Lucian Constantin,Softpedia安全資訊編輯
Ionut Ilascu,Softpedia軟件評(píng)論編輯
自2001年成立以來(lái),BitDefender在反病毒市場(chǎng)已成為重要的競(jìng)爭(zhēng)者,其高質(zhì)量的產(chǎn)品獲得了日益廣泛的認(rèn)可。BitDefender的主打產(chǎn)品包括個(gè)人版BitDefender Antivirus、BitDefender Internet Security、BitDefender Total Security,以及針對(duì)企業(yè)用戶的企業(yè)安全解決方案套裝產(chǎn)品,也提供多種免費(fèi)產(chǎn)品,如Online Scanner、基于云的QuickScan,和BitDefender Free Edition、BitDefender Anti-Phishing、BitDefender Chat Encryption等下載版產(chǎn)品。
我們請(qǐng)到了BitDefender在線威脅實(shí)驗(yàn)室主管Catalin Cosoi,為我們講述BitDefender即將發(fā)布的新產(chǎn)品中的新技術(shù),以及saf.li短網(wǎng)址服務(wù)等計(jì)劃。同時(shí),還將談到云計(jì)算,以及如何應(yīng)對(duì)不斷進(jìn)化的惡意軟件。
Softpedia:一些廠商正在將注意力轉(zhuǎn)向基于云的惡意軟件檢測(cè)技術(shù),以提升其產(chǎn)品的性能和有效性。你認(rèn)為云技術(shù)有何優(yōu)劣?BitDefender是否有計(jì)劃在將來(lái)選擇類似的發(fā)展道路?
Catalin Cosoi:在當(dāng)今很多網(wǎng)絡(luò)服務(wù)中,云技術(shù)都是不可或缺的。從SNS到文字處理、企業(yè)郵件,云計(jì)算無(wú)處不在。然而,這些技術(shù)仍然是新生事物,它們的到來(lái)可能伴隨著一些難題。通常來(lái)說(shuō),對(duì)云服務(wù)最大的威脅之一是DDoS,這可能導(dǎo)致其服務(wù)中斷。已經(jīng)有很多視頻共享服務(wù)和blog平臺(tái)受到大規(guī)模攻擊、使用戶無(wú)法訪問(wèn)的案例。
在云計(jì)算應(yīng)用于安全方面,最明顯的弊端就是主機(jī)需要持續(xù)暢通的網(wǎng)絡(luò)連接。不過(guò),BitDefender通過(guò)其他層面的防護(hù)減輕了這一問(wèn)題,如常規(guī)的特征掃描和行為分析。
BitDefender是在反病毒中最早應(yīng)用云計(jì)算的廠商之一。2009年2月正式發(fā)布的QuickScan是一個(gè)在線掃描工具,它將智能本地掃描與云掃描相結(jié)合,能更快檢測(cè)內(nèi)存中的威脅。即將發(fā)布的2011產(chǎn)品線也將大量應(yīng)用云計(jì)算,以提升性能和檢測(cè)率。除了QuickScan和BitDefender 2011,我們也在開發(fā)實(shí)現(xiàn)云安全的新途徑,將在適當(dāng)時(shí)機(jī)公布。
Softpedia:ALWIL首席技術(shù)官Ondrej Vlcek最近宣稱,市場(chǎng)在逐漸傾向于免費(fèi)殺軟。去年出現(xiàn)了一些主打免費(fèi)牌的新產(chǎn)品,而傳統(tǒng)廠商也在用新的改進(jìn)版本鞏固地位。BitDefender是否有計(jì)劃在免費(fèi)版中加入新功能以提升競(jìng)爭(zhēng)力?
Catalin Cosoi:與消費(fèi)級(jí)和企業(yè)級(jí)產(chǎn)品一樣,我們也在免費(fèi)版中做出了顯著的變化。我們改進(jìn)了免費(fèi)版,使其運(yùn)行更快、更省資源;2009年6月,我們還推出了BitDefender Anti-Phishing Free Edition和BitDefender Chat Encryption。
Softpedia:一家名為Matousec的機(jī)構(gòu)最近披露了一種針對(duì)SSDT鉤子的攻擊。很多殺軟都使用SSDT鉤子實(shí)現(xiàn)其HIPS。根據(jù)這項(xiàng)研究,這種攻擊可以讓惡意程序躲過(guò)傳統(tǒng)的檢測(cè)機(jī)制,廢掉更深層的防護(hù)。BitDefender Total Security也在公布的受影響名單之列,那么你對(duì)此漏洞的影響有何看法?如何減輕其影響?
