论文部分内容阅读
赛门铁克误杀系统文件,引发了对杀毒软件频频发生的误报、误删事件的大规模关注。杀毒软件为何变得比病毒更可怕?安全软件为何成为“不安全”的制造者?
据5月22日消息,针对近日大面积出现的“诺顿升级病毒库后把Windows XP关键系统文件清除,致中文WinXP崩溃”事件,已有部分企业用户的赛门铁克软件(北京)索赔。
5月21日早上一到办公室,就看到几个同事围在一起,诉说着电脑突然瘫痪的痛苦。
“周末本来打算在家写稿子,谁知道星期六中午拿出电脑,就发现开不了机。”同事田梦郁闷地说,“打电话给技术支持人员,说是因为赛门铁克星期五升级的时候,把系统文件删掉了。最后只能把硬盘拆出来,再连到另外一台机器上,才重新恢复。等我把电脑弄好都晚上12点了,什么也没干成。”
据记者了解,仅我们报社,就有7台电脑“中招”。而据新浪的调查显示,截至5月23日上午11点40分,参与调查的48658人中有37.61%(18299人)“中招”。也就是说,在赛门铁克的用户中,有一半以上都受到了“误杀”的影响。更有70%以上的受调查者表示,这次的误杀事件会影响其对赛门铁克产品的选择。
那么,误杀事件为什么会发生?曾经让人们深信的安全产品怎么就变成了“不安全”的制造者?
杀毒软件比病毒更可怕?
让人感到颇为不可思议的是,造成这次大面积电脑瘫痪的“真凶”,竟然是最常用的杀毒软件——赛门铁克公司旗下的诺顿。5月18日,赛门铁克发布了新的病毒定义补丁,误把简体中文版Windows XP sp2的两个系统文件NetSpi32.dll和LsaSrv.dll判定为病毒并删除。
就在赛门铁克遭遇“误删门”的同时,其竞争对手、号称误报率最低的卡巴斯基,也被爆误删Windows XP中文版的系统文件。尽管卡巴斯基很快发出声明,称卡巴斯基杀毒软件只是“短暂怀疑Windows XP系统中的shdocvw.dll.doc文件为木马,而且这一现象只在台湾地区发生,并在事发30分钟内即已修正,涉及到的用户极少”。但有数据显示,自去年12月至今年5月,卡巴斯基的重大误杀就有22次之多,卡巴斯基甚至被网友戏称为“误报王”。
有网友表示,自己炒股使用的大智慧、同花顺等交易软件都曾被误杀,不仅数据丢失,还造成了经济上的损失。“杀毒软件的破坏力好像比病毒还要大,现在已经不知道是该怕病毒还是怕杀毒软件了”。
重视不足 本地化成短板
“与国内杀毒软件相比,国外产品对中国软件的收集不足,误报库不全面,这是导致多次误删事件的主要原因”。金山毒霸反病毒专家戴光剑解释说,各大杀毒厂商通常会不断地从用户、互联网中收集大量的程序和软件,其中最重要的就是各种操作系统,最终形成一个巨大的误报库,通常这个库多达几百G的容量,在十几台专用误报测试服务器的速度保证下,完成当次病毒库的测试工作。
在对误报事件的统计中,记者发现,国外安全厂商的误报事件明显多于国内厂商,而大多数的误报又都主要集中在国内流行的中文软件、国外软件的中文版和操作系统的中文版。有不少安全专家认为,多次误杀事件表明,国外安全软件厂商对中国市场,特别是中国大陆市场重视不够,才导致其在中国的本地化工作不足。
“(国外安全厂商)至少在行动上表现出对中国用户的重视不够。如果说从思想到行动上都对中国用户有足够重视的话,本次事件应该是可以避免的,因为这对于安全厂商来说,并不是多大的技术挑战。” 国家计算机网络应急技术处理协调中心副总工程师杜跃进表示。计算机世界评测实验室的工程师李韬也认为,“尽管不少大型厂商在中国都有分支机构,但本地机构所做的工作大都是翻译,并不细致,所以误报率也相对要高些。”
