反间谍技术的困惑与未来

“间谍，从来是没有尽头的游戏”，这是布拉德·彼特在电影《Spy Game》中的一句台词。在计算机舞台上演的反间谍软件剧目中，这句台词同样可以成为最合适的旁白。

潜 流

在黑客看来，间谍软件应该是所有攻击手段中最让人“沉迷”的，它完美地体现了斗争的智慧和操控的快感。
和病毒不同，间谍软件的第一个特征就是“低调”。它不会像爆发的蠕虫一样，雷霆一击，声势惊人，在短短的几分钟内使系统宕机、网络瘫痪，从而使全世界的计算机用户都知道它的名号。
相比之下，间谍软件如同潜流暗涌，在不知不觉间，进入用户的信息系统，获取所需的资料，成功的间谍软件在达到目的后，甚至会销踪灭迹，自我蒸发。
因此，间谍软件的目的不在于破坏成名，而是要获取实实在在的经济利益。正是这一原因，注定了它比一般病毒更为狡诈、难缠。
只要你是一位计算机网络的使用者，基本上，间谍潜入的可能性，包含在你所有的应用之中。
使用电子邮件时，你可能收到由熟人发来的游戏或者应用程序，一旦打开就中了圈套。当然，在反反复复的安全宣传下，你可能已经有了防备之心，不运行任何可疑的程序，但同样的，黑客可以仅仅发给你网上一个有趣而热门的话题，当你点击链接，“间谍”已经利用浏览器的漏洞，悄然进入。
如果你习惯于在网上下载各种免费软件，请记住，这也是间谍入侵的最佳途径之一。在商业利益的驱动下，即使很多合法的广告商或程序作者，也会在有价值的软件中植入间谍，并附上一则冗长模糊的声明，通常情况下，我们不假思索就会点击同意，并进行安装。而另外一些别有用心的黑客，更是将正版软件加入“间谍”后，以“破解版”的名义在网上免费发放。
你热衷于网上娱乐吗？比如网络游戏、在线电影、在线音乐广播、实时聊天等。那么，祝贺你，你和“间谍”亲近的机会大大增加了。由于这些应用通常是广告商最青睐的，他们会利用存在的漏洞，千方百计将间谍软件植入其中。
你喜欢时髦的博客和RSS吗？就在不久前举办的Gartner IT安全峰会上，安全专家指出，这些应用，正逐步成为间谍软件的“未来天堂”。原因是它们大量使用了JavaScript和ActiveX，同时由于RSS有自动化的特性，这种入侵会变得更加快捷。
最后，即便你已经成为惊弓之鸟，去网上下载反间谍软件，同样不能高枕无忧，因为不少间谍程序正是把自己装扮成安全软件，有的甚至真具有一定的杀毒和反间谍功能，但所有这些都是为了从心理上麻痹使用者，这些打着“反间谍”旗号的软件，很可能其本身就是更可怕的间谍软件。

