卡巴斯基與奧地利前安全研究人員打官司
據(jù)信息安全廠商卡巴斯基(Kaspersky)日本實(shí)驗(yàn)室的首席安全專家Vitaly Kamluk稱,研究檢測(cè)惡意軟件和其他間諜軟件簽名的安全研究人員發(fā)現(xiàn),他們自身正在逐漸成為攻擊目標(biāo)。目前,卡巴斯基正與一名奧地利前安全研究人員進(jìn)行一場(chǎng)法律訴訟。這名研究人員開發(fā)了一種服務(wù),可以跟蹤反病毒廠商分析惡意軟件的計(jì)算機(jī)的IP地址,并最終使惡意軟件在反病毒廠商安全研究人員的系統(tǒng)上表現(xiàn)出不同的行為,從而削弱反病毒廠商的檢測(cè)能力。Kamluk指出,編寫反惡意軟件簽名的研究人員也正在受到類似的攻擊。另外,灰色軟件(Greyware)的泛濫也給安全業(yè)界帶來(lái)了諸多問題,灰色軟件是指介于正常軟件和惡意軟件之間“灰色地帶”的軟件或代碼,它本身不是惡意軟件,但可被不法分子用于執(zhí)行攻擊。在本次采訪中,Kamluk介紹了他在僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)方面的研究進(jìn)展,揭示了僵尸網(wǎng)絡(luò)經(jīng)營(yíng)者如何使用逃避法律制裁的技術(shù)銷售其服務(wù),并透露了正在進(jìn)行的法律訴訟的相關(guān)信息。
您已經(jīng)對(duì)僵尸網(wǎng)絡(luò)及其運(yùn)營(yíng)方式進(jìn)行了深入研究,您發(fā)現(xiàn)有中間人參與僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)嗎?
Vitaly Kamluk:是的,確實(shí)有中間人參與了僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)。而且,中間人在其中所起的作用發(fā)人深省。在整個(gè)僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)、甚至可能在任何地下市場(chǎng)生態(tài)系統(tǒng)中,中間人所起的作用都至關(guān)重要。你可以想像兩個(gè)不法分子之間的一種簡(jiǎn)單交易:一個(gè)是惡意軟件的編寫者,另一個(gè)是僵尸網(wǎng)絡(luò)的擁有者和惡意軟件的需要者。一方面,他們想要達(dá)成交易;但另一方面,他們?cè)趶氖逻`法活動(dòng)時(shí)對(duì)任何人都不信任。在這個(gè)僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)中,需要交易的雙方互不信任。這就是為什么會(huì)出現(xiàn)“擔(dān)保人”的原因所在。交易雙方都信任擔(dān)保人(中間人),并通過擔(dān)保人完成交易。通常情況下,擔(dān)保人都是一些長(zhǎng)年活躍在黑客論壇上、具有一定聲譽(yù)的人。他們一般只是主持黑客論壇,并不會(huì)消失。因此,在不法分子看來(lái),他們基本上是可靠的。同時(shí),擔(dān)保人不從事任何非法活動(dòng)。他們既不編寫惡意軟件,也不擁有僵尸網(wǎng)絡(luò)。他們所做的只是核實(shí)賣方提供的產(chǎn)品和買方想要購(gòu)買的產(chǎn)品。
這些擔(dān)保人的所作所為是否處于法律的灰色地帶,因而執(zhí)法部門不能對(duì)其行為進(jìn)行制裁?
Kamluk:的確如此。這些擔(dān)保人的行為并未觸犯現(xiàn)有法律。在整個(gè)僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)中,中間人起著重要的作用。如果沒有他們這些中間人,不法分子之間的交易可能會(huì)減少,因?yàn)檫@些不法分子之間很難做到相互信任。正是由于中間人的存在,僵尸網(wǎng)絡(luò)的擁有者能夠通過中間人購(gòu)買惡意軟件,并從惡意軟件的編寫者那里獲得軟件密鑰。然后,在僵尸網(wǎng)絡(luò)的擁有者和僵尸網(wǎng)絡(luò)服務(wù)的使用者之間的交易中,中間人再次發(fā)揮作用。在僵尸網(wǎng)絡(luò)服務(wù)的使用者中,有些是企圖對(duì)特定資源發(fā)動(dòng)分布式拒絕服務(wù)攻擊(Distributed Denial-of-Service attack,DDoS)的不法分子,也有一些是對(duì)使用僵尸網(wǎng)絡(luò)感興趣的其他類型的用戶。
美國(guó)通信服務(wù)供應(yīng)商Verizon Business最新發(fā)布的數(shù)據(jù)泄漏報(bào)告認(rèn)為,信用卡號(hào)碼交易市場(chǎng)已經(jīng)飽和,從而導(dǎo)致黑市上信用卡號(hào)碼價(jià)格的下降。信用卡號(hào)碼的這種價(jià)格波動(dòng)是否會(huì)使這類擔(dān)保人業(yè)務(wù)模式隨著時(shí)間的推移而發(fā)生變化呢?
