以网络速度传播病毒
来源:ZDNET 时间:2002-06-01 11:06:00
通过因特网散布病毒……这还是留给新产生的自动更新系统去做吧。这是批评家对于两个反病毒软件供应商自动传送
更新的病毒码到桌面PC计划的评论。
这两个系统是由Symantec运作的IBM公司的.数字免疫系统,以及Network Associates的 Rumor。他们将在发现病毒后
更新几十万台PC。几年后,这个数字的单位将会是百万。
但是这种自动更新的反病毒软件会是包治百病的灵药吗?安全顾问Fred Cohen指出一个单个的错误就能把从对系统有
用转为有害,“如果更新的程序出错,你实质上正在把(恶意的代码)当作合法的更新传送给每个人。”
那不是不可能。星期三,俄克拉何马的一个煤矿和自然资源企业报告说McAfee.com 公司的更新程序使公司250台机器
当天大部分时候不能工作。在10月初,Symantec的Norton Anti-Virus与Network ICE公司的BlackICE防火墙发生冲突,把
防火墙关掉了,让系统毫无防备。McAfee和Symantec不是唯一的例子。几乎每个反病毒制造商在过去都犯过此类的错误。
一家据说在10月份没能检测出QAZ Trojan。另外一家在其病毒表上遗漏了若干老的病毒码,导致被认为十年前已经死亡的
病毒又再度肆虐,横扫了全球的计算机。新技术使一个孤立的事件成为世界范围的问题。
今天,程序和病毒码的更新在网上是上传到服务器,在那里等待顾客下载。有的时候,这个过程是自动完成的,但是
一个好的系统管理员将测试更新的程序。反病毒行业的观察家Rob Rosenberger 说:“在一个大的组织里面,你需要知道
更新的程序是否能在PC上工作。”
然而许多公司要求加快发放病毒更新的过程。“在他们的脑中,快一点就是好一点,”Rosenberger 说。不过这是可
以理解的。在美丽莎爆发的时候,反病毒软件制造商大多数在12个小时以内做出了反应。然而对于惊慌的顾客来说这还够
快。Network Associates属下的MyCIO.com的首席技术官Victor Kouznetsov说,在Mcafee的网站上的单一访客的数字一天
内从350000的一般水平猛增到8百万以上。“编写病毒的人总是领先一步,”他说,“我们需要一个系统帮助……他们。”
数字免疫系统和Rumor是反病毒行业对于美丽莎和情书等突然爆发的病毒的解决方案。数字免疫系统模拟了人体对于疾
病的反应,把解决方案推给顾客。Rumor是上星期由MyCIO.com发布的,它使用更贴近社会的类比——在朋友之间传播谣言
——使用的是目前最流行的对等网的方法传播病毒码。这两个系统都会加快传送病毒码的速度。减少PC不安全的时间。然
而,如果一个错误进入了病毒码或更改了代码——或者如果软件与其他的应用程序冲突——这意味着公司和反病毒公司没
多少时间做出反应了。
星期三早上,一个煤矿和自然资源企业的系统管理员说到了大量的电话,每人都抱怨他的或她的计算机不能启动。到
了中午,办公室的250台计算机都没法使用了,占公司的80%。系统管理员最终发现了原因:McAfee的最近的更新程序和公
司自己的软件产生了冲突,导致了混乱的产生。“我们昨晚工作到很晚,”他说,“我们不得不手工地上删除反病毒软件。
”Rosenberger在与一个大公司做咨询的时候,也发现了安装的软件和反病毒扫描功能存在着冲突。
如果在客户端没有做测试,一个自动系统的会给你带来麻烦。这样的问题不是异想天开。在70年代,两位研究人
John Shoch和Jon Hupp写了一篇使用蠕虫进行网络维护和分布式计算的论文。“我们不把(我们的网络)看作100台独立的机
器,”他们写到,“我们把它们当作100个处理器,寻找运行的程序。”他们运行的程序可以根据需要自动在整个系统散布
,这正是蠕虫的属性之一,类似与今天的自动更新系统。在Shoch和Hupp的情况中,监测的缺乏产生了问题。蠕虫快速的装
载它的程序,程序一旦启动立即垮掉,并且仍然在寻找新的(计算机)。最后的结果是所有的机器全部死掉。
对于那个煤矿企业来说,一个失误意味着250台计算机失灵;对于Shoch和Hupp,这个数目是100。而对于把反病毒公司
连结到所有顾客的系统来说,结果可能会影响到10万台机器。因此,公司仍然在继续测试,不急于转变到新系统。
Symantec将仅仅在媒介向大企业发布数字免疫系统,它们的专业人员能监控整个进程。Symantec的反病毒研究中心的主任
Vincent Weafer说,暂时消费者不能使用系统。“我们必须保证基础结构是安全的。”公司将增加一个自动的恢复功能。
MyCIO的Kouznetsov同意安全措施要恰到好处。必须考虑怎么保证人们不滥用系统。而且不能破坏人们对公司的信任。