反間諜

“間諜，從來是沒有盡頭的遊戲”，這是布拉德·彼特在電影《Spy Game》中的一句台詞。在計算機舞台上演的反間諜軟體劇目中，這句台詞同樣可以成為最合適的旁白。

“間諜軟體”監測部門

在黑客看來，間諜軟體應該是所有攻擊手段中最讓人“沉迷”的，它完美地體現了鬥爭的智慧和操控的快感。

相比之下，間諜軟體如同潛流暗涌，在不知不覺間，進入用戶的信息系統，獲取所需的資料，成功的間諜軟體在達到目的後，甚至會銷蹤滅跡，自我蒸發。 　因此，間諜軟體的目的不在於破壞成名，而是要獲取實實在在的經濟利益。正是這一原因，注定了它比一般病毒更為狡詐、難纏。

反間諜軟體

只要你是一位計算機網路的使用者，基本上，間諜潛入的可能性，包含在你所有的套用之中。

使用電子郵件時，你可能收到由熟人發來的遊戲或者應用程式，一旦打開就中了圈套。當然，在反反覆覆的安全宣傳下，你可能已經有了防備之心，不運行任何可疑的程式，但同樣的，黑客可以僅僅發給你網上一個有趣而熱門的話題，當你點擊連結，“間諜”已經利用瀏覽器的漏洞，悄然進入。

如果你習慣於在網上下載各種免費軟體，請記住，這也是間諜入侵的最佳途徑之一。在商業利益的驅動下，即使很多合法的廣告商或程式作者，也會在有價值的軟體中植入間諜，並附上一則冗長模糊的聲明，通常情況下，我們不假思索就會點擊同意，並進行安裝。而另外一些別有用心的黑客，更是將正版軟體加入“間諜”後，以“破解版”的名義在網上免費發放。

你熱衷於網上娛樂嗎？比如網路遊戲、線上電影、線上音樂廣播、實時聊天等。那么，祝賀你，你和“間諜”親近的機會大大增加了。由於這些套用通常是廣告商最青睞的，他們會利用存在的漏洞，千方百計將間諜軟體植入其中。

你喜歡時髦的部落格和RSS嗎？就在不久前舉辦的Gartner IT安全峰會上，安全專家指出，這些套用，正逐步成為間諜軟體的“未來天堂”。原因是它們大量使用了javascript和ActiveX，同時由於RSS有自動化的特性，這種入侵會變得更加快捷。

最後，即便你已經成為驚弓之鳥，去網上下載反間諜軟體，同樣不能高枕無憂，因為不少間諜程式正是把自己裝扮成安全軟體，有的甚至真具有一定的防毒和反間諜功能，但所有這些都是為了從心理上麻痹使用者，這些打著“反間諜”旗號的軟體，很可能其本身就是更可怕的間諜軟體。

在成功地進入了使用者的電腦後，間諜軟體首先會將自己很好地隱藏起來，隨著技術的發展，這種隱藏寄生的技巧也在不斷進步。

最基本的隱藏方式，是隱藏窗體和檔案，我們知道，Windows應用程式通常會有程式界面窗體，間諜軟體雖然本質上也是一種應用程式，但其通常不包含窗體或者將其隱藏。

在運行時，間諜軟體中危害最大的木馬程式會採用“進程插入”的方式來達到目的。也就是把間諜軟體的DLL檔案插入到正常程式進程的地址空間，從而實現自己監控、竊取信息的目的。

過去，這種DLL的植入通常通過修改註冊表來實現，往往需要再次啟動才能發揮作用，也容易被防毒軟體等程式發現，而現在的一些間諜軟體，則使用掛鈎(Hook)和遠程執行緒函式(CreateRemoteThread)來進行植入，這種方式的可怕之處在於，“間諜”在達到目的之後，可以從正常的進程之中完全“蒸發”，不留下任何痕跡。實際上，它是將自己的信息在掩護之下提前抹去了，其原理就像把監控攝像的一端接到已經錄製好的錄像機上，我們觀察到的影像沒有任何問題，但犯罪已經完成。

