精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全企業動態 → 正文

安全軟件廠商應該徹底放棄“認證免殺”這個概念!

責任編輯:editor007 作者:姜伯靜 |來源:企業網D1Net  2016-03-25 17:24:19 本文摘自:百度百家

  安全軟件廠商應該徹底放棄“認證免殺”這個概念

幾年前,免檢產品出問題的新聞曾經屢次出現。最近,又發生了“免殺”事件。

近日,央視《經濟與法》欄目曝光了木馬病毒通過360認證,盜取支付寶賬戶信息一事。

針對央視的報道,360安全衛士官方微博發布360公司回應稱,被曝光病毒是通過混入正常軟件,然后提交安全認證實現“免殺”,360對此類行為已加強監管措施,會配合公安機關進行重拳打擊,并承諾用戶如因木馬造成財產損失,360公司會進行現金賠償。

360公司稱:“3月23日晚間,央視《經濟與法》欄目報道的事件,是一家名為‘廈門盛游網絡科技有限公司’的員工,在接受犯罪分子賄賂后,把木馬混入該公司旗下的‘801游戲客戶端’提交給360軟件安全認證平臺實現免殺。對此類非法行為,我們已加強監管措施,遵循‘實名認證+技術檢測+用戶舉報’的基本原則,通過多重審核、人工分析、定期回查等措施杜絕此類事件的再次發生。”

之前,在我印象里,“免殺”是病毒木馬制造者為了躲避殺毒軟件的查殺而采取的一種手段。那么,安全認證“免殺”是怎么一回事呢?

根據我平時的見聞,這種免殺可能是一種類似于“白名單”的模式,并非360一家獨創,而是很多安全軟件廠商都在做的一件事情。因為在一些軟件下載站,我曾經多次見過“某某殺毒軟件認證安全”的字樣,這些殺毒軟件不只是一家。一些網站,下面也有類似標注。很久以前,在搜索引擎進行搜索,一些網站鏈接后面也有類似的安全或不安全的標注。而在一個大型的知名安全軟件論壇,我也見過一些軟件開發者咨詢某安全軟件(不是360,是另外一家)“怎么進行軟件安全認證”的問題。

為了得到更專業的解釋,對“免殺”這個概念,我咨詢了安全軟件行業的某從業人員。

關于360的“認證免殺”,他是這樣解釋的:“這個認證是360為了避免誤殺正規軟件搞的,加入免殺認證以后,廠商上傳的文件就會被360當作可信直接放過。”

應該說,這個目的的出發點是好的,是為了避免誤殺。

那為什么會出現木馬也被混入而“免殺”的問題呢?他認為:“正常流程應該是對軟件進行嚴格安全審核后再加入白名單,360顯然在審核方面出了問題,造成明顯的木馬也被直接加進了白名單。 ”

我知道,這個審核方面的問題,也就是廈門盛游網絡科技有限公司員工“接受犯罪分子賄賂后”,“把木馬混入該公司旗下的‘801游戲客戶端’提交給360軟件安全認證平臺。”

很顯然,這并非完全是360產品和技術的過錯,而是人的問題,一種特殊的利益關系造成的特殊“內鬼”問題。

于是,對于“認證免殺”,我有些反感了。我就想,如果說免殺認證就像發了個通行證,央視曝光的犯罪人員屬于“冒領”通行證,那會不會出現“盜領”通行證的現象發生呢?記得前段時間曾經出現過帶有數字證書的木馬。

對于我這個疑問,上述安全行業人士是這樣回答我的:“這個不是通過證書,而是讓廠商直接上傳文件。 比如你用公司營業執照注冊個賬戶,賬戶開通以后通過這個賬戶上傳的文件直接免殺。”

“那這個經過免殺認證的文件得有一個特征吧?或者叫標識吧?”我問。

“很容易,機器自動提,甚至直接用文件的Hash值。”他回答我。

在對免殺認證有了一定認識后,我認為認證免殺的安全隱憂很大。我又有了疑問:“別有用心者,能通過修改這個文件、改造這個文件的手段讓木馬實現免殺嗎?”

