• 关于我们 联系我们
当前位置:安全企业动态 → 正文

安全软件厂商应该彻底放弃“认证免杀”这个概念!

责任编辑:editor007 作者:姜伯静 |来源:企业网D1Net  2016-03-25 17:24:19 本文摘自:百度百家

  安全软件厂商应该彻底放弃“认证免杀”这个概念

几年前,免检产品出问题的新闻曾经屡次出现。最近,又发生了“免杀”事件。

近日,央视《经济与法》栏目曝光了木马病毒通过360认证,盗取支付宝账户信息一事。

针对央视的报道,360安全卫士官方微博发布360公司回应称,被曝光病毒是通过混入正常软件,然后提交安全认证实现“免杀”,360对此类行为已加强监管措施,会配合公安机关进行重拳打击,并承诺用户如因木马造成财产损失,360公司会进行现金赔偿。

360公司称:“3月23日晚间,央视《经济与法》栏目报道的事件,是一家名为‘厦门盛游网络科技有限公司’的员工,在接受犯罪分子贿赂后,把木马混入该公司旗下的‘801游戏客户端’提交给360软件安全认证平台实现免杀。对此类非法行为,我们已加强监管措施,遵循‘实名认证+技术检测+用户举报’的基本原则,通过多重审核、人工分析、定期回查等措施杜绝此类事件的再次发生。”

之前,在我印象里,“免杀”是病毒木马制造者为了躲避杀毒软件的查杀而采取的一种手段。那么,安全认证“免杀”是怎么一回事呢?

根据我平时的见闻,这种免杀可能是一种类似于“白名单”的模式,并非360一家独创,而是很多安全软件厂商都在做的一件事情。因为在一些软件下载站,我曾经多次见过“某某杀毒软件认证安全”的字样,这些杀毒软件不只是一家。一些网站,下面也有类似标注。很久以前,在搜索引擎进行搜索,一些网站链接后面也有类似的安全或不安全的标注。而在一个大型的知名安全软件论坛,我也见过一些软件开发者咨询某安全软件(不是360,是另外一家)“怎么进行软件安全认证”的问题。

为了得到更专业的解释,对“免杀”这个概念,我咨询了安全软件行业的某从业人员。

关于360的“认证免杀”,他是这样解释的:“这个认证是360为了避免误杀正规软件搞的,加入免杀认证以后,厂商上传的文件就会被360当作可信直接放过。”

应该说,这个目的的出发点是好的,是为了避免误杀。

那为什么会出现木马也被混入而“免杀”的问题呢?他认为:“正常流程应该是对软件进行严格安全审核后再加入白名单,360显然在审核方面出了问题,造成明显的木马也被直接加进了白名单。 ”

我知道,这个审核方面的问题,也就是厦门盛游网络科技有限公司员工“接受犯罪分子贿赂后”,“把木马混入该公司旗下的‘801游戏客户端’提交给360软件安全认证平台。”

很显然,这并非完全是360产品和技术的过错,而是人的问题,一种特殊的利益关系造成的特殊“内鬼”问题。

于是,对于“认证免杀”,我有些反感了。我就想,如果说免杀认证就像发了个通行证,央视曝光的犯罪人员属于“冒领”通行证,那会不会出现“盗领”通行证的现象发生呢?记得前段时间曾经出现过带有数字证书的木马。

对于我这个疑问,上述安全行业人士是这样回答我的:“这个不是通过证书,而是让厂商直接上传文件。 比如你用公司营业执照注册个账户,账户开通以后通过这个账户上传的文件直接免杀。”

“那这个经过免杀认证的文件得有一个特征吧?或者叫标识吧?”我问。

“很容易,机器自动提,甚至直接用文件的Hash值。”他回答我。

在对免杀认证有了一定认识后,我认为认证免杀的安全隐忧很大。我又有了疑问:“别有用心者,能通过修改这个文件、改造这个文件的手段让木马实现免杀吗?”