寄 生
在成功地进入了使用者的电脑后，间谍软件首先会将自己很好地隐藏起来，随着技术的发展，这种隐藏寄生的技巧也在不断进步。
最基本的隐藏方式，是隐藏窗体和文件，我们知道，Windows应用程序通常会有程序界面窗体，间谍软件虽然本质上也是一种应用程序，但其通常不包含窗体或者将其隐藏。
在运行时，间谍软件中危害最大的木马程序会采用“进程插入”的方式来达到目的。也就是把间谍软件的DLL文件插入到正常程序进程的地址空间，从而实现自己监控、窃取信息的目的。
过去，这种DLL的植入通常通过修改注册表来实现，往往需要再次启动才能发挥作用，也容易被杀毒软件等程序发现，而现在的一些间谍软件，则使用挂钩(Hook)和远程线程函数(CreateRemoteThread)来进行植入，这种方式的可怕之处在于，“间谍”在达到目的之后，可以从正常的进程之中完全“蒸发”，不留下任何痕迹。实际上，它是将自己的信息在掩护之下提前抹去了，其原理就像把监控摄像的一端接到已经录制好的录像机上，我们观察到的影像没有任何问题，但犯罪已经完成。
上述技术的出现，让目前的反间谍工具在“间谍”活动时进行变得无能为力，只能在间谍软件刚进入电脑时予以拦截，而各种“壳”加密技术，使这一步也越来越艰难。
进入用户电脑的间谍软件如同一条有毒的藤蔓，缠绕在系统和应用程序之上，并和系统中的某些功能或应用程序建立关联。这种关联往往纷繁错节，难以理清头绪，因此，当用户试图清除间谍软件时，经常会引起系统或某些应用程序瘫痪。一些新的间谍软件建立了自我保护机制，在部分文件被删除后，可以自动修复，另一些则会“死缠烂打”，一旦发现反间谍软件，则通过修改注册表关联等方式，让整个操作系统无法正常使用。合 围
间谍软件的无孔不入和技术的快速发展，使得它以前所未有的速度蔓延，我们的计算机网络，已经处在间谍软件的包围之中！
IDC在早前公布的数据中，估计大约67%的电脑都带有某种形式的间谍软件，而在权威机构不久前进行的一次调查显示，91%的接受调查者的计算机上都被安装了间谍软件。美国电信提供商Earthlink，曾经利用间谍软件扫描工具对联网的计算机用户进行扫描，在约106万台计算机上，发现了包括广告软件、木马程序在内的间谍软件超过2900多万个，平均每台电脑中隐藏了大约28个间谍软件！
由中国互联网络信息中心22日发布的《第十六次中国互联网发展状况统计报告》也显示：随着网民数量的急剧增长和宽带网络的普及，网民在电脑设备上存储的账号、密码等机密信息也越来越多，以窃取用户机密文件和个人隐私为目的的“间谍”软件已经超过传统意义上的病毒成为网民的最大威胁。
来自专业反病毒厂商的数据同样印证了这一观点，赛门铁克和趋势科技新的互联网安全威胁报告指出，在经过“红色代码”、“振荡波”等病毒的洗礼后，人们普遍增强了这方面的防范意识，现在这种利用漏洞进行大规模传播与破坏的病毒，已经不是黑客攻击的“主流”，而以商业和经济利益为目的的间谍软件，则获得了前所未有的发展，成为目前网络安全威胁的头号敌人。在赛门铁克公司截获的最多的50种恶意代码中，窃取用户的机密身份资料的攻击占了54%，较去年上半年增长了44%。
国内的反病毒企业瑞星、金山也表示，收到用户对间谍软件的投诉不断增多，由于这些软件具有欺骗隐瞒用户、强制弹出广告、秘密收集信息、难以卸载等特点，被用户形象地称之为“流氓软件”。

利 诱
天下熙熙，皆为利来，某项技术发展的动力，通常都不是技术本身，而是其背后的经济利益。间谍软件之所以在短时间内形成燎原之势，也和商业利益密不可分。
计算机安全专家表示，在过去，病毒、间谍软件等恶意程序的作者通常是些好奇的年轻人和一些希望自己扬名的程序员。但现在一切都变了，金钱成为赤裸裸的动机。据调查显示，目前现实中所发现的恶意软件的样本中，有70%是受利益驱动的。
赛门铁克认为，2003年，针对电子商务的攻击行为只有4%，而今年这种攻击行为增长了四倍，其中不少更是直接面对商业的核心——金融。
比如今年三月，一个高科技犯罪团伙就曾经涉嫌企图利用间谍软件，从日本住友银行集团伦敦办公室窃取2.2亿英镑。这种间谍软件就是上文提到的新式木马，可以记录敲击键盘的动作，从而窃取信用卡号、身份证号码，密码等重要信息，据称该木马已经被成功植入，后来因偶然的机会转换操作系统才被发现，令银行相关人员惊出一身冷汗。
不久前在国内被频繁报道的“网银大盗”同样是间谍软件的一种。它会把用户正常登陆网的银行页面，自动跳转到一个没有安全控件的登陆页面，以窃取用户的账号及密码。
在网络游戏领域，利用间谍软件盗取玩家重要信息的事情更是屡见不鲜，有些程序员更是专门针对某个游戏，分析各个环节，开发对应的间谍软件，操作得手后，一两个月就可能获得数十万元的非法收益。
觉得只有上述的这些行业会受到间谍软件攻击的想法是天真幼稚的，“间谍”之网，正越撒越大，甚至逐渐变得明目张胆。
据报道，一家俄罗斯网络公司竟然公开宣布，将向传播其间谍软件的“合作”网站，支付每千台感染计算机61美元的报酬。这家名为iframeDOLLARS.biz的网络公司把包括广告、木马在内的九种间谍程序发放给“合作者”，再通过他们的网站，散布给成千上万的用户。由于利用了操作系统的漏洞，这些间谍软件无需借助任何ActiveX插件或弹出窗口，用户在访问包含有这些间谍软件的网站时，会在不知不觉地把“间谍”领进门。
尽管有很多人对此表示谴责，但该网站生意却相当不错，据报道，iframeDOLLARS在一周内籍此赚取了75000美元广告费，而其支付给“合作”网站的费用不到12000美元，利润的确相当丰厚。
如果这种厚颜无耻的“商业模式”不被有效阻止，一旦蔓延开来，其对网络安全的危害将难以估算。

