唐威:瑞星云安全在合作伙伴中的應用
2009-08-27 07:51:12圖:瑞星安全工程師唐威
唐威:大家下午好!首先做一個自我介紹,我是瑞星公司的唐威。今天很高興跟在座各位朋友,各位互聯網的精英們一起討論一下關于如何打造一個
相關專題:共建可信任的互聯網 2008瑞星互聯網安全技術大會
圖:瑞星安全工程師唐威
唐威:大家下午好!首先做一個自我介紹,我是瑞星公司的唐威。今天很高興跟在座各位朋友,各位互聯網的精英們一起討論一下關于如何打造一個可信任的互聯網問題。為什么今天把大家都請過來?大家聽了上午的會應該都有所了解,所有的安全問題都是和我們每個人息息相關的。我們都共同維護互聯網安全,同時也有義務打造一個可信任的互聯網。今天我演講的內容分為兩部分,第一,目前所有的互聯網基礎應用都存在哪些問題,以及這些問題會給我們帶來什么樣的嚴重后果;第二部分,就是如何去解決這些威脅問題,一起打造一個可信任的互聯網環境。在這部分中,我將著重介紹三點,一是我們瑞星擁有的技術和一些安全成果;第二是如何利用“云安全”和木馬及時查殺技術讓所有用戶可以享受到“云安全”帶來的成果。最后一點,就是希望攜手合作伙伴一起打造一個可信任的互聯網,使我們的整個互聯網變成一個巨大的安全網絡。
首先我們看一下2008我們面臨的困難是什么,根據瑞星公司的統計,從2008年1月到10月,我們截獲的量是930萬,比如從2008年8月到9月,我們所截獲的病毒樣本量比之前幾年截獲的數量要多數倍。這么多病毒,其中木馬病毒占了總體的64%,后門病毒占了總體的20%,而這些病毒一般情況下都是具有木馬、后門等綜合的病毒特征。如果這樣加起來,這些病毒占了整體的84%左右。這些病毒有90%以上是通過網頁掛馬方式傳播的,這里指的網頁掛馬不僅僅是指用戶在瀏覽網絡時遇到的,它涉及的用戶應用是非常多的。幾乎目前所有的互聯網應用都有可能成為網頁掛馬傳播的途徑。
是這樣的,有90%的病毒是通過網頁掛馬方式傳播的。這些病毒是如何通過網頁掛馬傳播的?目前互聯網上大量的漏洞是一個因素。我們看一張表,這是我們瑞星實驗室工程師總結出來的利用漏洞的一個比例,首先在今年排名第一位的是Adobe的Flash Player,占了18%。還有RealPlayer等等,還有一些Windows漏洞。通過這些漏洞,我們看到了這些漏洞都涉及到我們日常互聯網應用的方方面面。
下面我們再來看一下漏洞的情況。這張圖解釋了一下,微軟操作系統和Office漏洞占了35%,還有常有應用軟件漏洞占了63%。這些病毒首先有兩類,我們在2008年截獲230個病毒。還有一個是無處不在的網頁掛馬。
下面通過一個表格我們看一下人們在上網中都有哪些具體的應用,以及這些應用能夠給我們帶來什么樣的安全威脅。首先我們看一下最基本的東西,就是搜索和瀏覽網頁,這是一般用戶最常用的一個操作。搜索和瀏覽網頁面對的威脅有兩個。第一是網頁掛馬,第二就是釣魚網站的問題。
其實我們可以從另外一個角度來看,這兩類也表示了一個問題,都是跟網頁相關的。比如用戶從網上查找資源的時候,通常會搜一些關健詞。如果他搜索出來的這個網頁被掛馬之后,用戶點擊之后肯定是病毒。
第二,就是即時通訊,即時通訊里所有的問題都占了,比如網頁掛馬問題。它為什么會有網絡掛馬問題呢?因為很多病毒感染即時通訊軟件之后會向好友發送信息,這些信息里面往往含有惡意的網址,如果用戶點擊之后馬上會中病毒。還有一個是帳號密碼安全問題,容易被目前的木馬病毒所盜取信息。
第三,是文件安全問題。我通過這種方式跟好友傳輸文件的時候,如果我沒有殺毒或者本身軟件沒有殺毒功能的時候,仍然會中病毒。
第三類就是下載工具,下載工具同樣會碰到網頁掛馬。通過下載工具我們去下載東西,有很多掛馬不簡單是用網站來掛的,它修改MP3文件、修改Flash文件,使他們成為一種異型文件,當用戶去下載的時候肯定會中病毒。
