云计算、移动互联带来了整个IT产业的巨大变革,也给病毒制造者留下了更多可利用的机会。面对日益复杂的IT应用环境,今天的病毒发展进入了一个什么样的阶段?安全从业者该如何面对病毒产业的新变化?近日,比特网记者就相关问题对欧洲反计算机病毒协会(EICAR)创始人、G Data安全顾问Eddy Willems(艾迪•威廉姆斯)进行了专访。
在Eddy Willems看来,随着云计算的深入应用,未来我们会面对更多的安全威胁,以duqu、stuxnet和flame等为代表的高级威胁也将愈演愈烈。
欧洲反计算机病毒协会创始人、G Data安全顾问Eddy Willems
Flame只是个开始
比特网:早在1989年,您因为著名的“艾滋病磁盘”事件将兴趣点转到了计算机病毒上,并开始收集各类计算机病毒信息和各类杀毒软件。能否简要回顾一下,这23年来,病毒发展经历了哪些发展阶段?
Eddy Willems(艾迪•威廉姆斯):这些年,病毒的发展可以划分为三个阶段:第一个阶段是从1986年到1995年,在此期间,很多年轻的技术爱好者在个人兴趣的驱使下,他们制造传播病毒,想看看病毒在多长时间传染,想炫耀自己的创造力,但没有破坏目的;第二个阶段是从1995年到2005年,随着互联网的发展,病毒也得到快速发展。更多年轻人对这种技术感兴趣,想研究新的病毒是什么,宏病毒出现;第三个阶段是从2005年至今,病毒产业发生了巨大的变化,僵尸网络开始出现。由过去仅有病毒、木马演变到恶意软件开始联网,这是一个重要的时刻,这导致病毒增长速度急剧加快。威胁数量从过去的缓慢增长到2007年开始出现爆发式增长。病毒出现爆炸式增长,其原因主要有两个:一是经济利益驱使,网络罪犯不再只是卖弄技术,他们的目的很明确,就是获取利益;二是威胁变得更加复杂,对反病毒专业人员而言,要分析起来也更难。尤其在去年,恶意软件复杂性、技术级别都变得更高。
比特网:duqu、stuxnet和flame等病毒在近几年非常流行。请介绍一下这些病毒的最新进展情况?
Eddy Willems(艾迪•威廉姆斯):这三种病毒有明显的攻击目标,他们的目标不是大数群众和电脑用户,这种病毒很重要。现在,我们并没有足够证据表明这些病毒是有政府背景,但我个人倾向于有政府背景。因为,个人编写这样的病毒不容易,这一类病毒需要许多的资金和足够的知识才能做出来。这种病毒攻击目标很特殊。其实,除了你上述的三种病毒外,我们还要加上一种联邦木马,我们认为,这个病毒是有德国行政机关的背景,我们的职责是查杀病毒,我们对待每种病毒都是平等检测的。
更重要的是,这些只是开始,未来,这一类的病毒会出现更多,病毒的国家来源也更多,现在已经产生很大威胁,对这类病毒,不可能对样本进行单独分析。这种病毒针对的目标是特殊的组织,而不是普通公众。
1998年~2008年,病毒和反病毒力量对比发生急剧变化
比特网:您认为该如何对付这一类病毒?
Eddy Willems(艾迪•威廉姆斯):我们正不断研究并提高技术,比如,通过行为分析来阻止这样的病毒。为什么这种病毒可以得逞?他们的目标可能是国家特定机构,如果相关机构没有很好地实施安全保护,没有及时更新操作系统及其他软件,就很容易遭受这种病毒的袭击。另外,在安全保护措施中,保护最弱的还是人的环节,技术可以做得很强,但威胁往往经过社交网站,绕过技术,通过人来进入系统。跟多攻击会通过社会工程学来进行,如:发送精心编写的email等方式来诱骗受害者进入非法网站,以骗取个人信息。技术做得再好,如果人这个环节没有做好充分防御,也会防不胜防。
针对云的威胁越来越多
比特网:云计算、移动应用、社交网络,给IT行业带来巨大变革,也给信息安全产业带来了新的挑战。能否分别谈谈,这几种新趋势会给病毒制造者带来哪些新的入侵机会?我们又该如何应对?
Eddy Willems(艾迪•威廉姆斯):先看社交网络。社交网络很重要,因为它很容易被误用来传播威胁,用社交工程学方法进行攻击。人们通常会相信朋友发的链接是安全的,这样就很容易被利用。而如果你将社交网络用在安卓手机、iphone等移动终端,这样的问题会进一步扩大。今天,我们看到更多针对移动终端的病毒,因为现在用智能手机的人越来越多。去年一年全年,在安卓平台上有1000个病毒,而今年3月,针对安卓的病毒达到了10万个,如果将钓鱼网站算在内,数量会更大。为何是安卓呢?因为安卓市场份额最大。病毒制造传播者也有自己的商业计划书,攻击安卓投资回报率最高,所以他们自然就讲目标盯在安卓系统。
再来看云计算。云并不新鲜,我们使用多年的英特网也是一种云。越多服务器部署到云,针对云的威胁就越多。恶意软件自己能识别云,他们自己也是从云中升级。我们用的云越多,会看更多威胁对抗浏览器。现在已经出现Man-in-the-middle(中间人)攻击,比如:攻击者插在银行和用户之间,来获取利益,类似劫持浏览器。未来这种威胁会更多。理论上,云使用的越多就危险。但不用网络已经是不可能的。今天,我们的智能电视也连到云,下一步汽车也会连到云。明年,智能电视会更普及,而智能电视很多用的是安卓操作系统,安卓系统中已经有10万个威胁,我们预计专门针对智能电视的僵尸网络等威胁会在明后年出现。我们在产品方向上也会对此有所考虑。再进一步设想一下,在E-health(e健康)医疗项目中,身体里可能会安装移动设备,如果病毒侵入,那么威胁到的是我们的健康。
比特网:您在1991年发起并创立了欧洲计算机安全组织“欧洲反计算机病毒协会”(EICAR)。能否给我们介绍一下,EICAR的机构组成情况?近几年主要做了哪些工作?有什么特别值得借鉴的经验吗?