上述技術的出現，讓目前的反間諜工具在“間諜”活動時進行變得無能為力，只能在間諜軟體剛進入電腦時予以攔截，而各種“殼”加密技術，使這一步也越來越艱難。

進入用戶電腦的間諜軟體如同一條有毒的藤蔓，纏繞在系統和應用程式之上，並和系統中的某些功能或應用程式建立關聯。這種關聯往往紛繁錯節，難以理清頭緒，因此，當用戶試圖清除間諜軟體時，經常會引起系統或某些應用程式癱瘓。一些新的間諜軟體建立了自我保護機制，在部分檔案被刪除後，可以自動修復，另一些則會“死纏爛打”，一旦發現反間諜軟體，則通過修改註冊表關聯等方式，讓整個作業系統無法正常使用。

間諜軟體的無孔不入和技術的快速發展，使得它以前所未有的速度蔓延，我們的計算機網路，已經處在間諜軟體的包圍之中！

IDC在早前公布的數據中，估計大約67%的電腦都帶有某種形式的間諜軟體，而在權威機構不久前進行的一次調查顯示，91%的接受調查者的計算機上都被安裝了間諜軟體。美國電信提供商Earthlink，曾經利用間諜軟體掃描工具對聯網的計算機用戶進行掃描，在約106萬台計算機上，發現了包括廣告軟體、木馬程式在內的間諜軟體超過2900多萬個，平均每台電腦中隱藏了大約28個間諜軟體！

由中國網際網路信息中心22日發布的《第十六次中國網際網路發展狀況統計報告》也顯示：隨著網民數量的急劇增長和寬頻網路的普及，網民在電腦設備上存儲的賬號、密碼等機密信息也越來越多，以竊取用戶機密檔案和個人隱私為目的的“間諜”軟體已經超過傳統意義上的病毒成為網民的最大威脅。

來自專業反病毒廠商的數據同樣印證了這一觀點，賽門鐵克和趨勢科技新的網際網路安全威脅報告指出，在經過“紅色代碼”、“振盪波”等病毒的洗禮後，人們普遍增強了這方面的防範意識，現在這種利用漏洞進行大規模傳播與破壞的病毒，已經不是黑客攻擊的“主流”，而以商業和經濟利益為目的的間諜軟體，則獲得了前所未有的發展，成為目前網路安全威脅的頭號敵人。在賽門鐵克公司截獲的最多的50種惡意代碼中，竊取用戶的機密身份資料的攻擊占了54%，較去年上半年增長了44%。

國內的反病毒企業瑞星、金山也表示，收到用戶對間諜軟體的投訴不斷增多，由於這些軟體具有欺騙隱瞞用戶、強制彈出廣告、秘密收集信息、難以卸載等特點，被用戶形象地稱之為“流氓軟體”。

天下熙熙，皆為利來，某項技術發展的動力，通常都不是技術本身，而是其背後的經濟利益。間諜軟體之所以在短時間內形成燎原之勢，也和商業利益密不可分。

計算機安全專家表示，在過去，病毒、間諜軟體等惡意程式的作者通常是些好奇的年輕人和一些希望自己揚名的程式設計師。但現在一切都變了，金錢成為赤裸裸的動機。據調查顯示，目前現實中所發現的惡意軟體的樣本中，有70%是受利益驅動的。

賽門鐵克認為，2003年，針對電子商務的攻擊行為只有4%，而今年這種攻擊行為增長了四倍，其中不少更是直接面對商業的核心——金融。

比如今年三月，一個高科技犯罪團伙就曾經涉嫌企圖利用間諜軟體，從日本住友銀行集團倫敦辦公室竊取2.2億英鎊。這種間諜軟體就是上文提到的新式木馬，可以記錄敲擊鍵盤的動作，從而竊取信用卡號、身份證號碼，密碼等重要信息，據稱該木馬已經被成功植入，後來因偶然的機會轉換作業系統才被發現，令銀行相關人員驚出一身冷汗。