上述安全行業人士回答我:“這要看安全軟件廠商具體是什么策略,如果是只判斷MD5,現在有可以撞的辦法,兩個文件相同MD5就可以免殺。不過這種方法顯然不如直接賄賂公司人員上傳文件來得方便 。”“某些安全軟件廠商官網寫的是會有安全審核,但從實際看,應該是上傳文件直接加白,這步可能是機器自動完成,沒有人工參與。”顯然,如果是機器自動完成“加白”的話,那渾水摸魚就容易多了。

必須承認,360安全軟件是出色的安全軟件。當然,我也相信360今后會采取更為嚴格的準入措施來完善它的免殺制度。但是,這次免殺事件的發生卻給我們提了一個醒兒,那就是:免殺易做,內鬼難防!依我看,軟件行業的“免檢產品”還是免了吧!

我曾經看過一位網友形容某產品的留言,大意是:“產品是好產品,技術是好技術,就是腦袋秀逗了。”誠如斯言,如果一個出于好意的認證過程,中間摻入與人相關的利益因素,就有可能會出現利益糾葛導致“變味”。

賄賂軟件廠商員工,在軟件免殺認證時“搭便車”,這是已經被驗證過了的手段。或許,還有別的隱憂。我們應該記得這樣一件事情,那就是2015年9月的蘋果XCodeGhost特洛伊木馬事件。開發工具被植入了惡意代碼,那被開發的軟件產品如何能幸免?假如這種手段被滲透到我們一些廠商的免殺認證模式中去,恐怕要比賄賂軟件廠商員工的災害大得多。

所以我認為,安全軟件廠商應該對所有進行認證的軟件進行不同方式的檢測。甚至,安全軟件廠商應該徹底放棄“認證免殺”這個概念,不給任何人留空子。這不是因噎廢食,而是這個模式有著太多的漏洞。免檢產品都不能讓人徹底放心,更何況你這個免殺軟件呢?

還是我前面那句話:免殺易做,內鬼難防——“免檢”軟件產品還是免了吧!

不過,還有一個大問題,在免費安全軟件大行其道的今天,安全軟件廠商舍得放棄這個業務嗎?

關鍵字:安全軟件游戲客戶端

本文摘自:百度百家

x 安全軟件廠商應該徹底放棄“認證免殺”這個概念! 掃一掃
分享本文到朋友圈
當前位置:安全企業動態 → 正文

安全軟件廠商應該徹底放棄“認證免殺”這個概念!

責任編輯:editor007 作者:姜伯靜 |來源:企業網D1Net  2016-03-25 17:24:19 本文摘自:百度百家

  安全軟件廠商應該徹底放棄“認證免殺”這個概念

幾年前,免檢產品出問題的新聞曾經屢次出現。最近,又發生了“免殺”事件。

近日,央視《經濟與法》欄目曝光了木馬病毒通過360認證,盜取支付寶賬戶信息一事。

針對央視的報道,360安全衛士官方微博發布360公司回應稱,被曝光病毒是通過混入正常軟件,然后提交安全認證實現“免殺”,360對此類行為已加強監管措施,會配合公安機關進行重拳打擊,并承諾用戶如因木馬造成財產損失,360公司會進行現金賠償。

360公司稱:“3月23日晚間,央視《經濟與法》欄目報道的事件,是一家名為‘廈門盛游網絡科技有限公司’的員工,在接受犯罪分子賄賂后,把木馬混入該公司旗下的‘801游戲客戶端’提交給360軟件安全認證平臺實現免殺。對此類非法行為,我們已加強監管措施,遵循‘實名認證+技術檢測+用戶舉報’的基本原則,通過多重審核、人工分析、定期回查等措施杜絕此類事件的再次發生。”

之前,在我印象里,“免殺”是病毒木馬制造者為了躲避殺毒軟件的查殺而采取的一種手段。那么,安全認證“免殺”是怎么一回事呢?

根據我平時的見聞,這種免殺可能是一種類似于“白名單”的模式,并非360一家獨創,而是很多安全軟件廠商都在做的一件事情。因為在一些軟件下載站,我曾經多次見過“某某殺毒軟件認證安全”的字樣,這些殺毒軟件不只是一家。一些網站,下面也有類似標注。很久以前,在搜索引擎進行搜索,一些網站鏈接后面也有類似的安全或不安全的標注。而在一個大型的知名安全軟件論壇,我也見過一些軟件開發者咨詢某安全軟件(不是360,是另外一家)“怎么進行軟件安全認證”的問題。

為了得到更專業的解釋,對“免殺”這個概念,我咨詢了安全軟件行業的某從業人員。

關于360的“認證免殺”,他是這樣解釋的:“這個認證是360為了避免誤殺正規軟件搞的,加入免殺認證以后,廠商上傳的文件就會被360當作可信直接放過。”