业内人士认为,由于中国拥有庞大的用户群体和网络规模,要想在行动上落实对中国市场的重视,就必须加强对本地恶意代码样本的采集和分析能力、加大对本地用户所使用的系统的了解和测试。不仅如此,国外厂商还应加大本地研发,提高服务能力。
针对此问题,赛门铁克于5月23日举办了新闻发布会,宣布将成立在中国的第一家安全响应中心,并在年底投入使用。赛门铁克安全响应中心高级发展总监Vincent Weafer在会上表示,安全响应中心将监测特别存在于中国市场的威胁和安全事件,打击在中国的恶意软件活动。
Vincent Weafer说,“任何一次误报都是大事,安全响应中心就是为了在中国了解中国软件的特点,今后要把这次的教训用到工作中去,把误报率降到最低。”
为求响应速度 测试环节缩水
北京东方微点信息技术有限责任公司副总经理田亚葵在分析误报事件原因时说,目前许多杀毒软件厂商都存在内部流程管理问题。以特征码技术为主的杀毒软件就是要以最快的速度推出杀毒补丁抢占市场,这样激烈的竞争就造成杀毒软件公司对病毒特征码的提取、分析、测试等周期逐渐缩短。在这个过程中就有可能出现由于内部流程管理的疏忽,从而导致补丁的安全性、可靠性降低,潜在风险增加。
“每个产品都会经过多重测试,保证产品功能不存在问题。但对于内容,也就是病毒定义就不同了。因为病毒定义每小时都要更新,而要对所有测试都过一遍的话,这个数量级是万亿次的,因此在一小时内,只能对某些重要的文件优先测试。”从Weafer的一番解释,可以看出杀毒软件厂商内部生产流程中可能出现的一些问题。“我们在这个事件中得到的教训就是,首先要对自动化的系统进行不断地测试。”
相比国外杀毒软件,国内厂商的心态多是求稳,做法相对保守一些。一般都会花较多的时间完成测试,尽管在时间上有所落后,但对稳定性和兼容性更有保障,因此误报也就相应减少。
虽说误报、误杀从技术上来讲是不可避免的,但是杀毒软件厂商还是应该尽量减少这类事件的发生。“信息和网络安全问题涉及面广,因此计算机安全公司、操作系统生产厂商要加强质量控制,在升级前严格测试。否则,一个企业的失误可能导致用户的大面积损失。” 国家计算机病毒应急处理中心副主任张健说。
据5月22日消息,针对近日大面积出现的“诺顿升级病毒库后把Windows XP关键系统文件清除,致中文WinXP崩溃”事件,已有部分企业用户的赛门铁克软件(北京)索赔。
5月21日早上一到办公室,就看到几个同事围在一起,诉说着电脑突然瘫痪的痛苦。
“周末本来打算在家写稿子,谁知道星期六中午拿出电脑,就发现开不了机。”同事田梦郁闷地说,“打电话给技术支持人员,说是因为赛门铁克星期五升级的时候,把系统文件删掉了。最后只能把硬盘拆出来,再连到另外一台机器上,才重新恢复。等我把电脑弄好都晚上12点了,什么也没干成。”
据记者了解,仅我们报社,就有7台电脑“中招”。而据新浪的调查显示,截至5月23日上午11点40分,参与调查的48658人中有37.61%(18299人)“中招”。也就是说,在赛门铁克的用户中,有一半以上都受到了“误杀”的影响。更有70%以上的受调查者表示,这次的误杀事件会影响其对赛门铁克产品的选择。
那么,误杀事件为什么会发生?曾经让人们深信的安全产品怎么就变成了“不安全”的制造者?
杀毒软件比病毒更可怕?
