作为平坦安全系列的第二篇，记者把重点放在了间谍软件上面。当然，这并非偶然。随着安全一体化进程的加速，各种安全设备、协议、技术层出不穷。然而应了那句古话：道高一尺，魔高一丈！就像本期安全评论中所述，“安全问题的大面积爆发从一年变成了10天。”这其中问题最严重的，就是间谍软件的问题了。

间谍软件是一个“黑洞”，其核心不仅包括了技术层面的东西，而且充斥了大量市场的东西，而这是最令人担忧的。可以说，间谍软件从诞生的那天起，其每一行代码中都渗透了大量的“血和肮脏的东西。”

并非记者偏激，根据美国《Network World》的报导，全美平均每家员工数量在千人以上的企业，每年因间谍软件造成的损失就高达83000美元。而且从最近美国法院对待垃圾邮件厂商的态度来看，指望法律界消灭间谍软件，道路同样漫长而曲折。

也许没有谁比安全厂商更喜欢间谍软件的了。在众多反间谍产品、技术横飞的时候，记者倒是建议用户关注一下，间谍软件的来龙去脉，特别是某些地下黑市中的肮脏交易。经验表明，只有搞清楚间谍软件的细枝末节以后，才可能谈得上防御。

非常幸运，记者在国外的安全论坛中遇到了有“间谍软件教父”之称的大师，Dinesh Sequeira先生。大师是一位具有印度血统的安全专家，目前在著名的安全厂商TippingPoint公司担任数字疫苗团队的研发总监。他本人对于间谍软件有多年的研究，而且他也强调，只有先分清间谍软件的市场脉络，才能谈技术防御，这一点和记者的想法不谋而合。

对此，在充分交换了中美两国间谍软件的信息之后，大师决定和中国的读者分享其研究成果。事实上，记者感觉的出来，大师对于间谍软件在中国的发展非常感兴趣，而且他本人也希望国内用户不要再走美国企业的弯路。

与此同时，记者也根据和大师在论坛与邮件中交流的信息，将间谍软件的所有信息，分“市场”与“技术”上下两篇整理成文，希望国内用户反间谍软件的“英特纳雄耐尔”最终会实现！

根据微软的定义，间谍软件是一种泛指执行特定行为，如播放广告、搜集个人信息、或更改你计算机配置的软件，这些行为通常未经用户同意。有趣的是，大师喜欢将间谍软件列为一种协助搜集（追踪、记录与回传）个人或组织信息的程序，当然通常是在不提示的情况下进行。

广告软件和间谍软件很像，它是一种在用户上网时透过弹出式窗口展示广告的程序。此前，TippingPoint中国公司的安全专家李臻认为，这两种软件手法相当类似，因而在国内统称为间谍软件。事实上，有些间谍软件就隐藏在广告软件内，透过弹出式广告窗口入侵到计算机中，使得两者更难以清楚划分。

另外要注意的是，不论在中国还是美国，很多间谍软件已经出现了衍生形式。由于用户上网时间越来越长，从某种意义上讲，间谍软件已经成为了搜集用户产品、服务数据和购物信息的媒介。

为了吸引使用者的目光，商人开始借助在线广告。它们使用横幅式或弹出式广告来吸引用户访问网站、使用服务或购物。而为吸引新客户，网络公司又用搜寻引擎，让用户看到广告商赞助的搜寻结果。

根据市场调查公司SEMPO的报告，全球关键词的价格已经比2005年已涨了26%，而且还有继续上涨的空间。2006年搜索引擎营销（search engine marketing，SEM）的支出可望增加41%，事实上，仅这一部分就占到了去年全球网络广告支出150亿美元中的40%，而到2007年，可望还有20%的成长。

记者虽然没有准确的国内数字，但却丝毫不怀疑互联网广告的“蓬勃”，有时候看看国内的流氓软件市场，难道不也是如出一辙么？大师认为，目前美国独霸了大量的在线广告业务。设于硅谷的Claria Corporation（也称Gator）每年获得9千万在线广告收入，已经成为最大的在线广告厂商。

“美国企业在不知不觉中正滋养着这些入侵式广告活动。而间谍软件公司也开始规避法律、钻法律的漏洞、甚至利用IE的弱点与功能，通过瓜分这些广告商机而赚进大量金钱。” Dinesh Sequeira如是说。

记者的看法是，中美两国在这一块手法都差不多：在线营销代理商一般会部署广告服务器，招揽广告商和网上出版商，每个月提供数十亿个impression。所谓impression是表示在线横幅广告、联机或产品被看到的次数，有点类似国内的PageView。广告客户加入该网络之后，在线营销代理商就把广告、内容和链接提供出来，让发布商放在他们的网站上。广告递送网络会付钱请游戏和在线影音服务网站把其广告递送程序打包进他们的服务中。

接下来，在线营销公司就开始递送并追踪这些广告，而按照每个impression支付发布网站一笔很优厚的费用，相对地，广告客户也会付钱给在线营销公司。因此，每一个间谍软件一旦被成功下载或安装，网页发布者都可以拿到5%-25%的收益，而每搜集到一个电子邮件地址，也可以拿到20%的收益。