上述安全行业人士回答我:“这要看安全软件厂商具体是什么策略,如果是只判断MD5,现在有可以撞的办法,两个文件相同MD5就可以免杀。不过这种方法显然不如直接贿赂公司人员上传文件来得方便 。”“某些安全软件厂商官网写的是会有安全审核,但从实际看,应该是上传文件直接加白,这步可能是机器自动完成,没有人工参与。”显然,如果是机器自动完成“加白”的话,那浑水摸鱼就容易多了。

必须承认,360安全软件是出色的安全软件。当然,我也相信360今后会采取更为严格的准入措施来完善它的免杀制度。但是,这次免杀事件的发生却给我们提了一个醒儿,那就是:免杀易做,内鬼难防!依我看,软件行业的“免检产品”还是免了吧!

我曾经看过一位网友形容某产品的留言,大意是:“产品是好产品,技术是好技术,就是脑袋秀逗了。”诚如斯言,如果一个出于好意的认证过程,中间掺入与人相关的利益因素,就有可能会出现利益纠葛导致“变味”。

贿赂软件厂商员工,在软件免杀认证时“搭便车”,这是已经被验证过了的手段。或许,还有别的隐忧。我们应该记得这样一件事情,那就是2015年9月的苹果XCodeGhost特洛伊木马事件。开发工具被植入了恶意代码,那被开发的软件产品如何能幸免?假如这种手段被渗透到我们一些厂商的免杀认证模式中去,恐怕要比贿赂软件厂商员工的灾害大得多。

所以我认为,安全软件厂商应该对所有进行认证的软件进行不同方式的检测。甚至,安全软件厂商应该彻底放弃“认证免杀”这个概念,不给任何人留空子。这不是因噎废食,而是这个模式有着太多的漏洞。免检产品都不能让人彻底放心,更何况你这个免杀软件呢?

还是我前面那句话:免杀易做,内鬼难防——“免检”软件产品还是免了吧!

不过,还有一个大问题,在免费安全软件大行其道的今天,安全软件厂商舍得放弃这个业务吗?

关键字:安全软件游戏客户端

本文摘自:百度百家

x 安全软件厂商应该彻底放弃“认证免杀”这个概念! 扫一扫
分享本文到朋友圈
当前位置:安全企业动态 → 正文

安全软件厂商应该彻底放弃“认证免杀”这个概念!

责任编辑:editor007 作者:姜伯静 |来源:企业网D1Net  2016-03-25 17:24:19 本文摘自:百度百家

  安全软件厂商应该彻底放弃“认证免杀”这个概念

几年前,免检产品出问题的新闻曾经屡次出现。最近,又发生了“免杀”事件。

近日,央视《经济与法》栏目曝光了木马病毒通过360认证,盗取支付宝账户信息一事。

针对央视的报道,360安全卫士官方微博发布360公司回应称,被曝光病毒是通过混入正常软件,然后提交安全认证实现“免杀”,360对此类行为已加强监管措施,会配合公安机关进行重拳打击,并承诺用户如因木马造成财产损失,360公司会进行现金赔偿。

360公司称:“3月23日晚间,央视《经济与法》栏目报道的事件,是一家名为‘厦门盛游网络科技有限公司’的员工,在接受犯罪分子贿赂后,把木马混入该公司旗下的‘801游戏客户端’提交给360软件安全认证平台实现免杀。对此类非法行为,我们已加强监管措施,遵循‘实名认证+技术检测+用户举报’的基本原则,通过多重审核、人工分析、定期回查等措施杜绝此类事件的再次发生。”

之前,在我印象里,“免杀”是病毒木马制造者为了躲避杀毒软件的查杀而采取的一种手段。那么,安全认证“免杀”是怎么一回事呢?