不久前在國內被頻繁報導的“網銀大盜”同樣是間諜軟體的一種。它會把用戶正常登入網的銀行頁面，自動跳轉到一個沒有安全控制項的登入頁面，以竊取用戶的賬號及密碼。

在網路遊戲領域，利用間諜軟體盜取玩家重要信息的事情更是屢見不鮮，有些程式設計師更是專門針對某個遊戲，分析各個環節，開發對應的間諜軟體，操作得手後，一兩個月就可能獲得數十萬元的非法收益。

覺得只有上述的這些行業會受到間諜軟體攻擊的想法是天真幼稚的，“間諜”之網，正越撒越大，甚至逐漸變得明目張胆。

據報導，一家俄羅斯網路公司竟然公開宣布，將向傳播其間諜軟體的“合作”網站，支付每千台感染計算機61美元的報酬。這家名為iframeDOLLARS的網路公司把包括廣告、木馬在內的九種間諜程式發放給“合作者”，再通過他們的網站，散布給成千上萬的用戶。由於利用了作業系統的漏洞，這些間諜軟體無需藉助任何ActiveX外掛程式或彈出視窗，用戶在訪問包含有這些間諜軟體的網站時，會在不知不覺地把“間諜”領進門。

儘管有很多人對此表示譴責，但該網站生意卻相當不錯，據報導，iframeDOLLARS在一周內籍此賺取了75000美元廣告費，而其支付給“合作”網站的費用不到12000美元，利潤的確相當豐厚。

如果這種厚顏無恥的“商業模式”不被有效阻止，一旦蔓延開來，其對網路安全的危害將難以估算。

從理論上講，要想有效地清除間諜軟體，首先就要有一個清晰的標準來定義它，並以此作為準繩進行判斷和查殺，但要做到這一點卻是如此的困難。這也使得針對間諜軟體的通緝令遲遲無法完成。

和病毒不同，間諜軟體的標準並不是非黑即白，而是存在很大的灰色空間。通常情況下，我們認為，任何在計算機用戶不知不覺的情況下，秘密蒐集使用者的相關信息，並將其發給幕後操縱者的軟體都可以稱之為間諜軟體，但是，很多合法的廣告軟體實現的也是類似的功能，這使得界定起來非常困難。

有的人認為，可以通過傳送信息的最終結果是否帶有惡意來進行判定，但實際上，是否具有“惡意”，人類能夠通過智力和直覺來判斷，但要沒有意識的計算機軟體來進行區分，卻難以實現。

上述的原因，使得反間諜聯盟內部就已經矛盾重重，因為有的企業本身就依靠廣告軟體來獲利，它們加入反間諜聯盟的重要目的之一，就是希望通過清晰的定義，把自己的軟體劃分到被清除的範圍之外，而另一些公司則反對這種做法。這使得反間諜的工作，只能在一灘渾水裡完成，各種麻煩層出不窮。例如，Gator的廣告軟體本來被CA公司列在間諜軟體名單中，但今年年初，Gator提出了投訴，CA只得將其從黑名單中消除。在另外一起案例中，微軟也面臨著是否要提高廣告軟體Claria的威脅等級的兩難境地。微軟的反間諜軟體AntiSpyware此前建議用戶要隔離Claria的產品，而現在，微軟仍對Claria的軟體進行監控，但不再建議列為清除對象。同樣的，賽門鐵克也面臨Trekeight LLC公司的投訴，因為它把後者的產品列為廣告軟體。而賽門鐵克則認為，它是站在用戶的立場上，並且有權利採取這樣的行動。