Eddy Willems(艾迪•威廉姆斯):EICAR协会的目标是创造一个更安全的世界。我们希望成为安全厂商、安全专家和企业用户之间的桥梁。EICAR每年会举办年会,现在也有亚洲客人,我们希望促进全球的专家的紧密合作。
目前,该协会规模不大,有200多家会员,包括安全厂商、公司、执法机构和大学。如果不是会员,你也可以通过这个平台交流,比如通过参加年会、网站论坛、电子刊物来交流。我们跟Avar(亚洲反病毒论坛)也有合作关系。在今年的Avar会上,我也发现一些有趣的话题。恶意软件情况在这里跟欧洲有一些不同。欧洲比较常见的敲诈恶意软件在这里却比较少。而攻击者的手段也变得越来越高明,比如:在编写诱骗的email时,以前的都是外文的,现在却做得更加本土化,除了语言是中文的之外,其他方面模仿得也更加真实,比如:完美的母语表达习惯、本地化的表格制作等。在中国期间,我也跟中国有过交流,互通中德两国的情况,这种交流对我们的工作很有帮助。
倾向选用收费杀毒软件
比特网:目前,中国的个人杀毒软件基本上都已经免费,这种情况在世界其他各国也存在吗?您如何看待这种个人级杀毒软件的免费现象?G Data在中国市场依然坚持收费策略,未来在中国会考虑免费吗?
Eddy Willems(艾迪•威廉姆斯):中国市场有点特殊,中国有很多免费软件,经营模式也跟德国不同。在德国等欧洲市场,很早就有免费杀毒软件,但厂商免费的目的是:先推荐免费试用,最后吸引用户来购买收费软件。在欧洲,如果你为杀毒软件付费,意味着会得到更好的服务。如果是同一品牌的杀毒软件,收费版和免费版是不同的。如,在更新速度、服务方面都有所不同。
我们也看到了中国市场。未来是否免费,现在这个时候还很难讲。目前,我们虽然不提供免费产品,但在单机版产品中有一些免费工具,如云安全插件。
比特网:您的履历显示,您曾经在卡巴斯基实验室担任安全顾问一职,现在又在G-Data公司担任顾问。能否从产品、市场战略、企业文化等方面,谈谈您个人对这两家公司的看法?
Eddy Willems(艾迪•威廉姆斯):卡巴斯基和G Data两家公司的产品都很好,我也很喜欢卡巴斯基这家公司,至今跟那边的人都还有很好的关系。这两家公司的区别在于:卡巴更大,品牌认知更高。我当时在卡巴是专家团的一部分,能做的有时难免会受到一些限制。现在,我在G Data是一个对外交流的“窗口”,能发挥的余地相对来讲会更大。
比特网:对于普通的个人消费者而言,在选择反病毒产品时,主要应该考虑哪些因素?
Eddy Willems(艾迪•威廉姆斯):普通用户选择杀毒软件时,一是要容易安装,二是要容易使用,页面要清晰。用户可以从多个方面看看杀软产品的检测结果。从G Data来说,我们经过很多第三方机构的检测,比如:德国的ANTSO和AVTEST,奥地利的AVC等。我们的产品在各个机构评测中排名基本都靠前,一般都在前三至前五名之间。在免费或收费软件的选择上,需要用户自己来定。我个人推荐收费软件,因为免费软件用户享受服务和收费用户并不相同。
附:Eddy Willems(艾迪.威廉姆斯)简介
艾迪.威廉姆斯生于1962年,比利时著名的计算机病毒和恶意软件专家。他曾在IHB和布鲁塞尔自由大学的计算机系学习。1984年以系统分析师的身份开始进入计算机领域。早些时候还从事过数据恢复的工作。1989年,威廉姆斯先生因为著名的“艾滋病磁盘”(‘艾滋病’特洛伊木马)事件,而将兴趣集中到了计算机病毒上面。从那时起,它开始收集各类计算机病毒信息和各类杀毒软件。1991年(最初在比利时)由他发起并创立了欧洲计算机安全组织“欧洲反计算机病毒协会”(EICAR)。
经过多年的研究,它积累了大量的软件参考文献,书籍和几乎所有防病毒领域发表过的文章。从1995年开始,他又成为“流行病毒清单”(Wildlist)组织的参与者。“流行病毒清单”(Wildlist)被誉为世界上最大的病毒库。他还专门用自己的“WAVCI”实验室,提供所有同反恶意软件相关的网页和网站索引。他还为“微软电子百科全书”国际版撰写有关计算机病毒的文章。到1996年末,他仍然活跃在计算机安全领域,成为公认的反恶意软件技术专家。同时兼任几家国际性杂志和媒体的专业撰稿人。
2000年5月,比利时政府聘请艾迪.威廉姆斯先生为一个电子安全平台的顾问,这个平台专门为比利时人提供快速的杀毒和安全信息。2001年3月,他成为“欧洲反计算机病毒协会”(EICAR)的首席新闻信息发言人。他的咨询,陈述和讲座遍布欧洲和中东。并为几个国家的互联网应急中心(CERTs),多家新闻机构和发行商提供定期的咨询建议。
艾迪.威廉姆斯曾在卡巴斯基实验室做安全顾问。目前他在德国安全软件开发公司 G Data Software AG任安全顾问一职。