McAfee Avert实验室运营总监Joseph Telafici
文/孙莹
CNET科技资讯网12月8日北京报道 当前,计算机和互联网已经成为人们日常生活和工作中不可或缺的一部分,网络在给我们带来便利、快捷和高效的同时,病毒、恶意代码攻击、身份盗取、密码盗取、数据丢失、垃圾邮件、网络钓鱼、僵尸网络、恶意软件、移动攻击、软件漏洞……这些随之而来的安全威胁也在与日俱增。
McAfee Avert实验室提供的数据也印证了这一态势,目前有超过21.7万个不同类型的已知安全威胁和数千个还没有被发现的威胁。今年7月,McAfee宣布为第20万个威胁提供防护。而自今年起,McAfee已在其数据库里增加了大约5万个新威胁,很有可能在年底超过22.5万。根据目前的趋势,McAfee预计在2007年底,将会发现第30万个威胁。
McAfee Avert防病毒和漏洞紧急响应小组成立于90年代,是全球率先建立的专门安全研究小组之一,拥有来自全球16个国家23座城市的100多名安全研究人员,其目的是把防病毒技术与入侵防护和漏洞研究结合起来,为企业用户和消费者提供安全解决方案。
日前,McAfee Avert实验室防病毒和防间谍软件调查小组运营总监Joseph Telafici首次到访中国考察市场,在行程间隙Joe接受了CNET的专访,从McAfee Avert实验室及其个人专业的角度向我们阐述了病毒等安全威胁和攻击的新趋势,以及McAfee等安全厂商的应对之策。此外,Joe还谈到了微软新一代操作系统Vista中的安全功能,并对目前越来越猖獗的恶意软件发表了自己的看法。
CNET:与过去传统的病毒攻击相比,我们今天面临的安全威胁有什么不同?
Joe:2002年初,当我刚刚加入McAfee时,这一领域的情形是完全不同的。那个时候,写病毒的多是些年轻人,主要是为了出名。2003年末,动机有所改变,开始寻找赚钱的方式。主要有两种发展趋势:一是密码盗窃,像窃取银行信息、网上账户信息等;还有bugs和漏洞。这两种威胁在过去的两年中占到所有病毒的50%以上。在今天,过去那种低威胁的时代已经一去不复返了。
CNET:相较于现实社会中的犯罪行为,在虚拟的网络世界里的电脑犯罪有何特点?
Joe:不同于传统现实生活中的犯罪,虚拟世界犯罪的风险大大降低。有些恶意攻击完全是利益驱动的行为。举一个现实的例子,如果你想从银行得到钱,在现实生活中可能需要利用枪来实施抢劫,但是在虚拟的网络里,风险是非常小的,因为从电脑上盗取金钱太容易了。网络世界有大量的金钱流通,但整个基础设施在设计上太没有安全性,从而对犯罪分子有极大的吸引力。未来这些传统的黑客和电脑犯罪的故事还将继续持续下去。
CNET:面对新的安全威胁,我们将如何应对呢?
有一些专业人士,受金钱利益的驱使,利用源代码开发一些威胁程序。他们甚至拥有一个部门、资金以及BUG追踪系统。这些所谓的专业人士喜欢对一些现有的源代码进行进行评估,并且做出修改,产生新的特点。这些人可以在病毒、恶意攻击发布之前,可以测试他们的病毒能否抵制住现有的安全产品。这种情况迫使安全专家改变改变和提高安全产品的性能。
未来的几年里,防病毒安全产品将从单纯的签名技术转向混合式的机制,包括入侵防护技术、缓冲区技术、行为分析以及传统的签名方法结合使用,从而取得单一技术无法取得的效果。但签名依然存在,它的价值是不能取代的。大约在2年前,我们发布了整合的防病毒主机入侵防护系统,而且将很快发布新的版本。
CNET:您如何看待中国的安全市场,其特点与其他国家有和不同?
