当网络遭遇流氓
“我们在被流氓软件信息强奸”,《行业标准》杂志非常重视互联网时代的道德重建,但是这种“信息强奸”却已经形成了一股默认的全球网络商业规则。实际上,在目前全球的“流氓软件”背后,存在着一条完整的产业链。免费软件的开发者需要经费来维持开发的成本,于是往往允许“流氓软件”寄生在其开发的软件中,并收取一定费用。美国曾有一家180 Solutions公司,将间谍软件n-CASE与流行的免费软件捆绑,据称到2003年底就有2100万台电脑安装了这个在用户上网时能弹出相应广告的间谍软件。到2003年9月,被n-CASE引导到Dell.com的消费者就购买了近400万美元的戴尔电脑,180 Solutions获得超过10万美元的中介费,免费软件开发者也从中分得4万美元。
在这场因为“流氓软件”而引发的互联网风波之后,其实最令人担心的还是“流氓软件”何以泛滥。一位不愿意透露姓名的软件业内人士在采访中向记者倾诉道:“流氓软件的出现是一个悖论,首先互联网是一个技术日新月异的行业,不光主管部门的管理手段必然滞后,连很多概念也是在既成事实当中总结出来的。从商业秩序的角度来说,在这种资本原始积累的初级阶段,在网络淘金的利益面前,道德的底线其实很低,很可能谁的底子都不干净,大家都感到好人难做,不作恶就活不下去,因为你不做别人会做。而用户认识水平,维权意识低,法制不健全,都为‘流氓软件’的产生提供了机会。”
缺少道德约束的信息时代
对于“流氓软件”的痛恨,已经引起了有关部门的注意,国家计算机病毒应急处理中心主任张健就表示,网络警察和信息安全保护部门已经把对美国概念的“间谍软件”监测纳入对杀毒软件的检测标准之中。然而国内互联网上反“流氓软件”似乎仍然任重道远,从法规上似乎仍然对“流氓软件”束手无策,大量自认为不太需要品牌形象的小企业和个人,仍然难免不受杀鸡取卵的流氓做法诱惑。《垃圾时代》的作者乔姆斯早在1998年就已经预言到了,在他看来,未来“间谍软件”同病毒和垃圾邮件一样将长期存在。信息时代的道德约束在50年内似乎无法可循。
早在2004年3月初,美国犹他州就通过了《间谍软件控制法案》,禁止监视并发送用户信息、向第三方发送个人信息、安装未经许可就出现弹出式广告的软件。但广告软件公司WhenU以该法案威胁言论自由、非法阻碍公司业务为由提起上诉。该法案还禁止与用户访问的网站内容无关的广告显示工具,招致包括美国在线、eBay和微软等企业的“互联网联盟”的异议。不过WhenU主张自己不违法的首要依据,就是软件使用协议已经告知用户的数据将会用于广告目的,但长达20页的使用协议根本没有几个用户会耐心察看,这种延续自微软20世纪80年代的软件法律声名,本身就被认为是一种数字时代的文字游戏。难怪同年4月19日,联邦通信委员会的间谍软件研讨会从上午9点开到下午6点,仍然没有讨论出清楚的概念。
反间谍与双重间谍
面对道德约束的无力,越来越多的法律方式试图干涉这场隐秘的侵犯。从2005年开始正式生效的加州《保护消费者反间谍软件法》就已经规定:企业或网站必须声明是否会在用户的电脑中安装“间谍软件”,并禁止安装能控制他人电脑、搜集个人信息的“间谍软件”,非法安装者可能被处以巨额罚款,受害的消费者有权索赔1000美元。法律手段的核心是明确告知和保障用户的自由选择权,但“流氓软件”的标准并不是非黑即白,不同厂商有不同的鉴别方式,比较严谨的如美国赛门铁克(Symantec)公司采取的“风险影响模型”,就是综合能否让用户自由选择删除等多种行为因素来判定。有人认为,可以通过传送信息的最终结果是否带有恶意来判定,但是否有“恶意”只能通过人的智力和直觉来判断,计算机软件是很难区分的。目前美国“反间谍软件科技厂商公会”正试图建立一个标准定义,分清间谍软件、广告软件和病毒的区别,同时对不希望公司软件受到阻断的厂商提出最佳的建议。
现在,反“流氓软件”也遵循着反病毒模式:由第三方汇集大量用户的经验、知识和发现,以及新恶意软件的调查报告,维持一个经常更新的反恶意扫描工具,来检查任何用户系统,发现已知的恶意软件的迹象。真正的解决方法可能还是类似于垃圾邮件问题的最终解决。软件发行商将被列为“可信”、“不可信”或“未知”,操作系统对下载的软件先通过白名单、灰名单和黑名单过滤一遍,是否执行将通过软件每一部分的发行商加密验证来控制,这个过程可以在软件还未启动之前就进行,就像现在Windows XP的Service Pack 2一样。同时,借鉴电子邮件实时黑名单(RBL)方法,即一个已知恶意软件作者的名单,并不断更新。
当然,如果最终还是必须由用户决定是否信任和运行一个未签名的程序,不光繁琐,而且是“菜鸟”的噩梦,这在现在的某些防火墙软件中已经显现。另外还是有很多方法绕过这些测试,所以操作系统还需要安全加固。无论如何,对垃圾邮件的控制的确加强了邮件系统反病毒扩散的能力,反“流氓软件”能阻止大部分骚扰,也就很不错了。另一个难以处理的现象是“双重间谍”,有的软件打着删除间谍软件的名义,实际上本身就是间谍软件。对那些本身就靠广告软件获利的企业,它们加入反间谍联盟的重要目的之一,就是希望通过清晰的定义,把自己的软件划分到被清除的范围之外。