標題:
〔分享〕病毒也應該有統一辨識碼
[打印本頁]
作者:
luies545
時間:
2006-3-6 06:58 PM
標題:
〔分享〕病毒也應該有統一辨識碼
說它是Zotob.E也好,Tpbot-A、Rbot.CBQ或IRCbot.worm也罷,其實指的全是上個月大肆破壞Windows 2000系統的同一種蠕蟲。在眾多辨識符號中,最有用的或許是CME-540,但卻發揮不出多大的影響力。
這種情況可望改觀。剛結束測試階段的「通用惡意軟體編號」計畫(Common Malware Enumeration;CME)已把這個蠕蟲加上CME-540的標籤。美國電腦緊急應變團隊(Computer Emergency Readiness Team)打算下個月正式宣布這項制度,希望能減少目前安全軟體公司各自為蠕蟲、病毒等惡意程式命名造成的亂象。
此計畫為每一特定的惡意軟體分配一個獨一無二的辨識碼。支持者說,一旦把這種辨識碼納入安全軟體、安全警示和病毒百科全書的詞條,應該能協助民眾判斷系統遭到哪些惡意程式入侵、系統是否已有防護。
CME計畫技術領隊Desiree Beck接受訪問時說:「目前稱呼惡意軟體的方式混淆不清,所以我們給惡意程式一個共同的辨識碼,設法改善這種問題,那麼一旦發生惡意軟體攻擊事件,就知道人人說的是同一個禍害。」
防毒軟體業曾經嘗試商議蠕蟲與病毒共同命名法,但卻宣告失敗。這一次的嘗試,是由附屬於美國國土安全部的電腦網路攻擊因應小組US-CERT所主導。有了前車之鑑,且因這項計畫僅分派一個辨識碼(ID),而不是共同的名稱,允許業者保留自訂的稱呼,安全軟體公司覺得應該行得通,參與的意願也很高。
賽門鐵克公司(Symantec)安全反應中心資深經理Vincent Weafer說:「人人都認為這是個頭痛的問題,業界也數度嘗試凝聚共識。CME是朝正確方向邁出的一步。」
安全軟體商McAfee的資深研究員Jimmy Kuo大致同意,但他指出,CME計畫要成功,先決條件是業界必須共襄盛舉,但那是自願的,不具約束力。他說:「問題是,沒有權威者能強制作任何形式的協調行動。」Kuo希望有人能敦促防毒軟體商採納新的ID規則。
賽門鐵克與McAfee都計劃在自家的軟體與線上病毒參考資料庫中納入CME支援,Weafer和 Kuo表示。趨勢科技(Trend Micro)和Kaspersky Lab的發言人也表示支持。其他主要的防毒軟體公司,包括F-Secure、Sophos、Computer Associates、微軟與MessageLabs在內,也紛紛加入這項計畫。研究與測試機構ICSA Labs也參與其事。
辨認威脅
因為對惡意程式威脅欠缺統一的命名法則,不同的安全公司可能給同一隻引爆疫情的病毒或蠕蟲冠上各式各樣的稱呼,這可能造成混亂。因為單從名稱來看,民眾不確定自己是否面臨一種或多種的病毒或蠕蟲攻擊,也不清楚所擁有的防毒產品有無提供防護。
中型零售商PureBeauty公司的技術部副總裁Victor Go認為,CME計畫有幫助。「此計畫可能協助我們加速查閱病毒資訊,」他說。
在使用多種安全產品的大企業,混亂的現象可能更嚴重。賽門鐵克的Weafer說:「這的確是個大問題。」他說,某個桌上型防毒產品,可能給某快速蔓延的蠕蟲一種稱呼,而電子郵件閘道口或入侵偵測系統的掃描器又採用不同的名稱,這可能導致眾人七手八腳急著查看每一種安全產品有沒有針對某隻病蟲提供防護。
代US-CERT管理這項計畫的Mitre公司職員Beck說,推行CME辨識碼應會紓解這種壓力。她說,初期只對重大的威脅給予一個ID辨識碼,但未來的目標是涵蓋所有影響使用者的惡意攻擊。
