候,我们被一些令人惊讶的行为彻底”恶心到”–并不是什么新技术、创新或奇思妙想,而是安全行业某些同行的厚颜无耻和不择手段。
但首先,容我介绍一下事情的最新进展。
如今互联网上有个非常实用的安全服务,被称为”VirusTotal可疑文件分析服务”。集约60种反病毒引擎于一身,用来扫描上传的文件和URL是否存在恶意软件,并提供最终结果。
例如:有人在硬盘/U盘/互联网上发现了一个可疑的应用或办公文档。他自己的反病毒软件并没有查出任何恶意软件,但由于此人是个偏执狂,希望能百分之百肯定文件确实未感染病毒。为此,他选择了VirusTotal网站,原因是该网站使用约60种反病毒软件扫描文件。当然还有免费的原因,因此果断使用这项服务。他将文件上传至VirusTotal,很快该网站就显示了不同反病毒软件给出的结果信息。
首先,需澄清一点:无论是VirusTotal网站还是”幕后老板”Google都是不遗余力打击互联网犯罪的正义一方。他们与IT安全”寄生虫”没有丝毫关系。VirusTotal网站背后是一群相当专业的团队,多年以来他们始终高效地完成着”保护互联网安全”的任务。(还需要证明吗?VirusTotal曾在去年赢得安全分析师峰会(SAS)的最佳产品奖。)如今,VirusTotal已成为了新恶意软件样本和恶意URL最重要的来源之一;同时也是一款非常棒的研究定向攻击的”考古工具”。
但问题在于一小撮心理阴暗的用户在使用VirusTotal可疑文件分析服务的方式上,可谓无耻到极点。
该公共网络服务除了具有免费和公开的特点外,还提供付费订阅服务-增强型的私人应用程序接口,能够自动实时检测无数的文件。而问问恰恰就出在这里–处于某种不良企图:IT安全”寄生虫”终于登场了。
通过剽窃VirusTotal上各个反病毒软件的检测结果,然后为自己所用–也就是复制–甚至还一并抄袭了各测试结果的唯一名称!就是有一些公司公然窃取他人的辛勤努力的成果,用时下流行的科技用词稍作包装,然后冠以自己的品牌再公然出售。
‘剽窃他人检测方法’并不算新鲜。早在2009年,我们通过一次公开试验就发现已颇具规模,并且成了一定气候。从那之后情况变得愈加糟糕:出现了不少新兴公司,其商业模式完全基于免费的VirusTotal网络服务。投资研发技术和基础设施并向顶尖专家支付高昂薪水?根本没必要。我们只需搬来其他公司专家的成果,重新冠名就能出售。事实就是如此,而且是合法的。
IT安全寄生虫的无耻程度有时会发挥到极致;有些公司甚至公开承认使用VirusTotal的多种反病毒扫描器作为他们安全检测的基础。例如,有些营销广告简直无耻到一定程度(这里有广告文档的副本),请看下文:
上面这段宣传语的每一句话都会让人不禁掩面–实在是睁眼说瞎话。但标有红色下划线的那句话却是恶心到极点,似乎意思就是”我们的安全检测方法就是剽窃Virus Total,你们能拿我怎么样”。
这和第一个例子有些类似。首先,产品会做一些模糊的分析,采用时尚的白色字体颜色-行为分析,随后偷偷转至VirusTotal应用程序界面–加上点’交互色彩’–最后将检测结果提供给用户。换句话说,无论智能分析结果有多么神奇,全都是来自于其他扫描器的检测结果。那他们智能分析中的重点是什么呢?问得好。
这和第一个例子有些类似。首先,产品会做一些模糊的分析,采用时尚的白色字体颜色-行为分析,随后偷偷转至VirusTotal应用程序界面–加上点’交互色彩’–最后将检测结果提供给用户。换句话说,无论智能分析结果有多么神奇,全都是来自于其他扫描器的检测结果。那他们智能分析中的重点是什么呢?问得好。
类似这样的例子可谓数不胜数,这也证明了剽窃他人安全检测方法已成为了IT安全行业的常态;而基于这一现状,”寄生虫”的整个生态系统似乎已让公众信以为真(例如,成功逃脱惩罚)。我保证上面这些内容绝没有一丝编造。
反对’传统方法’(与他们从VirusTotal剽窃的扫描方法完全一样),支持’新一代’技术(只是复制和粘贴安全检测的方法和AI稍有新意),几乎是所有IT安全”寄生虫”的生存之道。
结论:如果有不知名的公司经常将’新一代’、’行为分析’和’人工智能’等时髦用词挂在嘴边,且从未进行过任何独立测试,那可要小心了。这类公司营销材料上提到的人工智能技术,只是通过云端剽窃其他真正IT安全公司。
VirusTotal显然清楚了问题的严重性并采取措施进行应对。5月4日,使用VirusTotal系统的新政策发布;其中重点是:所有私人应用程序接口的用户都需要”整合他们的检测扫描器至公共VT界面”,并且”新加入社区的扫描器还需根据反恶意软件测试标准组织(AMTSO)的最佳实践,证明通过安全测试公司的认证和/或独立审核。”研究专家估算(不要忘了阅读评论)这些条例将能对净化VirusTotal使用环境和清理”寄生虫”起到不小的作用。
这些新条例–显然是正确之举,只是稍微有点晚。但我并不认为VirusTotal将会因此停止改进的步伐。现在VirusTotal正应该将类似的变革继续下去。至于原因,IT安全”寄生虫”仍然还不少高招–想法设法达到新的要求,然后继续剽窃VirusTotal的专知。
恕我直言,我们首先应该要做的是:
- 需对VirusTotal的公开版本做改进,尽可能提高采用匿名技术自动查询的难度;
- VirusTotal网站自己应该决定谁有权查看他们扫描器的检测结果。
- 我们绝对不是唯一对滥用VirusTotal不满的公司,我可以肯定未来许多IT安全行业同行都会对改进这项网络服务献策出力–尤其是那些对VirusTotal社区做出实实在在贡献的人。没有人希望IT安全”寄生虫”窃取他们辛勤付出的果实,但同时每个IT安全行业工作者也愿意将自己的专知与值得尊敬的同行、CERT、执法机构及其它反犯罪组织分享;换句话说–所有提供协助而不是剽窃的组织。剽窃他人安全检测方法将摧毁IT安全行业,并间接帮助了网络犯罪分子。
附录:VirusTotal是众多多种反病毒程序检测服务中最具知名度、最流行同时也是最高级的一款。比较有名的还有Jotti、VirSCAN和Metadefender等服务,尽管各有缺陷。并且都需要…做一些改进以防止不断被滥用。因此,我衷心希望VirusTotal能成为其他类似服务的一个榜样。