還有一個是通過電子郵箱,以前用的電子郵箱都是對方發來的附件有病毒,用戶下載附件之后就會中病毒。但是目前通過電子郵件方式傳播病毒的方式少了。
下面我們來看一下網上交易還有網游的威脅。這種威脅本身是軟件密碼容易被木馬病毒所盜取。幾乎我們所能看到的所有互聯網應用同時面臨網頁掛馬的問題。如果這個軟件本身存在這種問題,就會存在盜號的問題。這是我們目前互聯網應用所面臨的一些威脅。
我們把這些威脅分為兩大類,一個是網站掛馬,用戶進入釣魚網站之后肯定會中毒,這樣首先會導致系統異常或者文件丟失,甚至導致他的個人密碼外泄。第二類問題就是木馬病毒對軟件本身的威脅。這些威脅對于網民來說有什么樣的意義?第一,導致我們互聯網自主應用軟件自身被攻擊,比如他們盜取了我們網上銀行的密碼,盜取我們游戲的密碼。這都是對軟件本身的攻擊。第二,病毒會利用我們這些軟件來傳播病毒。比如我通過搜索找一個資源卻進入了一個釣魚網站或者掛馬網站。第三,是二者都具備。
我想談一下,如果這些威脅不解決,用戶會很生氣,后果將很嚴重。首先,它直接影響了用戶的正常使用,而且還會使用戶的經濟利益受損,進而影響了我們的產品口碑甚至是公司的品牌形象問題。如果所有的互聯網基礎應用都存在威脅問題,人們將不再信任互聯網,進而影響到我們整個互聯網行業的健康發展。
我剛才談了很多,有我們在2008年面臨的困境問題,有我們的互聯網基礎應用存在的威脅問題,我們應該如何解決問題呢?首先我想談幾個技術,“云安全”技術。第一,我們利用智能化網絡代碼行為分析和判斷。智能化的網頁代碼行為分析和判斷技術,能夠對目前基本上所有的主流網絡代碼進行判斷。目前主流的網絡代碼都是通過加密和變形的,你再用傳統的方式對于現在的網頁代碼基本上是無能為力的。我們通過這項技術可以很好地解決這個問題。第二,是我們通過連接到互聯網上的一個結點技術。舉一個例子,2008月11月3日這一天我們共截獲了掛馬網址去同以后是2萬多條。上午王總也說了,十多天我們大約截獲了十萬左右的掛馬網址。
我們通過這么多的掛馬網址上報不僅得到的是掛馬網址,通過剛才這些惡意網址我們獲取到了互聯網黑客更新病毒的數據庫,我們不斷有互聯網去監測這些掛馬網站,如果它第一時間有活動,我們會跟蹤相關的結果,同時把這些結果發給用戶。
瑞星“云安全”瞬時的優勢,第一是我們擁有千萬的客戶端,能夠覆蓋整個互聯網的各個角落。第二,我們的惡意網址庫是通過互聯網進行及時更新的,具體體現在兩點。第一,當網上有一個新的掛馬網站后,我們會在第一時間把這個掛馬網址添加到我們的惡意網址庫。第二,有的網站一旦解決了本身被掛馬的問題,我們同樣會在第一時間進行更新,對它進行維護。而所有這一切都是通過我們的“云安全”瞬時來完成的。
第二,借助木馬查殺技術保障網站的安全,同時也為用戶提供了一個安全的電腦使用環境。我們憑借瑞星多年的反病毒技術以及“云安全”所截獲的巨大的病毒樣本量,能夠解決盜號木馬對軟件本身的盜號行為;另外,可以及時防御和查殺這些病毒。我們應用靈活的方式去解決,這部分我會在下面做一個更深層次的解釋。第三,就是強大的互聯網威脅感知能力。我們有了這么多客戶端,我們能夠獲得什么?我們能夠在最短時間內發現、截獲處理這些海量的病毒和掛馬網址。
最后,我們把這些問題分析處理以后,能夠將解決方案瞬時地送達到所有的用戶和我們合作伙伴手中,提前防范新生的威脅,讓每個用戶可以享受到“云安全”給我們帶來的安全成果。
下面,我請大家冷靜思考一下,雖然我剛才談到這么多威脅,雖然我剛才談到了我們瑞星擁有的技術和我們已經擁有的這些成果,有了這些技術和成果我們就一定能解決這些威脅嗎?僅憑瑞星一家就可以把互聯網改善成一個安全可靠的互聯網嗎?答案是否定的。我們希望攜手各位合作伙伴共同打造一個安全可信任的互聯網,使我們的互聯網變成一個最大、最安全的互聯網軟件。
