看透間諜軟件標准化背後的玄機

最近業界有這樣一則新聞，聲稱幾大全球安全廠商將與業界安全專家聯合，為間諜軟件樣本和測試方法建立一種規范，該主意乍一聽似是個特大喜訊，會讓人以為間諜軟件的末日就要來到，讓我們有一種拿起大刀向鬼子頭上砍去的快感，冷靜地想一想，此事情尚有些不妥之處。

該新聞聲稱，McAfee、賽門鐵克、趨勢科技、ICSA實驗室和托瑪斯網絡安全實驗室（Thompson Cyber Security Labs）在內的五家單位要聯合宣布一項聯盟協議，他們將為間諜軟件消除技術創建識別和測試方法。看來是要建一個反間諜軟件的標准了，但仔細琢磨一下，這件好事怎麼有點寡頭壟斷的味道？無論在經濟總量還是互聯網規模上，中國都能排在世界前列，而且反病毒水平也能排在世界前列，為何這樣定標准的事沒有國內廠商的份？更甚者，就連世界上公認反病毒技術領先的卡巴斯基也被排除在外，這不免讓人覺得有些蹊跷，如果標准的制定變成了寡頭游戲，那麼標准就成了強奸民意的工具。

再說測試樣本，這些專門為測試目的而統制的樣本程序，應該具有哪些行為本身就值得商榷。如果樣本不具備間諜軟件的諸如駐留內存、監控系統、回傳信息等特性的話，，那麼這些樣本就失去了測試的意義，如果具備了這些特性，那它就是一些真正的間諜軟件，將這些真正的間諜軟件交由第三方用戶進行公開測試的做法肯定是欠妥的。另外，這些測試樣本屬於個體樣本，數量一定不會很大，如果把通過這些個體樣本測試做為衡量反間諜軟件質量的標准，那肯定會鬧笑話的，不用說反間諜軟件產品了，隨便寫一個程序把這些測試樣本的特征放進去，都可以通過該測試，那該程序就是個合格的反間諜軟件麼？事實上，任何一個樣本收集團體手裡的活性間諜軟件樣本都不會少於幾千個，因此，避開大量真實樣本而采用小量人工樣本測試的方法，不能不說是一種捨本逐末的方法。

因此，為間諜軟件樣本和測試方法建立行業標准的想法，如果不是少數廠商的別有用心，就是一種病急亂投醫式的天方夜譚。那麼，反間諜軟件行業要不要規范？答案當然是肯定的，就象那則新聞裡說的那樣：對於消費者和組織來講，間諜軟件和其它潛在的非預期技術是快速增長的風險之一。那麼越早些進行規范化，就會越早避免走技術彎路，避免出現做反間諜軟件的廠商在自己的產品中加入間諜軟件功能的情況。

所以，規范反間諜軟件的當務之急不是測試樣本與測試方法的制定問題，而是要對反間諜軟件應該具備的功能和行為進行描述。比如說一個反間諜軟件除了具有基本間諜件掃描功能外，還應該不應該具備監控、反制等功能；對用戶本地信息的收集是不是可以等問題。對於樣本測試，只要找一家大家都認可的權威檢測機構就可以了，相信它們用真正的活性樣本測出來的結果一定更具有說服力。（責任編輯：zhaohb）