反间谍反流氓的乏力
作者:三联生活周刊(文 / 三联生活周刊)
( 所有的反病毒厂商都面临一个共同的行业压力,当不堪“流氓软件”烦扰的用户求助时,如果不能解决,很可能用户就不用你的杀毒软件了 )
“流氓软件”使人更加缺乏安全感,具有记录键盘操作功能和屏幕捕获功能的“流氓软件”更直接为网络犯罪提供了机会。今年6月美国万事达公司发现的威胁到超过4000万信用卡用户,并已有数万张信用卡的资料被人复制的事件,就是因为亚利桑那州处理在线支付的公司CardSystems Solutions的网络中有恶意程序,为入侵者打开了大门。更有甚者,9月15日最新消息,加州大学伯克利分校的研究人员发现,打字时击键盘的声音的录音能够被转化成所输入的内容,试验中他们根据录音复原出用户的击键和单词,正确率分别达到96%和88%。该校的泰加教授表示:我们能做到这一点,怀有歹意的电脑黑客也会做到的。还好,目前辨别鼠标操作还是个难题。
“双重间谍”生动地表明:大多数间谍软件和反间谍工具并不矛盾。从功能上来说,防火墙只是通过自身规则对网络行为进行阻断,外面的东西不能随便进来,里面的东西不能随便出去,而你在自己计算机里做什么它是不管的,它本身也并不记录你的隐私。杀毒软件也在监视你的一举一动,但它并不暴露你的隐私。而如果是间谍软件的监控功能就不同了,你的屏幕和键盘可能都在其视线之内。
很多时候,“流氓”和反“流氓”的背后仍然是利益争夺。在有关的一些诉讼中,焦点集中在对IE网页地址栏资源的争夺,有人分析这个市场几年内最少有10亿元的规模,还将随着国内互联网的快速发展继续扩大。然而IE的地址栏只有一个,在这些争端当中,有的公司以对方的插件中存在屏蔽自己的插件为由起诉,而同时它本身提供的插件也屏蔽着别人的诸多搜索服务插件。
相互删除和屏蔽,很快演变为采用技术手段使自己的软件无法被删除和屏蔽,极端的手段就是改写用户最底层的数据,甚至有时根本就不提示用户。这相当于两个推销员在客户家门口就打起来了。事实上删除别人的程序是非法的,但从下载、安装到功能运行,再到对类似功能的竞争对手的屏蔽和删除,都有非常合法和非常非法的手段,中间有一个很大的灰色地带。有人笑谈:当“流氓软件”最典型的时候,也许是大家都在干非法的事,根本不考虑用户的存在和感受,就像黑社会抢地盘,对服从了另一方的老百姓肯定少不了威逼利诱。只要被黑社会控制,用户就没有选择权,更没有公平交易。
在舆论压力下,竞争各方最后都各退一步,毕竟各大公司都有一定的政府资源,谁也不能把谁一棍子打死,现在的局面处在一种比较暧昧的平衡之中,即有利益冲突,又有企业之间、政府和企业之间的关系要维持。有业内人士将“流氓软件”与市场经济中许多无序行为的调控做了比较:政府砍一刀,大家往后一缩,政府砍得太狠,也会往后收一收。
( 间谍软件的历史
1995年10月16日,“间谍软件”一词,最早出现在Usenet上一张讽刺微软的帖子上。
1999年,著名Zone Labs的创始人Gregor Freund用这个词为ZoneAlarm个人防火墙命名。1999年,人们第一次惊讶地发现一款当时广为流行的免费游戏居然内置了间谍程序“Elf Bowling”,它在背地里一直将用户的信息传回游戏开发商Nsoft。
2000年,间谍软件日益猖狂,Gibson Research公司的Steve Gibson发布了世界上第一款反间谍软件程序。
2004年10月,美国国家网络安全联盟进行的一个调查显示,有80%的被调查用户的电脑上有“间谍软件”,每台电脑平均93个间谍软件,其中最多者居然有1000多个“间谍软件”。89%的调查用户表示对这些软件的存在毫不知情,在其中一个用户运行缓慢的电脑上,95%的调查用户表示并没有许可安装这些软件。 )
由于天然的不可重复性和经济利益,中文实名已渐渐地和域名一样成了一种公共资源,现在的问题是:当中文实名上网这一技术创新被人发现时,没有人想到这种资源的分配规则。行为的法律规范和技术创新的矛盾没有比互联网行业更突出的了,当一家企业对有限资源形成天然的垄断性时,就越来越需要一种充分考虑公共利益的游戏规则。信息产业部电信研究院通信政策研究所所长陈金桥对此评论道:“技术创新,或者是通过技术创新获得市场份额以及在市场上保持领先的一个态势,不能成为它压制后进入者、追随者、模仿者的一个理由。如果它作为一种工具来做这件事情,那么管制部门就应该介入。”
谁是管制部门呢?现有的一些半官半商的机构显然不合适,“公安部、信息产业部安全管理中心、病毒应急处理中心、行业协会甚至广告部门,似乎都有责任,但又都没有清晰的权责规定。”北大一位软件专家告诉记者。行业自律是值得肯定的办法。6月28日,16家国内知名的互联网企业签订的《软件产品行为安全自律公约》规定:“鼓励、支持开展合法、公平、有序的行业竞争,反对采用不正当的软件编写手段来进行市场竞争。自觉维护软件用户的合法权益,保守用户信息秘密,不得利用用户提供的信息从事任何与向用户做出的承诺无关的活动,不得未经用户同意,擅自利用所发布的软件收集用户的隐私数据,不得以其他方式变相侵犯用户的合法权益。积极起草《软件产品行为安全服务规范》的各种条款,开发符合行为规范的合格软件产品。”然而行业协会只是社会团体,前述公约对违规者只能提出“协同相关部门进行处理”,而具体的处理方案“需另行制订”。■ 乏力反流氓反间谍网络安全科技新闻软件