應該說,這個目的的出發點是好的,是為了避免誤殺。

那為什么會出現木馬也被混入而“免殺”的問題呢?他認為:“正常流程應該是對軟件進行嚴格安全審核后再加入白名單,360顯然在審核方面出了問題,造成明顯的木馬也被直接加進了白名單。 ”

我知道,這個審核方面的問題,也就是廈門盛游網絡科技有限公司員工“接受犯罪分子賄賂后”,“把木馬混入該公司旗下的‘801游戲客戶端’提交給360軟件安全認證平臺。”

很顯然,這并非完全是360產品和技術的過錯,而是人的問題,一種特殊的利益關系造成的特殊“內鬼”問題。

于是,對于“認證免殺”,我有些反感了。我就想,如果說免殺認證就像發了個通行證,央視曝光的犯罪人員屬于“冒領”通行證,那會不會出現“盜領”通行證的現象發生呢?記得前段時間曾經出現過帶有數字證書的木馬。

對于我這個疑問,上述安全行業人士是這樣回答我的:“這個不是通過證書,而是讓廠商直接上傳文件。 比如你用公司營業執照注冊個賬戶,賬戶開通以后通過這個賬戶上傳的文件直接免殺。”

“那這個經過免殺認證的文件得有一個特征吧?或者叫標識吧?”我問。

“很容易,機器自動提,甚至直接用文件的Hash值。”他回答我。

在對免殺認證有了一定認識后,我認為認證免殺的安全隱憂很大。我又有了疑問:“別有用心者,能通過修改這個文件、改造這個文件的手段讓木馬實現免殺嗎?”

上述安全行業人士回答我:“這要看安全軟件廠商具體是什么策略,如果是只判斷MD5,現在有可以撞的辦法,兩個文件相同MD5就可以免殺。不過這種方法顯然不如直接賄賂公司人員上傳文件來得方便 。”“某些安全軟件廠商官網寫的是會有安全審核,但從實際看,應該是上傳文件直接加白,這步可能是機器自動完成,沒有人工參與。”顯然,如果是機器自動完成“加白”的話,那渾水摸魚就容易多了。

必須承認,360安全軟件是出色的安全軟件。當然,我也相信360今后會采取更為嚴格的準入措施來完善它的免殺制度。但是,這次免殺事件的發生卻給我們提了一個醒兒,那就是:免殺易做,內鬼難防!依我看,軟件行業的“免檢產品”還是免了吧!

我曾經看過一位網友形容某產品的留言,大意是:“產品是好產品,技術是好技術,就是腦袋秀逗了。”誠如斯言,如果一個出于好意的認證過程,中間摻入與人相關的利益因素,就有可能會出現利益糾葛導致“變味”。

賄賂軟件廠商員工,在軟件免殺認證時“搭便車”,這是已經被驗證過了的手段。或許,還有別的隱憂。我們應該記得這樣一件事情,那就是2015年9月的蘋果XCodeGhost特洛伊木馬事件。開發工具被植入了惡意代碼,那被開發的軟件產品如何能幸免?假如這種手段被滲透到我們一些廠商的免殺認證模式中去,恐怕要比賄賂軟件廠商員工的災害大得多。

所以我認為,安全軟件廠商應該對所有進行認證的軟件進行不同方式的檢測。甚至,安全軟件廠商應該徹底放棄“認證免殺”這個概念,不給任何人留空子。這不是因噎廢食,而是這個模式有著太多的漏洞。免檢產品都不能讓人徹底放心,更何況你這個免殺軟件呢?

還是我前面那句話:免殺易做,內鬼難防——“免檢”軟件產品還是免了吧!

不過,還有一個大問題,在免費安全軟件大行其道的今天,安全軟件廠商舍得放棄這個業務嗎?

關鍵字:安全軟件游戲客戶端

本文摘自:百度百家

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
开江县|
朝阳市|
江北区|
汝州市|
汤阴县|
博湖县|
临汾市|
怀柔区|
城固县|
柳江县|
上栗县|
忻城县|
肇庆市|
修水县|
涞源县|
郁南县|
岢岚县|
新郑市|
靖远县|
万载县|
兴文县|
秦皇岛市|
靖安县|
天长市|
凤城市|
巴彦县|
新巴尔虎左旗|
高唐县|
文水县|
湟中县|
梁平县|
通城县|
临泉县|
元朗区|
夏邑县|
迭部县|
明星|
辽宁省|
阳曲县|
乌鲁木齐市|
垦利县|