最近业界有这样一则新闻,声称几大全球安全厂商将与业界安全专家联合,为间谍软件样本和测试方法建立一种规范,该主意乍一听似是个特大喜讯,会让人以为间谍软件的末日就要来到,让我们有一种拿起大刀向鬼子头上砍去的快感,冷静地想一想,此事情尚有些不妥之处。
该新闻声称,McAfee、赛门铁克、趋势科技、ICSA实验室和托玛斯网络安全实验室(Thompson Cyber Security Labs)在内的五家单位要联合宣布一项联盟协议,他们将为间谍软件消除技术创建识别和测试方法。看来是要建一个反间谍软件的标准了,但仔细琢磨一下,这件好事怎么有点寡头垄断的味道?无论在经济总量还是互联网规模上,中国都能排在世界前列,而且反病毒水平也能排在世界前列,为何这样定标准的事没有国内厂商的份?更甚者,就连世界上公认反病毒技术领先的卡巴斯基也被排除在外,这不免让人觉得有些蹊跷,如果标准的制定变成了寡头游戏,那么标准就成了强奸民意的工具。
再说测试样本,这些专门为测试目的而统制的样本程序,应该具有哪些行为本身就值得商榷。如果样本不具备间谍软件的诸如驻留内存、监控系统、回传信息等特性的话,那么这些样本就失去了测试的意义,如果具备了这些特性,那它就是一些真正的间谍软件,将这些真正的间谍软件交由第三方用户进行公开测试的做法肯定是欠妥的。另外,这些测试样本属于个体样本,数量一定不会很大,如果把通过这些个体样本测试做为衡量反间谍软件质量的标准,那肯定会闹笑话的,不用说反间谍软件产品了,随便写一个程序把这些测试样本的特征放进去,都可以通过该测试,那该程序就是个合格的反间谍软件么?事实上,任何一个样本收集团体手里的活性间谍软件样本都不会少于几千个,因此,避开大量真实样本而采用小量人工样本测试的方法,不能不说是一种舍本逐末的方法。
因此,为间谍软件样本和测试方法建立行业标准的想法,如果不是少数厂商的别有用心,就是一种病急乱投医式的天方夜谭。那么,反间谍软件行业要不要规范?答案当然是肯定的,就象那则新闻里说的那样:对于消费者和组织来讲,间谍软件和其它潜在的非预期技术是快速增长的风险之一。那么越早些进行规范化,就会越早避免走技术弯路,避免出现做反间谍软件的厂商在自己的产品中加入间谍软件功能的情况。
所以,规范反间谍软件的当务之急不是测试样本与测试方法的制定问题,而是要对反间谍软件应该具备的功能和行为进行描述。比如说一个反间谍软件除了具有基本间谍件扫描功能外,还应该不应该具备监控、反制等功能;对用户本地信息的收集是不是可以等问题。对于样本测试,只要找一家大家都认可的权威检测机构就可以了,相信它们用真正的活性样本测出来的结果一定更具有说服力。