下面我們看一下,為了保障我們互聯網能夠健康的發展,同時也為了讓廣大網民放心地使用互聯網,我們應該攜手打造這樣一個可信任的互聯網。首先,我們來看一下,提高互聯網技術的安全性,使得所有互聯網技術都有安全保障,這樣我們搜索、瀏覽、即時通訊、網絡游戲、電子商務這些最常用的應用都得到了安全保障。第二,就是切斷病毒通過我們上述這些互聯網應用進行傳播的渠道。如果這兩點我們都能做到,我想讓大家想象一下病毒還有什么能力進行傳播?有什么能力進行攻擊?在這時候我們的軟件就變成了一個巨大的安全軟件。
下面我們談一下具體的解決方式。第一,我們談一下掛馬軟件問題。利用瑞星的網址庫,我們采用多種方式相結合的手法,降低用戶通過網頁掛馬感染病毒的機率。舉個例子,比如我們可以把我們的惡意網址庫分享給搜索引擎,分享給瀏覽器軟件,讓他們去添加一些惡意網址過濾的功能。通過這些掛馬網址讓用戶減少訪問到這些掛馬網址的機率。
下面我舉一個具體的案例,掛馬軟件如何利用搜索引擎SEO技術進行病毒傳播以及我們瑞星的解決方案。首先看一下,一般的病毒制造者,或者我們叫“黑客”,它去進行網頁掛馬的時候一般有三種方式,第一個最簡單也是比較常用的方式就是我直接將一個網站黑掉。第二種方式是通過ARP欺騙的方式,我使整個網站里面所有的用戶訪問到被ARP侵入植入的掛馬網站,這樣讓很多用戶同時中毒。第三,黑客利用 SEO技術進行傳播。它通過搜索一些木馬去提高釣魚網站的點擊率,或者利用關健詞這種技術逐漸提高它在搜索引擎中的排名,使得它的排名不斷向上升。如果它升到一個很高位置的時候,就會有越來越多的人去訪問到這個掛馬網站。這是一點。SEO這個過程像“云安全”一樣,“云安全”技術是瞬時完成的。而SEO往往需要一個過程,如果用戶訪問到惡意網址后,用戶會把這些信息上傳到我們瑞星威脅中心,我們可以把它理解成釣魚網址庫。我們用戶把瑞星網址庫這個信息分享給我們的合作伙伴,讓他們可以直接屏蔽掉這個掛馬網站或者逐步降低它的排名,使用戶可以更少地點擊這些掛馬網站的機率。
第二,我們講一下如何利用瑞星技術來解決木馬盜號的問題。首先,這項技術是獨立于整體功能的單獨模塊,但是它跟殺毒軟件享受的是一樣的病毒庫。第二,它的主要功能包括幾點,第一是擁有最新的病毒庫,第二對可行性文件進行跟蹤。第三,對盜號密碼進行查殺。第四,如果我的系統中存在可疑文件,當時沒有方法對它進行準備的判斷,但是后續可以做。第四,通過這個技術可以進行快速的病毒掃描和查殺。我們瑞星了解病毒,我們知道這個盜號木馬病毒感染系統以后存在于電腦的什么位置,我們把這些經驗總結起來建立了一個木馬即時查殺功能。當我打開一個用戶軟件的時候,他采用這樣的技術,他首先會對目前內存中執行的程序,比如說我的注冊表啟動、比如我的驅動、我的服務,我會對病毒感染最多的位置進行掃描,這樣可以提高我們的掃描速度。第四,是可行性文件的上報。第五,是定向積累病毒庫。比如我跟一個網頁游戲進行合作,通過一段時間的積累,我們發現有一萬個病毒是專門針對這個網絡游戲的,我們研發工程師可以把這一萬個病毒單提出來,以及它的病毒特征我們也會提取出來,我們會重新開發一個針對這個網絡游戲的專殺工具。
最后,我們每天都會對木馬即時查殺這個功能模塊進行及時更新。下面我們通過這張圖再來清楚地看一下,首先淡藍色左邊是我們的用戶電腦操作系統,當用戶電腦裝了這樣的聊天系統、網絡游戲和下載軟件,這些軟件如果都使用木馬即時查殺技術,如果有病毒入侵到系統以后,因為所有這些軟件都具有了這樣安全保障的時候,我們同樣可以對這些病毒進行防范、抵御、查殺。
談了威脅,談了解決方案。我們的目標很簡單,就是攜手在座各位合作伙伴共同打造一個可信任的互聯網,使我們的互聯網變成一個巨大的安全環境。謝謝大家!