让人感到颇为不可思议的是,造成这次大面积电脑瘫痪的“真凶”,竟然是最常用的杀毒软件——赛门铁克公司旗下的诺顿。5月18日,赛门铁克发布了新的病毒定义补丁,误把简体中文版Windows XP sp2的两个系统文件NetSpi32.dll和LsaSrv.dll判定为病毒并删除。
就在赛门铁克遭遇“误删门”的同时,其竞争对手、号称误报率最低的卡巴斯基,也被爆误删Windows XP中文版的系统文件。尽管卡巴斯基很快发出声明,称卡巴斯基杀毒软件只是“短暂怀疑Windows XP系统中的shdocvw.dll.doc文件为木马,而且这一现象只在台湾地区发生,并在事发30分钟内即已修正,涉及到的用户极少”。但有数据显示,自去年12月至今年5月,卡巴斯基的重大误杀就有22次之多,卡巴斯基甚至被网友戏称为“误报王”。
有网友表示,自己炒股使用的大智慧、同花顺等交易软件都曾被误杀,不仅数据丢失,还造成了经济上的损失。“杀毒软件的破坏力好像比病毒还要大,现在已经不知道是该怕病毒还是怕杀毒软件了”。
重视不足 本地化成短板
“与国内杀毒软件相比,国外产品对中国软件的收集不足,误报库不全面,这是导致多次误删事件的主要原因”。金山毒霸反病毒专家戴光剑解释说,各大杀毒厂商通常会不断地从用户、互联网中收集大量的程序和软件,其中最重要的就是各种操作系统,最终形成一个巨大的误报库,通常这个库多达几百G的容量,在十几台专用误报测试服务器的速度保证下,完成当次病毒库的测试工作。
在对误报事件的统计中,记者发现,国外安全厂商的误报事件明显多于国内厂商,而大多数的误报又都主要集中在国内流行的中文软件、国外软件的中文版和操作系统的中文版。有不少安全专家认为,多次误杀事件表明,国外安全软件厂商对中国市场,特别是中国大陆市场重视不够,才导致其在中国的本地化工作不足。
“(国外安全厂商)至少在行动上表现出对中国用户的重视不够。如果说从思想到行动上都对中国用户有足够重视的话,本次事件应该是可以避免的,因为这对于安全厂商来说,并不是多大的技术挑战。” 国家计算机网络应急技术处理协调中心副总工程师杜跃进表示。计算机世界评测实验室的工程师李韬也认为,“尽管不少大型厂商在中国都有分支机构,但本地机构所做的工作大都是翻译,并不细致,所以误报率也相对要高些。”
业内人士认为,由于中国拥有庞大的用户群体和网络规模,要想在行动上落实对中国市场的重视,就必须加强对本地恶意代码样本的采集和分析能力、加大对本地用户所使用的系统的了解和测试。不仅如此,国外厂商还应加大本地研发,提高服务能力。
针对此问题,赛门铁克于5月23日举办了新闻发布会,宣布将成立在中国的第一家安全响应中心,并在年底投入使用。赛门铁克安全响应中心高级发展总监Vincent Weafer在会上表示,安全响应中心将监测特别存在于中国市场的威胁和安全事件,打击在中国的恶意软件活动。
Vincent Weafer说,“任何一次误报都是大事,安全响应中心就是为了在中国了解中国软件的特点,今后要把这次的教训用到工作中去,把误报率降到最低。”
为求响应速度 测试环节缩水
北京东方微点信息技术有限责任公司副总经理田亚葵在分析误报事件原因时说,目前许多杀毒软件厂商都存在内部流程管理问题。以特征码技术为主的杀毒软件就是要以最快的速度推出杀毒补丁抢占市场,这样激烈的竞争就造成杀毒软件公司对病毒特征码的提取、分析、测试等周期逐渐缩短。在这个过程中就有可能出现由于内部流程管理的疏忽,从而导致补丁的安全性、可靠性降低,潜在风险增加。
“每个产品都会经过多重测试,保证产品功能不存在问题。但对于内容,也就是病毒定义就不同了。因为病毒定义每小时都要更新,而要对所有测试都过一遍的话,这个数量级是万亿次的,因此在一小时内,只能对某些重要的文件优先测试。”从Weafer的一番解释,可以看出杀毒软件厂商内部生产流程中可能出现的一些问题。“我们在这个事件中得到的教训就是,首先要对自动化的系统进行不断地测试。”
相比国外杀毒软件,国内厂商的心态多是求稳,做法相对保守一些。一般都会花较多的时间完成测试,尽管在时间上有所落后,但对稳定性和兼容性更有保障,因此误报也就相应减少。
虽说误报、误杀从技术上来讲是不可避免的,但是杀毒软件厂商还是应该尽量减少这类事件的发生。“信息和网络安全问题涉及面广,因此计算机安全公司、操作系统生产厂商要加强质量控制,在升级前严格测试。否则,一个企业的失误可能导致用户的大面积损失。” 国家计算机病毒应急处理中心副主任张健说。