几年前,免检产品出问题的新闻曾经屡次出现。最近,又发生了“免杀”事件。
近日,央视《经济与法》栏目曝光了木马病毒通过360认证,盗取支付宝账户信息一事。
针对央视的报道,360安全卫士官方微博发布360公司回应称,被曝光病毒是通过混入正常软件,然后提交安全认证实现“免杀”,360对此类行为已加强监管措施,会配合公安机关进行重拳打击,并承诺用户如因木马造成财产损失,360公司会进行现金赔偿。
360公司称:“3月23日晚间,央视《经济与法》栏目报道的事件,是一家名为‘厦门盛游网络科技有限公司’的员工,在接受犯罪分子贿赂后,把木马混入该公司旗下的‘801游戏客户端’提交给360软件安全认证平台实现免杀。对此类非法行为,我们已加强监管措施,遵循‘实名认证+技术检测+用户举报’的基本原则,通过多重审核、人工分析、定期回查等措施杜绝此类事件的再次发生。”
之前,在我印象里,“免杀”是病毒木马制造者为了躲避杀毒软件的查杀而采取的一种手段。那么,安全认证“免杀”是怎么一回事呢?
根据我平时的见闻,这种免杀可能是一种类似于“白名单”的模式,并非360一家独创,而是很多安全软件厂商都在做的一件事情。因为在一些软件下载站,我曾经多次见过“某某杀毒软件认证安全”的字样,这些杀毒软件不只是一家。一些网站,下面也有类似标注。很久以前,在搜索引擎进行搜索,一些网站链接后面也有类似的安全或不安全的标注。而在一个大型的知名安全软件论坛,我也见过一些软件开发者咨询某安全软件(不是360,是另外一家)“怎么进行软件安全认证”的问题。
为了得到更专业的解释,对“免杀”这个概念,我咨询了安全软件行业的某从业人员。
关于360的“认证免杀”,他是这样解释的:“这个认证是360为了避免误杀正规软件搞的,加入免杀认证以后,厂商上传的文件就会被360当作可信直接放过。”
应该说,这个目的的出发点是好的,是为了避免误杀。
那为什么会出现木马也被混入而“免杀”的问题呢?他认为:“正常流程应该是对软件进行严格安全审核后再加入白名单,360显然在审核方面出了问题,造成明显的木马也被直接加进了白名单。 ”
我知道,这个审核方面的问题,也就是厦门盛游网络科技有限公司员工“接受犯罪分子贿赂后”,“把木马混入该公司旗下的‘801游戏客户端’提交给360软件安全认证平台。”
很显然,这并非完全是360产品和技术的过错,而是人的问题,一种特殊的利益关系造成的特殊“内鬼”问题。
于是,对于“认证免杀”,我有些反感了。我就想,如果说免杀认证就像发了个通行证,央视曝光的犯罪人员属于“冒领”通行证,那会不会出现“盗领”通行证的现象发生呢?记得前段时间曾经出现过带有数字证书的木马。
对于我这个疑问,上述安全行业人士是这样回答我的:“这个不是通过证书,而是让厂商直接上传文件。 比如你用公司营业执照注册个账户,账户开通以后通过这个账户上传的文件直接免杀。”
“那这个经过免杀认证的文件得有一个特征吧?或者叫标识吧?”我问。
“很容易,机器自动提,甚至直接用文件的Hash值。”他回答我。
在对免杀认证有了一定认识后,我认为认证免杀的安全隐忧很大。我又有了疑问:“别有用心者,能通过修改这个文件、改造这个文件的手段让木马实现免杀吗?”
上述安全行业人士回答我:“这要看安全软件厂商具体是什么策略,如果是只判断MD5,现在有可以撞的办法,两个文件相同MD5就可以免杀。不过这种方法显然不如直接贿赂公司人员上传文件来得方便 。”“某些安全软件厂商官网写的是会有安全审核,但从实际看,应该是上传文件直接加白,这步可能是机器自动完成,没有人工参与。”显然,如果是机器自动完成“加白”的话,那浑水摸鱼就容易多了。
必须承认,360安全软件是出色的安全软件。当然,我也相信360今后会采取更为严格的准入措施来完善它的免杀制度。但是,这次免杀事件的发生却给我们提了一个醒儿,那就是:免杀易做,内鬼难防!依我看,软件行业的“免检产品”还是免了吧!
我曾经看过一位网友形容某产品的留言,大意是:“产品是好产品,技术是好技术,就是脑袋秀逗了。”诚如斯言,如果一个出于好意的认证过程,中间掺入与人相关的利益因素,就有可能会出现利益纠葛导致“变味”。
贿赂软件厂商员工,在软件免杀认证时“搭便车”,这是已经被验证过了的手段。或许,还有别的隐忧。我们应该记得这样一件事情,那就是2015年9月的苹果XCodeGhost特洛伊木马事件。开发工具被植入了恶意代码,那被开发的软件产品如何能幸免?假如这种手段被渗透到我们一些厂商的免杀认证模式中去,恐怕要比贿赂软件厂商员工的灾害大得多。
所以我认为,安全软件厂商应该对所有进行认证的软件进行不同方式的检测。甚至,安全软件厂商应该彻底放弃“认证免杀”这个概念,不给任何人留空子。这不是因噎废食,而是这个模式有着太多的漏洞。免检产品都不能让人彻底放心,更何况你这个免杀软件呢?
还是我前面那句话:免杀易做,内鬼难防——“免检”软件产品还是免了吧!
不过,还有一个大问题,在免费安全软件大行其道的今天,安全软件厂商舍得放弃这个业务吗?
作者:姜伯静 | 来源:iDoNews 专栏