Joe:中国市场环境有其与众不同的一面。大致来说,这里的企业众多,而且有很多受过高等教育的人群,所以有许多病毒是专门针对中国市场来编写的。相对于其他国家,中国有很多有趣的不同点。比较突出的像广告软件(adware)和间谍软件(spyware)。人们对在中国进行广告投放的期望是什么,以及潜在的不同理解和感知;还有中国消费者的保密期望等。
我们确实看到很多地域性的病毒攻击,比如密码窃取在巴西很盛行,因为其网上银行功能丰富。全球每一地区都有其独特的病毒威胁问题。这也是我们为什么在不同国家安排安全专家的原因。这种趋势还将会持续。
CNET:您刚才提到McAfee Avert实验室在各个国家都有安全人员,他们之间是怎样相互协作的呢?
Joe:这是一件非常有意思的事情。McAfee Avert实验室的安全专家们说14到16中不同的语言,每个人都能讲英语,有些人的英语比其他人好一些。我们经常进行在线聊天,电子邮件沟通。
我想每个人都喜欢和不同国家的人一起工作。不同的文化,不同的观念,但是大家在同一平台上,对电脑安全都有着同样的热情。这样的确不容易。我大多时候都在出差,大家经常半夜电话讨论工作。
不过工作还是很顺畅,因为我们做的很多工作相对来说在本质上都是独立的。通常是一个研究人员,一种病毒,大的软件开发工程就会有15或者20个人,每个人做其中一个独立的代码。由于我们的工作性质,用其他办法取得同样的效果恐怕很难。我们现在协作很好,很流畅。
CNET:除了McAfee,您还曾效力于其他安全厂商,那么您认为McAfee和其它竞争对手的区别或者说优势在什么地方?
Joe:说到区别,有两个方面比较突出。
一是McAfee只关注于安全领域,这样就大大减少了精力的分散以及来自其他领域的干扰,所以McAfee有自己的关注点。
还有就是我们有多样化的研究队伍。因为McAfee相对来说很小,很集中,我们就可以充分利用所有人的智慧和能力。
CNET:微软新一代操作系统Vista当中增加了很多项安全功能,您认为这对保护消费者和企业安全有多大作用?
Joe:我认为计算机安全是一个复杂的生态系统。例如在恶意软件社区里,恶意软件给别人发送大量的电子邮件,入侵别人的内部网络,而你还需要与这些坏家伙进行联络,同时还会看到安全厂商和恶意软件之间不断进行着斗争。
对一个初级用户来说,安全威胁很大程度上都是让他运行一个恶意软件,把你的用户信息获取到,把用户访问改成其它的东西。普通的用户即使不是管理员,获取他们的信息,也可以造成损失。即使装有补丁保护,也可以绕过补丁保护,直接攻击操作系统。对于大多数普通用户来说,不需要很多高级功能来获取信息。
我们每次升级产品的时候,这些恶意软件和病毒编写者也必须改变他们的技术,以便可以避开安全产品的查杀,同样,反过来说,新的病毒和恶意软件出来的时候,我们也会研究对付它们的新技术和方法。
我想他们至少在3-6个月的时间里比较安静,因为,他们正在研究新技术,而不是目前的操作系统。我们之间的较量取决于最终用户和企业在多长时间和用多快的速度采用64位操作系统和硬件,这也取决于病毒作者在多长时间内研究透64位系统,多长时间内可以产生攻击。
CNET:Vista安全功能的增加是否意味着用户对杀毒软件需求的减少?
Joe:我不认为用户对杀毒软件的需求会减少。对于人们为什么依然需要使用32位系统上的传统安全工具,比如防火墙、防病毒工具。最有趣的是,微软使用运用许多技术对安全威胁所做的防护,加大了病毒编写者的工作难度,使恶意攻击变得更难,但同时也使安全供应商的工作变的困难。
这就迫使我们采用一些低级的技术来对付这些低级的攻击。这并不意味着减少对防病毒软件的需求,除非你在每个人使用计算机方面有严格的规定。像使用Windows NT为基础的操作系统,用户本身对计算机造成的损失很小。
但是,对于支持和维护和人来说,工作量比较大。比如,我夫人每次安装新软件的时候,就会打电话给我,我就会修改他的用户权限,让她进行安全地操作,而不会影响整个电脑系统。对个人还是公司来讲,能严格控制计算机的权限,就很难进行攻击,就不用使用安全软件。
CNET:您如何看待恶意软件(流氓软件)威胁?