浑 水
从理论上讲，要想有效地清除间谍软件，首先就要有一个清晰的标准来定义它，并以此作为准绳进行判断和查杀，但要做到这一点却是如此的困难。这也使得针对间谍软件的通缉令迟迟无法完成。
和病毒不同，间谍软件的标准并不是非黑即白，而是存在很大的灰色空间。通常情况下，我们认为，任何在计算机用户不知不觉的情况下，秘密搜集使用者的相关信息，并将其发给幕后操纵者的软件都可以称之为间谍软件，但是，很多合法的广告软件实现的也是类似的功能，这使得界定起来非常困难。
有的人认为，可以通过传送信息的最终结果是否带有恶意来进行判定，但实际上，是否具有“恶意”，人类能够通过智力和直觉来判断，但要没有意识的计算机软件来进行区分，却难以实现。
上述的原因，使得反间谍联盟内部就已经矛盾重重，因为有的企业本身就依靠广告软件来获利，它们加入反间谍联盟的重要目的之一，就是希望通过清晰的定义，把自己的软件划分到被清除的范围之外，而另一些公司则反对这种做法。这使得反间谍的工作，只能在一滩浑水里完成，各种麻烦层出不穷。例如，Gator的广告软件本来被CA公司列在间谍软件名单中，但今年年初，Gator提出了投诉，ＣＡ只得将其从黑名单中消除。在另外一起案例中，微软也面临着是否要提高广告软件Claria的威胁等级的两难境地。微软的反间谍软件AntiSpyware此前建议用户要隔离Claria的产品，而现在，微软仍对Claria的软件进行监控，但不再建议列为清除对象。同样的，赛门铁克也面临Trekeight LLC公司的投诉，因为它把后者的产品列为广告软件。而赛门铁克则认为，它是站在用户的立场上，并且有权利采取这样的行动。　

挑 战
间谍软件上的纠缠不清，经济利益是一个重要原因，间谍软件可以给幕后操纵者带来巨大的经济利益，同样的，如果从生意的角度来看，反间谍市场也是“大有可为”。
据统计，2004年具备反间谍功能的套装软件销售额仅为850万美元，但预计2005年此类软件的销售额将产生500%以上的增长，Radicati集团发表的一份相关报告预测，安装反间谍件工具的用户数量将由2005年的1600万增长到2009年的5.4 亿，未来4 年内，反间谍软件工具的销售收入也将由1.03亿美元增长至10亿美元。
这些数字无疑也暗示出，间谍软件和反间谍工具的斗争将进入一个前所未有的白热化阶段。
不过，和“间谍”作斗争，显然比清除病毒要困难得多，因为应对后者，最重要的是能够及时捕捉，而前者即使仅从技术角度来看，就牵扯到了很多棘手的问题。
比如前面所提到的对间谍软件准确判断的问题，由于缺乏统一的标准，不同的厂家都有不同的方式，比较严谨合理的像赛门铁克所采取的“风险影响模型”（参看表１），就是综合多种行为因素，包括能否让用户自由选择删除等，来判定是不是间谍软件。

再比如，究竟从什么位置阻挡间谍软件是最有效的，有的企业认为应当从桌面阻止，因为移动技术在企业内的大量应用，使得越来越多的计算设备脱离了由网关所划定的安全疆域，如果他们在网关的保护之外感染了间谍软件，然后又再次被接入网络，这台机器本身就成了协助“间谍”潜入的“间谍”。所以，先要保证每一个“内部成员”的可靠性。
而另外一部分企业则认为，桌面工具始终是被动防线，“更好的”间谍软件总会突破这道防线。因此，应该在网关处采取防护措施。
目前较为公认的看法是，针对间谍软件，企业应该采取多层次的防护措施，才能收到理想的效果。