Catalin Cosoi:這種漏洞利用有其局限性:需要向目標(biāo)系統(tǒng)載入大量的代碼,這使其不適用于基于shellcode的攻擊,以及其他需要速度和穩(wěn)定性的攻擊方式。另外,這種方法只能在攻擊者已能在目標(biāo)系統(tǒng)上執(zhí)行任意代碼時(shí)使用,而且需要算好時(shí)機(jī)。
盡管他們的研究部分是正確的,但仍然有很多值得商榷的地方。首先,這種手段并不像聽起來(lái)那么簡(jiǎn)單,而且需要很多特定的系統(tǒng)環(huán)境和很好的運(yùn)氣。
其次,要讓這種攻擊成功,攻擊者必須已能在目標(biāo)系統(tǒng)上執(zhí)行任意代碼,這實(shí)際上意味著他已經(jīng)躲過(guò)了反病毒軟件。
第三,并不是所有的安全措施都用SSDT,這使得要考慮的因素更多了。
第四,現(xiàn)在流行的SSDT漏洞利用中沒有一個(gè)可以躲過(guò)BitDefender的檢測(cè),如果有了,我們也只需要簡(jiǎn)單地將其入庫(kù)即可。
論點(diǎn)其實(shí)還有很多,但歸根到底,這種手段很難達(dá)成,而且在目標(biāo)系統(tǒng)上運(yùn)行惡意攜帶物的簡(jiǎn)單方法還有很多,比如要求用戶“運(yùn)行某軟件前關(guān)閉殺軟”。
Softpedia:眾所周知,病毒作者在將編寫的病毒散布出去之前,會(huì)用自制的類似VirusTotal的地下服務(wù)進(jìn)行掃描,以保證其免殺性。像ZeuS和Clampi這樣的復(fù)雜威脅,一旦被感染就可能導(dǎo)致數(shù)十萬(wàn)美元的損失,甚至讓企業(yè)陷入癱瘓。由于類似的事件層出不窮,用戶逐漸對(duì)反病毒廠商保護(hù)他們的能力失去信心。同時(shí),也認(rèn)為下一代的網(wǎng)銀木馬將更有破壞性,也更難檢測(cè)。你認(rèn)為如何解決這個(gè)問(wèn)題?BitDefender采取了哪些措施?
Catalin Cosoi:在深入討論這個(gè)問(wèn)題前我想澄清一點(diǎn):VirusTotal這個(gè)服務(wù)的信譽(yù)是非常好的。雖然惡意軟件作者也可以用它來(lái)測(cè)試自己的作品,但它提供服務(wù)的目的是完全合法的。
的確,為了逃避特征掃描,有些病毒可能一天更新上百次之多,但像BitDefender這樣專業(yè)的安全產(chǎn)品并不完全依賴特征掃描。目前,BitDefender具有特征、啟發(fā)、行為防護(hù)、反Rootkit等技術(shù),可以檢測(cè)并攔截那些最具破壞性的惡意軟件。另外,業(yè)界領(lǐng)先的每小時(shí)更新也是對(duì)用戶的另一重保障,以確保他們能抵御出現(xiàn)僅數(shù)小時(shí)的威脅。
Softpedia:你認(rèn)為下一版BitDefender最重要的改進(jìn)或特性是什么?什么時(shí)候上市?
Catalin Cosoi:毫無(wú)疑問(wèn),即將發(fā)布的BitDefender新產(chǎn)品中,最重要的功能就是云掃描技術(shù),這也是我們廣受歡迎的QuickScan在線掃描工具的基石。除了引入云技術(shù),新產(chǎn)品還將包括全新的家長(zhǎng)控制,以及高度簡(jiǎn)化的界面,以減少用戶與產(chǎn)品的交互。新的反釣魚工具欄不僅能檢測(cè)釣魚站點(diǎn),還能檢測(cè)假網(wǎng)銀站點(diǎn)、虛假網(wǎng)店,以及多種不屬于釣魚但能造成同樣危害的威脅。新產(chǎn)品將于7月中旬上市。
Softpedia:以活躍用戶數(shù)衡量,BitDefender及其主要競(jìng)爭(zhēng)對(duì)手在反病毒市場(chǎng)中處于何種地位?
Catalin Cosoi:每天,BitDefender保護(hù)全球200多個(gè)國(guó)家的數(shù)千萬(wàn)家庭和企業(yè)用戶,其中包括一些全球頂級(jí)企業(yè)。
Softpedia:最近,Comodo發(fā)布了其網(wǎng)絡(luò)安全套裝產(chǎn)品,并宣稱如果用戶在使用其產(chǎn)品的過(guò)程中中毒,將得到最高500美元的維修補(bǔ)償。考慮到當(dāng)今頻發(fā)的零日攻擊,你認(rèn)為這樣的(敢于作出如此承諾的)防護(hù)是否可能實(shí)現(xiàn)?