Kamluk:不,這只是正常的市場(chǎng)波動(dòng)。從表面上看,信用卡號(hào)碼交易市場(chǎng)的飽和導(dǎo)致了信用卡號(hào)碼價(jià)格的下降。實(shí)際上,信用卡號(hào)碼交易市場(chǎng)的飽和是由大量信用卡數(shù)據(jù)被竊引起的。利用互聯(lián)網(wǎng)上免費(fèi)提供的各種自動(dòng)化工具,竊取信用卡號(hào)碼非常容易。例如,利用開源的安全漏洞檢測(cè)工具M(jìn)etasploit,可以快速有效地編寫惡意軟件。借助這些輔助技術(shù)和框架,不法分子可以更加容易地竊取大量的信用卡號(hào)碼。被竊取的信用卡號(hào)碼越多,信用卡號(hào)碼的價(jià)格就越低。
卡巴斯基此前的一份對(duì)2010年的預(yù)測(cè)報(bào)告曾指出,打法律擦邊球的灰色市場(chǎng)將會(huì)由僵尸網(wǎng)絡(luò)的擁有者主導(dǎo)。您的研究證實(shí)了這一預(yù)測(cè)嗎?
Kamluk:在僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)中,確實(shí)有一個(gè)被稱作“灰色軟件”的領(lǐng)域。灰色軟件不能直接歸為惡意軟件,但其在開發(fā)時(shí)被故意加入了可以執(zhí)行某些惡意操作的功能。同時(shí),灰色軟件不執(zhí)行任何未經(jīng)授權(quán)的操作。灰色軟件的一個(gè)很好的例子是遠(yuǎn)程管理軟件。利用遠(yuǎn)程管理軟件,網(wǎng)絡(luò)管理員可以遠(yuǎn)程控制其網(wǎng)絡(luò)和工作站,并執(zhí)行管理任務(wù)。另一方面,不法分子也可以將遠(yuǎn)程管理軟件秘密安裝在用戶的計(jì)算機(jī)上,并利用此軟件竊取遠(yuǎn)程工作站上的信息。不法分子還將灰色軟件這一方法移植到其他領(lǐng)域,企圖使其活動(dòng)和服務(wù)看起來(lái)更加合法。
據(jù)說一名黑客開發(fā)了一種可以跟蹤惡意軟件研究人員的服務(wù),并將其提供給卡巴斯基以獲取報(bào)酬。您能透露一下該事件的情況嗎?
Kamluk:目前,這一案件尚未了結(jié),我們的法律部門正在處理。因此,請(qǐng)恕我不便透露過多細(xì)節(jié),只能對(duì)其做一個(gè)簡(jiǎn)要的介紹。有一個(gè)奧地利前安全研究人員開發(fā)了一種名為“AV Tracker”的服務(wù)。該服務(wù)的基本思想是,編寫一個(gè)惡意軟件——一種特殊的間諜軟件,并將該惡意軟件安裝到反病毒廠商實(shí)驗(yàn)室的計(jì)算機(jī)上以竊取信息。利用竊取到的反病毒廠商的信息,不法分子可以跟蹤執(zhí)行該惡意軟件的計(jì)算機(jī)的互聯(lián)網(wǎng)IP地址,而且可以肯定這些IP地址屬于反病毒廠商。然后,不法分子提供一個(gè)任何人都可以使用的開源軟件模塊,以確保在反病毒廠商的計(jì)算機(jī)上運(yùn)行的任何惡意軟件與其在真正的家用計(jì)算機(jī)上表現(xiàn)的行為不同。這種服務(wù)為不法分子提供了便利,可以使惡意軟件在我們的實(shí)驗(yàn)室中表現(xiàn)出不同的行為,從而削弱我們的檢測(cè)能力。我們認(rèn)為,這一服務(wù)從一開始就是帶著惡意目的開發(fā)的。盡管現(xiàn)有的法律似乎并不禁止這種服務(wù),但這樣的服務(wù)將不利于安全業(yè)界和正常的家庭用戶,似乎是一種惡意的服務(wù)。
【編輯推薦】