間諜軟體上的糾纏不清，經濟利益是一個重要原因，間諜軟體可以給幕後操縱者帶來巨大的經濟利益，同樣的，如果從生意的角度來看，反間諜市場也是“大有可為”。

據統計，2004年具備反間諜功能的套裝軟體銷售額僅為850萬美元，但預計2005年此類軟體的銷售額將產生500%以上的增長，Radicati集團發表的一份相關報告預測，安裝反間諜件工具的用戶數量將由2005年的1600萬增長到2009年的5.4 億，未來4 年內，反間諜軟體工具的銷售收入也將由1.03億美元增長至10億美元。

這些數字無疑也暗示出，間諜軟體和反間諜工具的鬥爭將進入一個前所未有的白熱化階段。

不過，和“間諜”作鬥爭，顯然比清除病毒要困難得多，因為應對後者，最重要的是能夠及時捕捉，而前者即使僅從技術角度來看，就牽扯到了很多棘手的問題。

比如前面所提到的對間諜軟體準確判斷的問題，由於缺乏統一的標準，不同的廠家都有不同的方式，比較嚴謹合理的像賽門鐵克所採取的“風險影響模型”（參看錶1），就是綜合多種行為因素，包括能否讓用戶自由選擇刪除等，來判定是不是間諜軟體。

表1 風險影響模型

類別 關鍵因素示例

性能影響 系統運行速度變慢/系統穩定性彈出頻率

私有性影響 泄漏保密、敏感的信息泄漏較不敏感的資料，如對Web瀏覽進行跟蹤

刪除 明顯避免卸載卸載功能不可用或不完整

安裝 靜默安裝沒有用戶界面

普遍性 商業性供貨或分銷

再比如，究竟從什麼位置阻擋間諜軟體是最有效的，有的企業認為應當從桌面阻止，因為移動技術在企業內的大量套用，使得越來越多的計算設備脫離了由網關所劃定的安全疆域，如果他們在網關的保護之外感染了間諜軟體，然後又再次被接入網路，這台機器本身就成了協助“間諜”潛入的“間諜”。所以，先要保證每一個“內部成員”的可靠性。

而另外一部分企業則認為，桌面工具始終是被動防線，“更好的”間諜軟體總會突破這道防線。因此，應該在網關處採取防護措施。

目前較為公認的看法是，針對間諜軟體，企業應該採取多層次的防護措施，才能收到理想的效果。

由於間諜軟體的擴散方式是非線性的，而且越來越有攻擊性。因此，它的防護問題已經影響到整個信息王國的安全，這種威脅對企業而言尤其嚴重，根據Forrester Research一份名為“2005反間諜軟體方案”的報告顯示，目前企業被感染間諜軟體的程度還難以準確統計，由於間諜軟體超常的隱蔽性，和現階段很多查殺工具的無力，使得不少公司都不清楚自己的電腦設備中有多少被感染，但至少一點，已經發現被感染企業的數量，正在以驚人的速度攀升。

分析師們認為，受到困擾的企業用戶，首先會向傳統的防病毒廠商那裡尋求幫助。反間諜軟體就如同防病毒一樣，都需要一種可靠的解決方案和專門的研究及回響機制，來跟蹤新的間諜軟體風險，並及時提供隨威脅變化而變化的升級版本。雖然間諜軟體與傳統病毒存在區別，但是防範它們的目標是相同的，即保護客戶電腦不受有害軟體的侵擾。

由於防病毒廠商能夠迅速探測到全球爆發的威脅，在第一時間內發布計算機防護和恢復的安全更新，並且能夠集中管理已部署的解決方案，因此面對不斷增長的間諜軟體風險，防病毒廠商在提供長期全面解決方案方面擁有無可比擬的優勢。

