卡巴斯基與奧地利前安全研究人員打官司
據信息安全廠商卡巴斯基(Kaspersky)日本實驗室的首席安全專家Vitaly Kamluk稱,研究檢測惡意軟件和其他間諜軟件簽名的安全研究人員發現,他們自身正在逐漸成為攻擊目標。目前,卡巴斯基正與一名奧地利前安全研究人員進行一場法律訴訟。這名研究人員開發了一種服務,可以跟蹤反病毒廠商分析惡意軟件的計算機的IP地址,并最終使惡意軟件在反病毒廠商安全研究人員的系統上表現出不同的行為,從而削弱反病毒廠商的檢測能力。Kamluk指出,編寫反惡意軟件簽名的研究人員也正在受到類似的攻擊。另外,灰色軟件(Greyware)的泛濫也給安全業界帶來了諸多問題,灰色軟件是指介于正常軟件和惡意軟件之間“灰色地帶”的軟件或代碼,它本身不是惡意軟件,但可被不法分子用于執行攻擊。在本次采訪中,Kamluk介紹了他在僵尸網絡生態系統方面的研究進展,揭示了僵尸網絡經營者如何使用逃避法律制裁的技術銷售其服務,并透露了正在進行的法律訴訟的相關信息。
您已經對僵尸網絡及其運營方式進行了深入研究,您發現有中間人參與僵尸網絡生態系統嗎?
Vitaly Kamluk:是的,確實有中間人參與了僵尸網絡生態系統。而且,中間人在其中所起的作用發人深省。在整個僵尸網絡生態系統、甚至可能在任何地下市場生態系統中,中間人所起的作用都至關重要。你可以想像兩個不法分子之間的一種簡單交易:一個是惡意軟件的編寫者,另一個是僵尸網絡的擁有者和惡意軟件的需要者。一方面,他們想要達成交易;但另一方面,他們在從事違法活動時對任何人都不信任。在這個僵尸網絡生態系統中,需要交易的雙方互不信任。這就是為什么會出現“擔保人”的原因所在。交易雙方都信任擔保人(中間人),并通過擔保人完成交易。通常情況下,擔保人都是一些長年活躍在黑客論壇上、具有一定聲譽的人。他們一般只是主持黑客論壇,并不會消失。因此,在不法分子看來,他們基本上是可靠的。同時,擔保人不從事任何非法活動。他們既不編寫惡意軟件,也不擁有僵尸網絡。他們所做的只是核實賣方提供的產品和買方想要購買的產品。
這些擔保人的所作所為是否處于法律的灰色地帶,因而執法部門不能對其行為進行制裁?
Kamluk:的確如此。這些擔保人的行為并未觸犯現有法律。在整個僵尸網絡生態系統中,中間人起著重要的作用。如果沒有他們這些中間人,不法分子之間的交易可能會減少,因為這些不法分子之間很難做到相互信任。正是由于中間人的存在,僵尸網絡的擁有者能夠通過中間人購買惡意軟件,并從惡意軟件的編寫者那里獲得軟件密鑰。然后,在僵尸網絡的擁有者和僵尸網絡服務的使用者之間的交易中,中間人再次發揮作用。在僵尸網絡服務的使用者中,有些是企圖對特定資源發動分布式拒絕服務攻擊(Distributed Denial-of-Service attack,DDoS)的不法分子,也有一些是對使用僵尸網絡感興趣的其他類型的用戶。
美國通信服務供應商Verizon Business最新發布的數據泄漏報告認為,信用卡號碼交易市場已經飽和,從而導致黑市上信用卡號碼價格的下降。信用卡號碼的這種價格波動是否會使這類擔保人業務模式隨著時間的推移而發生變化呢?
Kamluk:不,這只是正常的市場波動。從表面上看,信用卡號碼交易市場的飽和導致了信用卡號碼價格的下降。實際上,信用卡號碼交易市場的飽和是由大量信用卡數據被竊引起的。利用互聯網上免費提供的各種自動化工具,竊取信用卡號碼非常容易。例如,利用開源的安全漏洞檢測工具Metasploit,可以快速有效地編寫惡意軟件。借助這些輔助技術和框架,不法分子可以更加容易地竊取大量的信用卡號碼。被竊取的信用卡號碼越多,信用卡號碼的價格就越低。
卡巴斯基此前的一份對2010年的預測報告曾指出,打法律擦邊球的灰色市場將會由僵尸網絡的擁有者主導。您的研究證實了這一預測嗎?
Kamluk:在僵尸網絡生態系統中,確實有一個被稱作“灰色軟件”的領域。灰色軟件不能直接歸為惡意軟件,但其在開發時被故意加入了可以執行某些惡意操作的功能。同時,灰色軟件不執行任何未經授權的操作。灰色軟件的一個很好的例子是遠程管理軟件。利用遠程管理軟件,網絡管理員可以遠程控制其網絡和工作站,并執行管理任務。另一方面,不法分子也可以將遠程管理軟件秘密安裝在用戶的計算機上,并利用此軟件竊取遠程工作站上的信息。不法分子還將灰色軟件這一方法移植到其他領域,企圖使其活動和服務看起來更加合法。
據說一名黑客開發了一種可以跟蹤惡意軟件研究人員的服務,并將其提供給卡巴斯基以獲取報酬。您能透露一下該事件的情況嗎?
Kamluk:目前,這一案件尚未了結,我們的法律部門正在處理。因此,請恕我不便透露過多細節,只能對其做一個簡要的介紹。有一個奧地利前安全研究人員開發了一種名為“AV Tracker”的服務。該服務的基本思想是,編寫一個惡意軟件——一種特殊的間諜軟件,并將該惡意軟件安裝到反病毒廠商實驗室的計算機上以竊取信息。利用竊取到的反病毒廠商的信息,不法分子可以跟蹤執行該惡意軟件的計算機的互聯網IP地址,而且可以肯定這些IP地址屬于反病毒廠商。然后,不法分子提供一個任何人都可以使用的開源軟件模塊,以確保在反病毒廠商的計算機上運行的任何惡意軟件與其在真正的家用計算機上表現的行為不同。這種服務為不法分子提供了便利,可以使惡意軟件在我們的實驗室中表現出不同的行為,從而削弱我們的檢測能力。我們認為,這一服務從一開始就是帶著惡意目的開發的。盡管現有的法律似乎并不禁止這種服務,但這樣的服務將不利于安全業界和正常的家庭用戶,似乎是一種惡意的服務。
【編輯推薦】