Catalin Cosoi:說(shuō)起來(lái)也許很奇怪:零日攻擊并不是當(dāng)今最主要的感染途徑。傳統(tǒng)上,要成功實(shí)施這種攻擊,攻擊者需要精確針對(duì)某種特定的軟件環(huán)境,才能觸發(fā)惡意攜帶物。舉個(gè)例子,(如果攻擊者)要利用一個(gè)PDF漏洞,用戶需要用特定版本的Windows、特定版本的IE訪問(wèn)一個(gè)特定網(wǎng)頁(yè),當(dāng)然還得安裝了有漏洞的Adobe Reader。如果這些前提條件中的任何一個(gè)不滿足,攻擊就會(huì)失敗。
不僅如此,現(xiàn)已證明,BitDefender的主動(dòng)防御能在此類漏洞利用大量流行前檢測(cè)并攔截它們。在CVE-2010-0249(極光)和CVE-2010-0806(極風(fēng))漏洞案例中,BitDefender在大量流行前三個(gè)月就已能檢測(cè)并攔截。因此我們相信,如果使用適當(dāng)?shù)姆床《井a(chǎn)品,全面防護(hù)是可以實(shí)現(xiàn)的。
對(duì)于補(bǔ)償,我們認(rèn)為給出一個(gè)具體的金額只會(huì)讓用戶產(chǎn)生盲目的安全感。如提問(wèn)4所述,“一旦被感染就可能導(dǎo)致數(shù)十萬(wàn)美元的損失”,這意味著付給用戶500美元根本不夠補(bǔ)償損失。
Softpedia:BitDefender將一些產(chǎn)品授權(quán)給Acronis,使其有機(jī)會(huì)獲得新的用戶群。Acronis是備份技術(shù)的領(lǐng)導(dǎo)者之一,而你們的網(wǎng)絡(luò)安全產(chǎn)品中也有備份功能,那么BitDefender產(chǎn)品是否會(huì)加入Acronis產(chǎn)品的功能?
Catalin Cosoi:雖然BitDefender有備份功能,但主要還是作為一個(gè)殺毒軟件。我們認(rèn)為加入完整的備份功能并不符合我們的專長(zhǎng),因此不打算在產(chǎn)品中整合類似的功能。
Softpedia:我們已經(jīng)認(rèn)識(shí)了Saf.li,BitDefender的短網(wǎng)址服務(wù)。你能否向我們的讀者透露一些技術(shù)細(xì)節(jié)?它有沒有使用實(shí)時(shí)代碼分析、沙盤輔助的行為檢測(cè)、或BitDefender維護(hù)的黑名單等?另外,有些站長(zhǎng)對(duì)Saf.li產(chǎn)生的不必要或錯(cuò)誤的流量表示擔(dān)心。這些問(wèn)題是否已經(jīng)發(fā)現(xiàn)并解決?
Catalin Cosoi:Saf.li對(duì)BitDefender的反惡意軟件和反釣魚引擎進(jìn)行了創(chuàng)新性的整合。用戶訪問(wèn)saf.li鏈接時(shí),這項(xiàng)服務(wù)會(huì)讀取網(wǎng)頁(yè),分解并解析其內(nèi)容,尋找惡意腳本和可能不安全的鏈接(如指向釣魚站或掛馬站的鏈接)。
Softpedia:除了基于BitDefender的URL掃描,Saf.li還有那些特殊功能?你認(rèn)為這項(xiàng)服務(wù)的接受度會(huì)有多高?我們理解反病毒廠商為短網(wǎng)址服務(wù)提供安全保障的市場(chǎng)收益,但為什么不與一家已經(jīng)運(yùn)作良好、擁有穩(wěn)定用戶群的服務(wù)聯(lián)合呢?難道這不比開辦自己的服務(wù)有更大的影響力嗎?
Catalin Cosoi:與其他的短網(wǎng)址服務(wù)不同,saf.li設(shè)計(jì)時(shí)就考慮到了很多其他的特性。saf.li的主要目的不是縮短網(wǎng)址,而是告訴用戶訪問(wèn)一個(gè)網(wǎng)址時(shí)是否有感染風(fēng)險(xiǎn)。與這個(gè)主要目的相比,“縮短”更像是一個(gè)額外的優(yōu)點(diǎn)。