Joe:一些未经用户许可安装到电脑上的程序,我们称之为灰色软件,也就是你所指的恶意软件(流氓软件),实际上,间谍软件是从90年代后期发展而来的。我到McAfee公司之后,就开始注意到间谍软件,并把我们的引擎进行改进,除了防护传统的病毒和木马之外,也加上了防间谍软件功能,但那时对它的关注不高。
这是一种有趣的骗人把戏之一,例如广告软件和间谍软件。很大程度上是广告软件引起人们的兴趣,很多人的计算机在自己不知道的情况下被利用。我们看到广告软件都是采用早期木马的手法来设计,但现在发生了变化,特别是作者的动机。在欧洲和美国,很多30年前写恶意软件的人,开始以赚钱为目的。表面上是广告软件,实际上是最恶意的木马软件。
由此看来,恶意软件可以有两类,一种是商业行为,另一种是犯罪的性质。在新的操作平台上,很多都是业余爱好的坏家伙,他们只是想证明一些事情。他们的动机不同,和那些在小的平台上开发恶意软件的人不同。这与Windows平台上的攻击不一样,有些人是职业或者犯罪性质的攻击。
CNET:对于恶意软件,McAfee等安全厂商在这方面有何应对措施?
Joe:广告软件和间谍软件作者毫无顾忌后果的使用、改进他们的程序,安全人员也在随之改进防范技术。以广告软件为例,由于许多计算机被非法使用,一些公司被迫采用一些手段禁止广告。一些网站发布了可以清除广告的软件,影响很大。但我认为用户在受到威胁警告方面的技术将更加成熟。
现在,面临的一个问题是,恶意软件是一个很难界定的东西,是一个相对来说更复杂的领域,因为你很难确定它是故意造成损害的。恶意软件在全球范围内已经存在了好几年,最近几年才发展起来,在过去的一年到一年半的时间里变坏的趋势更严重,恶意软件已经成为一种社会问题。
如果你是一个安全厂商,必须对这种软件非常小心,确保没有攻击到合法的安全产品。此以,不能把注意力只集中在某一种威胁上,要像对待其他具有潜在威胁的软件一样处理。
CNET:移动设备的安全情况怎样?
Joe:今天对于恶意软件编写者来说,让他们感兴趣的是可以有许多平台进行攻击。移动安全也是这样的,也有一部分人想证明他们的能力。
比如,今年我们发现了一个以获取金钱为目的攻击移动设备的软件,它会把用户带到自动拨打位于俄罗斯的一部自动电话,以此从电话费中赢利。
随着移动设备的不断发展,这类攻击将会越来越多。但是,这种攻击要求比较高,由于电信运营商不同,电话终端不同,操作系统不同,未来1-3年,这将是很有意思的一个安全领域。
CNET:在企业安全系统建设方面,您有何建议?
Joe:过去,大企业在安全管理上分有很多小组,一组负责防火墙,一组负责防病毒软件,一组负责密码安全等等。这种策略曾经起过一定作用,但是很多规则促使企业采用更积极的方式管理安全系统。为了保护CEO、CIO和CFO们的工作,在安全管理方面,他们不得不采取方法来鉴别资产,优先其商业重要性,估量资产在抗攻击方面的弱点,并安放保护设备等等。
这就需要安全功能的巩固,并且企业从上至下都把关注点集中到整个安全管理策略上。但这并不是一夜之间就能实现的,从每一个桌面到每一台服务器,现在企业内部有很多的组织变化和技术变化,它们已经在向这个方向前进了,如果做的非常迅速、非常有效,我想企业的安全状况会有很大改善。
Joe Telafici简历
Joseph Telafici于2002年加入McAfee(迈克菲),一直担任McAfee Avert防病毒和漏洞紧急响应小组实验室防病毒和防间谍软件调查小组的运营总监,负责管理McAfee Avert位于全球各地的研究团队。
Joe毕业于Drew 大学,拥有十年IT从业经验,曾任职于赛门铁克、CyberMedia、Tripwire公司。作为McAfee Avert实验室的防病毒和防间谍软件研究小组的运营总监,Joe负责协调McAfee响应与全球病毒爆发、每日签名(DAT)文件生成以及客户支持工具(Stinger和WebImmune)之间的关系,并前瞻性研究下一代威胁和技术。