如果用户透过在线营销公司联盟的网络在其搜寻引擎上每做一笔搜寻，它最高可以付给联盟伙伴其收入的50%。每一个经由网页发布或联盟网站拿到的impression、click-through（链接点击）或每一笔消费都会带给他们一笔收入。

在竞相把此类程序或搜寻引擎安装到用户的过程中，在线营销代理商也会寻求联盟或第三方代理商，而后者也会再拉进其它人。这样一个拉一个最后形成一长串的生态链，导致最后难以辨别到底是谁偷偷安装了间谍软件。在巨大的商机面前，联盟伙伴或第三方代理商会无所顾忌地把这种软件安装到不知情与没有戒心的用户计算机中，通常是在没有取得他们的同意下进行。为了获取暴利，间谍软件正逐渐蔓延到互联网上每个角落。

现在读者应该不难理解，为什么微软会不停修补浏览器的漏洞，而记者又接二连三地在报纸上示警的苦心了吧。

根据微软公司自己的披露，IE浏览器的缺陷及Zero-day漏洞被利用的速度愈来愈快，导致随时可用的“概念验证”（proof of concept）程序代码的产生速度大为增加，并神不知鬼不觉地把间谍软件安装到用户计算机中。漏洞公布与攻击程序的推出时间现在已从数周缩短到短短几天。零日攻击愈来愈普遍，对网络的威胁也日益严重。

过去的病毒作者并不求攻击带来金钱回报。以前黑客团体相当松散，他们写出病毒只是为了证明自己技术高超。但现在不同了，恶意程序和病毒作者现在开始为了丰厚的酬劳或佣金而撰写间谍软件，以便攻击IE的漏洞，或与游戏、网络工具等其它有用的程序绑在一起。也因为如此，间谍软件繁殖速度比病毒更惊人，根除也更困难。

由于间谍软件厂商间的竞争十分激烈，导致有些竞争者会把对手的间谍软件程序从用户计算机中清除或阻挡掉，以自己的取而代之。他们也可能为了分食大饼而使出会话劫持和改写联盟伙伴ID的技俩，这些也全都在用户不知情或未获他们允许的情况下进行。

记者由此想到了日前国内沸沸扬扬的“雅虎、奇虎”的流氓软件PK事件，却也是一出“竞争”大戏。

根据IDC的统计，间谍软件对网络带宽与安全的危害，基本上等同于病毒与垃圾邮件之和。Internet上67%到90%的计算机都曾经遭到间谍软件感染。间谍软件（包括广告软件）会窃取带宽与计算资源，还会使企业曝露于安全风险之下、降低工作效率、甚至是吃上官司。可以说，采取积极防护来抵御这种以惊人速度增长的威胁，已是当务之急。

间谍软件诡异难测的特性使其从诞生就成为焦点。由于广告窗口经常毫无提示地弹出，使得现在无论是在大学、企业或在家上网，都变得危险与不堪其扰。这些弹出式广告，可能会在计算机里安装间谍软件来监控用户的上网习惯、应用程序的使用方式、以及输入的数据。事实上，间谍软件通常都是恶意程序代码，会暗中搜集用户计算机或网络上的信息。这种问题软件也可能导致计算机中毒、宕机、或用户身份信息被窃。

细心的读者也许还记得，此前记者曾经报道过一些恶意软件的攻击方式，其中“诱骗”是其中最隐蔽的一项。不幸的是，许多间谍软件正是利用宣称能提供网络新功能的应用程序（免费下载）而侵入系统。这些应用程序往往标榜可加速上网速度或提供删除程序，但如果用户真的下载下来，它们就会做出相反的事情。

有证据表明，包括用户的鼠标点击、键盘的每个动作，或者用户曾经浏览过的每个网站，都会被回传给在线营销公司或黑客组织，为日后的垃圾邮件或更多不请自来的广告打开大门。

微软公司在今年年中曾经披露，他们估计所有Windows操作系统的故障，有超过50%是由间谍软件造成的。而Dinesh Sequeira先生也曾私下透露，间谍软件问题已经严重到连美国政府都通过“互联网间谍软件防御法案”（Internet Spyware Prevention Act，I-SPY）希望以罚金与监禁等严厉惩法来遏止间谍软件犯罪。不过鉴于美国司法系统目前在翻垃圾邮件中的态度（详见本报上期安全头条），恐怕反间谍法案执行起来同样将困难重重 。

目前一些安全厂商提出的“纵深防御”或者叫“深度包检测”（defense-in-depth）技术，被证明是可以有效阻止非法安装间谍软件的意图，当然这并非单一技术，而是一个体系，甚至是一整套设备。

对此，有一点记者和大师的看法一致：虽然市场上的反间谍软件工具林林总总，但至今仍因功能有限而无法实现全部防御，这些工具需要不断更新而且有些本身具有入侵性，误判率高，妨碍桌面应用程序的使用，而单一工具对成千上万演化快速的攻击与入侵性应用来说几乎毫无招架能力。