反 击
由于间谍软件的扩散方式是非线性的，而且越来越有攻击性。因此，它的防护问题已经影响到整个信息王国的安全，这种威胁对企业而言尤其严重，根据Forrester Research一份名为“2005反间谍软件方案”的报告显示，目前企业被感染间谍软件的程度还难以准确统计，由于间谍软件超常的隐蔽性，和现阶段很多查杀工具的无力，使得不少公司都不清楚自己的电脑设备中有多少被感染，但至少一点，已经发现被感染企业的数量，正在以惊人的速度攀升。
分析师们认为，受到困扰的企业用户，首先会向传统的防病毒厂商那里寻求帮助。反间谍软件就如同防病毒一样，都需要一种可靠的解决方案和专门的研究及响应机制，来跟踪新的间谍软件风险，并及时提供随威胁变化而变化的升级版本。虽然间谍软件与传统病毒存在区别，但是防范它们的目标是相同的，即保护客户电脑不受有害软件的侵扰。
由于防病毒厂商能够迅速探测到全球爆发的威胁，在第一时间内发布计算机防护和恢复的安全更新，并且能够集中管理已部署的解决方案，因此面对不断增长的间谍软件风险，防病毒厂商在提供长期全面解决方案方面拥有无可比拟的优势。
当然，我们需要注意的要点仍然很多，最基本的一点就是首先要选择一款好的反间谍软件工具，它不仅应该能够检测尽可能多的间谍软件，毫无残留地消除“间谍”在系统每一个角落中留下的残渣余孽，避免死灰复燃，还应该安装和部署简便，可以方便地升级间谍软件特征表。好的反间谍工具应该提供迅捷明了的状态显示报告，可以让用户及时了解间谍软件给公司造成多大的损害，最大的风险和威胁在哪里。当然，在企业中，一个方便管理的中央控制台也是必不可少。
尽管关于“及时更新补丁、避免从不安全的站点下载文件”这类的安全建议我们已经听过不少次，但仍然会有很多用户不留意这方面的警告；此外，即使我们禁止员工安装未经认证的程序，限制他们访问与工作无关的站点，但敲错一个字母就可能进入包含恶意代码的网站，因此，客观地说，间谍软件是无法根本禁绝的，所以，及时做好灾难备份也是对数据敏感企业必要的准备。
在这方面，一度被不少人认为“捞过界”的赛门铁克公司，无疑体现出了先见之明，因为事实表明，在有些情况下，选择数据的重新恢复，比清除间谍软件还要保险和方便得多。
最后，我们要忠告所有的企业，信息数据已经成为现代企业生存的根基，到2012年，企业需要管理的数据量将是现在的30倍，“匹夫无罪，怀璧其罪”，当信息之“璧”有了越来越重要的价值，再面对环伺四周，狡猾狠毒的间谍，即使是最乐观的企业，也决不能掉以轻心。

编看编想：菊花与剑
在人类的历史中，间谍一直无所不在，《孙子兵法》在“用间第十三”就曾明确提到过：“无所不用间也”，意思是没有什么地方你用不到间谍。
2500多年后，这句话因为互联网的普及再次发扬光大，而泛滥汹涌的间谍软件所影响的，也不再仅仅是网络安全的行当。
在做这期专题的时候，笔者一直在考虑这样一个问题：实际上，大多数的间谍软件和反间谍工具并不矛盾，他们并非代表着黑或白的对立面，因为它们都是为着商业利益而进行博弈。就像电影《绿茶》中的那句话，“这世界上没有好人、坏人，只有生意人。”间谍和反间谍软件更像是怀着不同目的人，被使命挤到了同一条道路上。
间谍本身就是矛盾的，他在达到自己的目的之前，先要具备对于目标的诱惑力，而冰冷的刀锋，则在深处暗藏。这让人想起日本文化中所推崇的菊花与剑：至刚与至柔，冷酷与娇媚，形成了一种奇特的难以言说的力量。
对于间谍软件，我们将其定义为：任何在用户不知情的情况下，把计算机使用者的信息，秘密发送给幕后操纵者的程序。我们为什么要反对间谍软件？很简单，因为它侵犯了我们的隐私，但另一方面，不少间谍软件却又显示出潜在的魅力。
以笔者为例，我是一个计算机DIY的爱好者，经常在网上寻找相关的信息与文章，久而久之，我发现，网络似乎已经了解我的爱好，在搜索时，更相关的链接会排在前面，在登陆一些网站时，会给我推荐相关的信息与产品，后来我才明白，这其中很大一部分是“间谍”的作用，我的爱好等信息已经通过它，在不知不觉中传递给了那些网站和广告商。
人类的行为本身是很有关联性的，也容易从数据中来推测，比如我热衷于可以超频的CPU，根据统计，这样的爱好者也会对相关的降温设备感兴趣，于是广告商也会向我推荐这类产品，我不仅不会反感，甚至可以说很愿意看到。
你可以设想一下，如果间谍软件只是悄悄运行，不影响你的正常使用，也不会盗取那些口令或密码，但却能够让网络变得“懂事”，提供符合你口味的信息、书籍或者其他产品，而不用你费尽心力地在网络上反复搜索，你难道不愿接受吗？
但换个角度来说，关键的症结就在于，我们怎么确定“间谍”是在做我们允许它做的事情，我们怎么知道在赏心悦目的花朵之下，没有伤人的剑刃？
现在的互联网，稀缺的不是眼球，因为它很容易来，也很容易流走；稀缺的也不是“芙蓉姐姐”似的噱头，因为个性的张狂早已随处可见；互联网稀缺的是信任，人与人的信任、企业与企业的信任、用户对厂商的信任，而正是这种信任的缺失，才赋与了“安全”在网络时代非同寻常的意义。