「現在(在選擇在哪些病毒上附加CME ID標籤方面)有一點主觀,」Beck說:「我們希望日後能擴及一切的惡意攻擊。」
CME的目標是提供一種中立的、共享的辨識法,讓莫衷一是的命名方式化繁為簡。此計畫會為一隻病毒或蠕蟲隨機選擇一個號碼,不論防毒軟體公司把它們稱作什麼名稱。即使安全公司對同業評定的風險評估等級或惡意軟體的背景有歧見,CME忽略這個問題,專門聚焦於惡意攻擊的特徵,再加上辨識碼。
例如,被冠以CME-540標籤的蠕蟲,看在各家軟體公司的眼裡都不一樣:McAfee認為它是新的蠕蟲(IRCbot.worm),賽門鐵克稱它為Zotob(Zotob.E)的變種,趨勢科技則把它當作另一種威脅(Rbot.CBQ)。有時候,防毒軟體公司為了一致性起見,事後會把蠕蟲改名,但通常也會隔了一段時間,不會馬上更名。
相形之下,Beck說,在病毒或蠕蟲開始擴散後的數小時內,CME就會指定辨識碼。安全公司即可把辨識碼納入他們的產品與安全通告上所含的CME資訊網站連結中。CME網站訂於10月初開張。
Beck說,此計畫建議安全公司把CME標籤加入他們自訂的威脅名稱裡。例如,在使用者電腦螢幕上彈出的安全警示訊息可能顯示如下:「偵測到Zotob.E!CME-540。」
這項計畫完全依賴業者的參與。只有在某安全公司的研究員把附帶報告敘述的威脅樣本傳給CME之後,才會分派一個辨識碼。接下來,CME相關組織會對新發現的威脅展開進一步研究,校對防毒公司提供的訊息,配置一個ID碼,然後公布惡意軟體的簡介資料。
Beck說,業者的參與十分踴躍。她說:「他們都很熱心。我認為,他們相信,這項計畫長期來看是有助益的。」
她指出,該組織的編輯委員會成員包括微軟、賽門鐵克、McAfee和先前已提到的幾家重量級業者,只局限於受邀的業者。其他公司也排隊等候加入。編輯委員會訂出一套流程指南,讓安全公司與研究員在呈報威脅資訊時有所依循,並作為訂定共通ID碼的準則。
Beck透露,第一版CME網站將提供二十幾種威脅的描述,其中一些是在今年第一季CME計畫展開測試的期間所撰寫而成的。剛開始時,該網站會提供威脅的特徵,以及不同安全公司為同一安全威脅所取的名稱。她預告,年年底前,會推出資訊更豐富、完整的網站。
蠕蟲或病毒通常由最先發現的公司命名。除了一些基本規則(例如不可使用真人的姓名以免冒犯別人)之外,防毒軟體公司大致能隨心所欲稱呼新發現的惡意程式。趨勢科技公司全球宣導部總監David Perry說:「沒有大人當家。沒有任何權威人士在那兒指揮該採用什麼標準,所以,你愛怎麼命名就怎麼命名,隨你高興。」
若遇上一隻快速擴散的蠕蟲,安全公司多半同時發現,先給它一個綽號。賽門鐵克的Weafer說:「快速反應很重要,不容我們和同業聚在一起敲定名稱。」
Weafer說,不像颶風可事前命名,這種慣例不適用於病毒或蠕蟲。原因之一是,病毒和蠕蟲有太多變種,而新發現的威脅究竟是已知病毒的分支或全新的威脅,防毒公司時有歧見。
一些防毒軟體公司,包括McAfee和賽門鐵克在內,都已把CME辨識碼納入他們的安全通告。隨著更多的安全威脅分配到ID辨識碼,Beck預期,或許會有更多的安全公司支持這項計畫。
[
Last edited by TCG on 2006-3-6 at 07:07 PM
]
作者:
貓浮
時間:
2006-3-9 09:09 PM
感謝您的分享
受用不盡
歡迎光臨 網際論壇 (http://centurys.net/)
Powered by Discuz! 2.5