虽然不愿意承认，不过记者不得不指出，间谍软件的种种恶行与危害，同样反映出了安全的平坦化趋势。难道不是么，IPS也好，反间谍工具也摆，之间的紧密配合与安全联动，恰恰再一次验证了：安全是平的。 

顽疾：捆绑的“管源线虫”

记者曾和Dinesh Sequeira先生提起北京发生的“管源线虫”事件。大师风趣地表示，间谍软件也是一只“管源线虫”----挥之不去，杀之不死。

事实上，间谍软件像一只生命力旺盛的寄生虫，其对宿主企业已经形成隐私与安全上的重大威胁。这些入侵性应用程序在搜集了包括信用卡卡号、密码、银行账户信息、保险信息、电子邮件和用户存取数据等敏感信息后，将其传给不知名的网站而危及公司形象与资产。

而由间谍软件所产生的大批流量也可能消耗公司网络带宽，导致关键应用系统出现拥塞、延迟以及丢包的情况。

有一点记者痛恨的很：和早期的病毒一样，许多间谍软件写得很差，在进入企业网络后可能产生新的漏洞，或是造成服务器使用时出现严重的性能问题，如常见的屏幕冻结（frozen screens）、不定期变慢与通用保护错误（General Protection Fault）。

这对企业的IT部门绝对是一场大灾难。记得新华人寿保险集团的IT经理曾经抱怨，最怕接到业务部门有关“网络速度慢”、“频繁死机”和“屏幕没有反应”的求助，因为这相当程度上与间谍软件有关，不仅处理麻烦，而且反复发作。事实上，间谍软件不但造成IT部门的成本增加，更重要的是还使公司基础架构的项目进度托后。

此外，随着中国越来越多的企业在海外上市，Dinesh Sequeira先生提醒说，根据塞班斯法案和健康保险与责任法案（HIPPA）的要求，很多美国企业都面临着找出各种间谍软件把哪些信息泄漏出去的重大挑战。这不仅让公司身陷知识产权窃取、未经授权公开个人信息、过早将财务信息公开的麻烦，而且很可能深陷法律危机。他认为，中国企业对此同样不能忽视。

最后想说明一点，间谍软件并非一成不变，其本身可以分成七大类型，包括浏览器劫持、在IE中安装工具列、弹出式广告、Winsock劫持、中间人代理服务器、广告递送cookies、系统监控及拨号程序（dialer）。

这七大类的间谍软件其传染方式各异。其中最主要的感染模式包括“随看随下”（drive-by downloads)、“免费资源”（useful free）网页下载、P2P 文件共享、基于IE的社会工程学攻击（本报此前有专门报道）、弱点和安全问题以及滥用Windows功能。

更加可怕的是，与病毒和蠕虫不一样，间谍软件应用程序会深度内嵌于操作系统，并变更登录和网络堆栈。在此情况下，用户若试着删除间谍软件，经常会删除不彻底或破坏其它功能，如企业常见的网络存取失效。

关于具体的技术防御手段与应用部署，记者将在下期和读者分享。只不过在此希望提醒读者注意，间谍软件并非个人行为，其市场因素颇多，因此只有在安全基础设施全面建设的与有效配置的情况下，防御间谍软件才有可能。

通过和众多安全专家的交流，记者的看法是：目前全球间谍软件处于市场扩张期。也许这个结论有些可怕，但仅从IDC报告中指出的----间谍软件仅用了两年多的时间，就从超过了病毒和垃圾邮件，成为互联网的最大威胁----不难看出，间谍软件由于存在巨大的商业利益，因此其发展速度之快，超出人们想象。

事实上，根据Dinesh Sequeira先生的估计，随着大量用户浏览互联网所花费的时间越来越多，由投机资金支持的在线广告也将不断增加，在亚洲市场中，这一比例甚至超过100%，而由此带来的间谍软件也会不断地在互联网中滋生和扩张。

令客户反感的间谍软件不但会消耗带宽和计算机容量，而且使企业面临可靠性和安全性风险并降低其生产力。虽然反间谍软件解决方案不胜枚举，但时至今日，已证明它们无法侦测和防止问题。

其实不难理解，对于一个处于上升阶段的市场，无论是人为控制、还是技术封堵、异或是法律限制，其效果都有待商榷。回顾以往，.COM泡沫如此，垃圾邮件如此，流氓软件如此，间谍软件亦如此。

虽然企业没有可以杜绝间谍软件的有效方法，但是只要相信“安全是平的”，那么防御也并非没有手段。一套以IPS、客户端软件、桌面安全软件组成的安全基础设施，只要经过适当配置，还是可以做到相当程度上的安全保护的。此外，通过每周的系统更新，可以很大程度上监视和迅速涵盖新出现的间谍软件威胁或微软系统弱点。

另外提醒读者朋友的是，企业面对间谍软件的爆发增长，除了技术手段，行政措施、网络规章、IT规范的落实，也都是相当有效的安全措施，因此千万不能忽略它们。