在過(guò)去幾年中,我們的計(jì)算機(jī)受到了前所未有的攻擊,惡意軟件正變得越來(lái)越聰明,越來(lái)越強(qiáng)大。我們不禁要想,在未來(lái)的互聯(lián)網(wǎng)世界里,防病毒軟件還是不是拼圖的一部分?
安全從來(lái)沒(méi)有存在于PC世界
在以前的很長(zhǎng)一段時(shí)期里,我們今天所說(shuō)的安全性問(wèn)題根本不存在于PC世界。防病毒軟件的出現(xiàn)并不是為了幫助早期的操作系統(tǒng)和軟件抵御什么攻擊,而更多地是解決使用者自己的失誤。它們單獨(dú)工作,很少與網(wǎng)絡(luò)連接。在那時(shí),除了極少數(shù)像1988年11月的莫里斯蠕蟲(chóng)等幾乎沒(méi)有什么惡意軟件能夠造成嚴(yán)重的威脅。
然而隨著網(wǎng)絡(luò)連接和下載的盛行,惡意軟件也開(kāi)始流行普及。這時(shí)的防病毒程序演變成普遍性的系統(tǒng)保護(hù)套件,監(jiān)視和守衛(wèi)著一切從網(wǎng)絡(luò)到磁盤(pán)的活動(dòng)。
問(wèn)題是這些防病毒解決方案對(duì)系統(tǒng)資源的消耗是可怕的。一臺(tái)PC可能會(huì)因此變得更安全,但人們無(wú)法忍受它以一半的速度運(yùn)行。更糟糕的是這些程序創(chuàng)造出的虛假安全感,人們經(jīng)常在日常更新后就放松了警惕,并因此遭受了攻擊。
限制權(quán)限終于出現(xiàn)
保護(hù)機(jī)制的重大變化是加入了用戶權(quán)限。一個(gè)程序在默認(rèn)情況下不能夠隨意改變系統(tǒng)的任何配置。如果要修改系統(tǒng)設(shè)置,必須擁有管理員的權(quán)限。
Linux、OS X和NT版本的Windows(NT、2000、XP和以上)都設(shè)置了這種權(quán)限限制。但是直到最近,這種權(quán)限功能仍然不能很好的發(fā)揮作用:比如在Windows中大多數(shù)人都會(huì)以管理員的身份登錄,這是因?yàn)槿绻贿@樣就太麻煩了。有太多的Windows應(yīng)用程序在編寫(xiě)時(shí)仍然假設(shè)它們可以改變一切,直到Vista和User Account Control出現(xiàn)之后,情況才發(fā)生了變化:Windows程序員現(xiàn)在開(kāi)始養(yǎng)成了不使用root權(quán)限運(yùn)行的習(xí)慣。
惡意軟件的殺手锏:零日攻擊
如果操作系統(tǒng)處于完全沒(méi)有bug的環(huán)境中,這時(shí)限制用戶權(quán)限可能是個(gè)相對(duì)安全的辦法。但不幸的是,bug沒(méi)法不存在,這為惡意軟件的制造者們提供了探索那些新的沒(méi)來(lái)得及打上補(bǔ)丁的漏洞的機(jī)會(huì),比如臭名昭著的“零日攻擊”。近期發(fā)現(xiàn)的OS X內(nèi)核缺陷也同時(shí)強(qiáng)調(diào)了這一點(diǎn):有人完全可以通過(guò)這樣的漏洞繞過(guò)權(quán)限機(jī)制,直接寫(xiě)入內(nèi)核空間。
在零日攻擊之外,更多的問(wèn)題是在最終用戶仍然有許多漏洞長(zhǎng)期沒(méi)有打上補(bǔ)丁,并最終可能為壞人敞開(kāi)大門(mén)。正如51CTO此前曾經(jīng)介紹過(guò)的,網(wǎng)絡(luò)安全企業(yè)Qualys的研究發(fā)現(xiàn)行業(yè)中打補(bǔ)丁的時(shí)間一般是30天。而諷刺的是最長(zhǎng)時(shí)間得不到修補(bǔ)的軟件正是那些最廣泛使用的:微軟Office、Windows Server 2003、Sun Java和Adobe Acrobat。
白名單真的有效嗎?
在系統(tǒng)安全性中的一個(gè)相對(duì)較新的方法是白名單,也就是預(yù)先定義好允許運(yùn)行的程序目錄。白名單能夠非常嚴(yán)厲的對(duì)待任何運(yùn)行的程序,這使它能在本地防御中良好的對(duì)抗例如keylogger等惡意軟件。但如51CTO.com安全頻道此前報(bào)道,有觀點(diǎn)認(rèn)為,白名單可能會(huì)影響殺毒軟件市場(chǎng)。
白名單中比較難辦的問(wèn)題是需要?jiǎng)?chuàng)建和維護(hù)列表,這和黑名單一樣。但好的一面是白名單比黑名單往往要小得多,更易于維護(hù),也直接有效。例如Windows中的Group Policy可以基于文件路徑等設(shè)置白名單。
另一種方法是由第三方維護(hù)白名單,例如使用卡巴斯基實(shí)驗(yàn)室預(yù)先創(chuàng)建的白名單,只裝載和運(yùn)行那些“好”的軟件。本地用戶當(dāng)然也可以添加自己需要的已知的常規(guī)應(yīng)用。
追溯保護(hù)價(jià)值何在?
如果反病毒的概念需要擴(kuò)大到包括一般性的“系統(tǒng)保護(hù)”,那么它現(xiàn)在還應(yīng)該包括如何從災(zāi)難中恢復(fù),或者怎樣容納災(zāi)難。
容納災(zāi)難可以用“沙箱”的方法實(shí)現(xiàn),允許任何下載或安裝的軟件運(yùn)行在一個(gè)虛擬的空間中,并且分析其行為。沙箱操作在目前確實(shí)幫助提高了安全性,而從長(zhǎng)遠(yuǎn)來(lái)看,它最好發(fā)展成為一個(gè)成熟的平臺(tái),而不再作為一項(xiàng)附加應(yīng)用。
災(zāi)難恢復(fù)方法是假定事情可能出錯(cuò),但可以輕松地進(jìn)行恢復(fù)。Vista和Windows 7或者OS X的全系統(tǒng)鏡像可以提供很大的援助,結(jié)合沙箱技術(shù)能夠更加有效。
針對(duì)惡意軟件的最好的長(zhǎng)期解決方案需要基于平臺(tái)完成,盡管目前軟件的復(fù)雜性使目前還不太可能搭建起一個(gè)統(tǒng)一的安全平臺(tái),這樣的平臺(tái)不可能十全十美,但可以達(dá)到更高程度的安全性,通過(guò)不斷的嚴(yán)格內(nèi)外部改進(jìn)。而最有用的臨時(shí)性解決方案仍然會(huì)來(lái)自第三方,但需要改變的老觀念是“掃描一切行動(dòng)”,它在解決問(wèn)題的同時(shí)帶來(lái)了更多的麻煩。
也許,防病毒軟件沒(méi)有死,而會(huì)改變形狀以適應(yīng)時(shí)代的要求,它將會(huì)發(fā)展成為主流計(jì)算的補(bǔ)充方案,繼續(xù)幫助我們防范各種威脅。