當然，我們需要注意的要點仍然很多，最基本的一點就是首先要選擇一款好的反間諜軟體工具，它不僅應該能夠檢測儘可能多的間諜軟體，毫無殘留地消除“間諜”在系統每一個角落中留下的殘渣餘孽，避免死灰復燃，還應該安裝和部署簡便，可以方便地升級間諜軟體特徵表。好的反間諜工具應該提供迅捷明了的狀態顯示報告，可以讓用戶及時了解間諜軟體給公司造成多大的損害，最大的風險和威脅在哪裡。當然，在企業中，一個方便管理的中央控制台也是必不可少。

儘管關於“及時更新補丁、避免從不安全的站點下載檔案”這類的安全建議我們已經聽過不少次，但仍然會有很多用戶不留意這方面的警告；此外，即使我們禁止員工安裝未經認證的程式，限制他們訪問與工作無關的站點，但敲錯一個字母就可能進入包含惡意代碼的網站，因此，客觀地說，間諜軟體是無法根本禁絕的，所以，及時做好災難備份也是對數據敏感企業必要的準備。

在這方面，一度被不少人認為“撈過界”的賽門鐵克公司，無疑體現出了先見之明，因為事實表明，在有些情況下，選擇數據的重新恢復，比清除間諜軟體還要保險和方便得多。

最後，我們要忠告所有的企業，信息數據已經成為現代企業生存的根基，到2012年，企業需要管理的數據量將是現在的30倍，“匹夫無罪，懷璧其罪”，當信息之“璧”有了越來越重要的價值，再面對環伺四周，狡猾狠毒的間諜，即使是最樂觀的企業，也決不能掉以輕心。

編看編想：菊花與劍

在人類的歷史中，間諜一直無所不在，《孫子兵法》在“用間第十三”就曾明確提到過：“無所不用間也”，意思是沒有什麼地方你用不到間諜。

2500多年後，這句話因為網際網路的普及再次發揚光大，而泛濫洶湧的間諜軟體所影響的，也不再僅僅是網路安全的行當。

在做這期專題的時候，筆者一直在考慮這樣一個問題：實際上，大多數的間諜軟體和反間諜工具並不矛盾，他們並非代表著黑或白的對立面，因為它們都是為著商業利益而進行博弈。就像電影《綠茶》中的那句話，“這世界上沒有好人、壞人，只有生意人。”間諜和反間諜軟體更像是懷著不同目的人，被使命擠到了同一條道路上。

間諜本身就是矛盾的，他在達到自己的目的之前，先要具備對於目標的誘惑力，而冰冷的刀鋒，則在深處暗藏。這讓人想起日本文化中所推崇的菊花與劍：至剛與至柔，冷酷與嬌媚，形成了一種奇特的難以言說的力量。

對於間諜軟體，我們將其定義為：任何在用戶不知情的情況下，把計算機使用者的信息，秘密傳送給幕後操縱者的程式。我們為什麼要反對間諜軟體？很簡單，因為它侵犯了我們的隱私，但另一方面，不少間諜軟體卻又顯示出潛在的魅力。

以筆者為例，我是一個計算機DIY的愛好者，經常在網上尋找相關的信息與文章，久而久之，我發現，網路似乎已經了解我的愛好，在搜尋時，更相關的連結會排在前面，在登入一些網站時，會給我推薦相關的信息與產品，後來我才明白，這其中很大一部分是“間諜”的作用，我的愛好等信息已經通過它，在不知不覺中傳遞給了那些網站和廣告商。

人類的行為本身是很有關聯性的，也容易從數據中來推測，比如我熱衷於可以超頻的CPU，根據統計，這樣的愛好者也會對相關的降溫設備感興趣，於是廣告商也會向我推薦這類產品，我不僅不會反感，甚至可以說很願意看到。

你可以構想一下，如果間諜軟體只是悄悄運行，不影響你的正常使用，也不會盜取那些口令或密碼，但卻能夠讓網路變得“懂事”，提供符合你口味的信息、書籍或者其他產品，而不用你費盡心力地在網路上反覆搜尋，你難道不願接受嗎？