安全专家Billy的师傅对我说诺顿是因为自动分析系统被别人提交了系统文件导致的问题,还说“如果我每天构造一万个文件提交给它”,嗯,这确实是个麻烦事儿,一万个文件构造起来也怪费事啊,得用多少肉鸡来保证带宽和时间?
因为用户提交特征样本时可能系统已经出了这样那样的问题,所以让用户以受信任方式来提交,会有一定的难度,所以呢,使用肉鸡集中在某个时间提交的病毒样本可能超过自动分析系统的分析能力,那么紧急预案被启动,紧急预案可能使未经过完全验证的样本被加到特征库里,使某些曾经被病毒利用的系统文件被错误地当作病毒文件。
那么,诺顿为什么不弄一个最小运行的系统所需文件特征库呢?把操作系统每个版本运行的系统所需文件计算了摘要,被提交的特征样本先和这些系统文件进行对比,如果文件名和摘要都相符(不能光对比文件名,因为文件有可能已经被篡改),就直接被释放,如果不符,再进入下一流程。不过如果收到的样本文件太多,一样可能分析不完。
不止诺顿,卡巴斯基也曾“短暂怀疑”系统文件。也就是说,骗了诺顿的人也曾使用同样方法攻击卡巴斯基?如果所有的杀毒软件厂商都被这样攻击,那么预案启动越快的公司可能越倒霉呢。
其实这不就是溢出攻击么?
对于任何杀毒软件厂商来说,一定时间内的分析计算能力都是有限的,如果有人专门攻击杀毒软件的分析系统,诱导其出错,那么从此次诺顿事件上来看,也不是不可能。
杀毒软件厂商难道就束手无策了么?也不是吧,起码,每个特征库发行前先在本地运行一下,看有无问题再往外发行(不能是在虚拟机上运行,有的时候虚拟机没事但是普通系统会被杀垮),增加点人力的问题而已。
但是这种攻击方式可能会使杀毒软件厂商的正常病毒分析工作受影响,导致病毒被检出周期变长,病毒在网络上存活周期会延长,造成损失会比以前大很多。一个肉机在中国的租金一天才十块钱,三五十台肉机一天不过三五百块钱,租上一月也才几万,如果让某家杀毒软件厂商连续一个月病毒分析工作受影响,那对杀毒软件厂商的影响也是够厉害的。
或者,杀毒软件厂商弹性租用外部的计算能力,当收到的样本过多时,使用外部计算能力来解决?如果这样的话,攻击方和被攻击方就是拼钱了,看攻击方构造文件及租用肉机的钱多,还是被攻击方租用计算能力的钱多,而且这种方式攻击方和被攻击方是不对等的,被攻击方需要支付出去的金钱要多过攻击方(毕竟来说肉机租用是非法的,黑市,价钱不是正常情况下的成本价,远低于成本价)。
估计诺顿事一出,最近此类针对杀毒软件厂商的攻击会增加,杀毒软件用户在单位购买了多份杀毒软件的情况下,最好是每次升级特征库都先试其中一台有无问题,没问题了其他机器再升级。
另外,记得有款邮件防火墙的工作方式是使用虚拟机,邮件先到达虚拟机,如果没问题再被转发,这次诺顿事之后,估计能骗过虚拟机(不会导致虚拟机出事但是会造成系统崩溃)的病毒也该出来了,那间做虚拟机防火墙的也该注意了。
有个朋友曾经说,遇事要分析各方利益,一件事情谁是受益人?这次事情,谁是受益人呢?
表面上看,潘多拉的盒子打开,越是大厂商越倒霉,大厂商产品原本更受信任,病毒检出等效率被公众更严格要求,这种攻击方式导致病毒分析效率受影响,从而会使他们与小厂商口碑被拉近。
但是换个角度看,前面也说了,病毒分析能力被攻击实际上也是拼钱,大厂商更拼得起,而且有更多资源找到攻击方,如果攻击方不收手,被追究刑事责任的可能性也不是没有。
啊哦,难道是微软和英特尔为了多卖电脑?不对啊,这种情况下用户可能改选择wintel以外的平台呢!玩笑而已,请勿介意。
【标签】 |