根据我平时的见闻,这种免杀可能是一种类似于“白名单”的模式,并非360一家独创,而是很多安全软件厂商都在做的一件事情。因为在一些软件下载站,我曾经多次见过“某某杀毒软件认证安全”的字样,这些杀毒软件不只是一家。一些网站,下面也有类似标注。很久以前,在搜索引擎进行搜索,一些网站链接后面也有类似的安全或不安全的标注。而在一个大型的知名安全软件论坛,我也见过一些软件开发者咨询某安全软件(不是360,是另外一家)“怎么进行软件安全认证”的问题。

为了得到更专业的解释,对“免杀”这个概念,我咨询了安全软件行业的某从业人员。

关于360的“认证免杀”,他是这样解释的:“这个认证是360为了避免误杀正规软件搞的,加入免杀认证以后,厂商上传的文件就会被360当作可信直接放过。”

应该说,这个目的的出发点是好的,是为了避免误杀。

那为什么会出现木马也被混入而“免杀”的问题呢?他认为:“正常流程应该是对软件进行严格安全审核后再加入白名单,360显然在审核方面出了问题,造成明显的木马也被直接加进了白名单。 ”

我知道,这个审核方面的问题,也就是厦门盛游网络科技有限公司员工“接受犯罪分子贿赂后”,“把木马混入该公司旗下的‘801游戏客户端’提交给360软件安全认证平台。”

很显然,这并非完全是360产品和技术的过错,而是人的问题,一种特殊的利益关系造成的特殊“内鬼”问题。

于是,对于“认证免杀”,我有些反感了。我就想,如果说免杀认证就像发了个通行证,央视曝光的犯罪人员属于“冒领”通行证,那会不会出现“盗领”通行证的现象发生呢?记得前段时间曾经出现过带有数字证书的木马。

对于我这个疑问,上述安全行业人士是这样回答我的:“这个不是通过证书,而是让厂商直接上传文件。 比如你用公司营业执照注册个账户,账户开通以后通过这个账户上传的文件直接免杀。”

“那这个经过免杀认证的文件得有一个特征吧?或者叫标识吧?”我问。

“很容易,机器自动提,甚至直接用文件的Hash值。”他回答我。

在对免杀认证有了一定认识后,我认为认证免杀的安全隐忧很大。我又有了疑问:“别有用心者,能通过修改这个文件、改造这个文件的手段让木马实现免杀吗?”

上述安全行业人士回答我:“这要看安全软件厂商具体是什么策略,如果是只判断MD5,现在有可以撞的办法,两个文件相同MD5就可以免杀。不过这种方法显然不如直接贿赂公司人员上传文件来得方便 。”“某些安全软件厂商官网写的是会有安全审核,但从实际看,应该是上传文件直接加白,这步可能是机器自动完成,没有人工参与。”显然,如果是机器自动完成“加白”的话,那浑水摸鱼就容易多了。

必须承认,360安全软件是出色的安全软件。当然,我也相信360今后会采取更为严格的准入措施来完善它的免杀制度。但是,这次免杀事件的发生却给我们提了一个醒儿,那就是:免杀易做,内鬼难防!依我看,软件行业的“免检产品”还是免了吧!

我曾经看过一位网友形容某产品的留言,大意是:“产品是好产品,技术是好技术,就是脑袋秀逗了。”诚如斯言,如果一个出于好意的认证过程,中间掺入与人相关的利益因素,就有可能会出现利益纠葛导致“变味”。

贿赂软件厂商员工,在软件免杀认证时“搭便车”,这是已经被验证过了的手段。或许,还有别的隐忧。我们应该记得这样一件事情,那就是2015年9月的苹果XCodeGhost特洛伊木马事件。开发工具被植入了恶意代码,那被开发的软件产品如何能幸免?假如这种手段被渗透到我们一些厂商的免杀认证模式中去,恐怕要比贿赂软件厂商员工的灾害大得多。

所以我认为,安全软件厂商应该对所有进行认证的软件进行不同方式的检测。甚至,安全软件厂商应该彻底放弃“认证免杀”这个概念,不给任何人留空子。这不是因噎废食,而是这个模式有着太多的漏洞。免检产品都不能让人彻底放心,更何况你这个免杀软件呢?

还是我前面那句话:免杀易做,内鬼难防——“免检”软件产品还是免了吧!

不过,还有一个大问题,在免费安全软件大行其道的今天,安全软件厂商舍得放弃这个业务吗?

关键字:安全软件游戏客户端

本文摘自:百度百家

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^