2009年03月《安全天下事之希望与忧伤》

希望与忧伤

 

（2009年03月）文/江海客

 

      新年伊始，无论是安全厂商抑或是躲在暗处的黑客们都没能松懈，伴随着利用MS08-067漏洞大肆传播的Confickr蠕虫不断的升级控制指令，并伪造随机域名进行多重验证以混淆真实的控制端指令下达地址，对抗这一蠕虫病毒也不再是法国空军、法国海军、微软单独的事情了。当中国、美国的部分互联网管理机构以及研究人员通过与运营商的协作尽可能切断升级控制指令这一蠕虫的控制链条时，威胁才趋于缓和。值得一提的是微软相当高调的为该蠕虫作者给出了25万美金的赏格以捕获该病毒作者，这个悬红，是“冲击波”（Blaster）和“好大”（Sobig） 两个蠕虫的总和。有趣的是，我回想起冲击波的作者Jeffrey Lee Parson伏法后，被法院判向微软赔偿50万美元。就在有人说微软的悬红乃是羊毛出在羊身上，但微软主动要求免除了这笔罚款，颇有些捉放曹的味道。此番悬红是否依然会重赏之下必有勇夫，还要拭目以待。
      值得一提的是，就Confickr蠕虫病毒本身而言，其首次发现于2008年11月，其感染计算机数量保守估计超过1000万台。奇怪的是其感染并传播后并不进行任何恶意行为。换而言之，潜伏于过千万终端上的Confickr蠕虫病毒似乎在等待什么。迄今为止，研究组织和安全厂商仍未能明确获悉该蠕虫病毒究竟在等待什么。值得庆幸，研究发现该蠕虫病毒媒体随机产生250个域名，如：asdfdsf.info；然后通过访问此域名以寻求新的控制指令、验证加密签名等方式来酝酿新的攻击浪潮。
      从整个过程来看，其长时间的潜伏特性，使此类蠕虫病毒更具有隐蔽性，多样化的远程控制手段则给了攻击者足够的时间来选择攻击目标以及攻击方式，这就为反恶意代码厂商提出了更为严峻的挑战。
      无论是微软的补丁、赏格抑或是安全厂商的亦步亦趋，都无法抢在攻击者之前解决这一问题，最终该问题的抑制则来自于ICANN、Verisign、NeuStar、CNNIC、Afilias、Public Internet Registry以及AOL、Symantec、Arbor Networks等十余家相关职能机构以及安全研究组织的通力合作。由此证明，面对世界性的恶意代码威胁狂潮，只有从各国政府和执法机构、反病毒厂商、应急相应组织乃至最终用户协作方能有效的遏制威胁的进一步扩散及升级。
      行文至此，本该是看到日出京华之时，看到窗外确是雨雪霏霏，之后一个小时接连有3拨记者电话打入均询问作为一个反病毒业界人士对瑞星和微点事件的看法。我都没有回答，作为从业者，行者不言应该是一个基本信条，至于恩怨纠葛、是非曲直还是让当事者们去一吐胸中块垒吧。但作为一名职业安全工作者，我深深地感到中国反病毒产业将遭遇一次深度的全面危机，这就是我们濒临彻底失去公众的和信任。过去的年代里，反病毒从业者们最坚决的反击了所有恶意代码的挑战，每一种样本在捕获后都最终被解决，这个行业在与技术敌人斗争中变得强大，但却可能因内耗而衰微崩盘，如果如此，那正是做到了多年以来，地下的对手军团期望而做不到的事情。抛开市场份额的争斗、剥掉商业竞争的浮云，哪一个中国反病毒企业的深夜，我们看到不是在调试中紧缩的眉头，如飞而坚定的雕琢代码的手指和充满血丝而倦怠的双眼。想象一下我们面对着怎样的挑战吧，中国恶意代码作者和加工者数以万计，而职业反病毒研发工程师不过区区数百人。在这场不对称的战争中，对反病毒研发企业来说，无论团队的大小、无论能力的高低，安全工程师们期望为用户解决问题、期望打造一个安全的信息世界的信念并无本质的不同。正是这些人，正是这寥寥几家公司，守卫着中国的信息长城，也守卫着中国通用软件领域的最后一块阵地。“业内的事留在业内，臭在业内吧”，对这数百名工程师来说，别无选择，那就是面对无端的质疑，依然要无悔的坚持。