據(jù)信息安全廠商卡巴斯基（Kaspersky）日本實驗室的首席安全專家Vitaly Kamluk稱，研究檢測惡意軟件和其他間諜軟件簽名的安全研究人員發(fā)現(xiàn)，他們自身正在逐漸成為攻擊目標。目前，卡巴斯基正與一名奧地利前安全研究人員進行一場法律訴訟。這名研究人員開發(fā)了一種服務(wù)，可以跟蹤反病毒廠商分析惡意軟件的計算機的IP地址，并最終使惡意軟件在反病毒廠商安全研究人員的系統(tǒng)上表現(xiàn)出不同的行為，從而削弱反病毒廠商的檢測能力。Kamluk指出，編寫反惡意軟件簽名的研究人員也正在受到類似的攻擊。另外，灰色軟件（Greyware）的泛濫也給安全業(yè)界帶來了諸多問題，灰色軟件是指介于正常軟件和惡意軟件之間“灰色地帶”的軟件或代碼，它本身不是惡意軟件，但可被不法分子用于執(zhí)行攻擊。在本次采訪中，Kamluk介紹了他在僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)方面的研究進展，揭示了僵尸網(wǎng)絡(luò)經(jīng)營者如何使用逃避法律制裁的技術(shù)銷售其服務(wù)，并透露了正在進行的法律訴訟的相關(guān)信息。

您已經(jīng)對僵尸網(wǎng)絡(luò)及其運營方式進行了深入研究，您發(fā)現(xiàn)有中間人參與僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)嗎？

Vitaly Kamluk：是的，確實有中間人參與了僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)。而且，中間人在其中所起的作用發(fā)人深省。在整個僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)、甚至可能在任何地下市場生態(tài)系統(tǒng)中，中間人所起的作用都至關(guān)重要。你可以想像兩個不法分子之間的一種簡單交易：一個是惡意軟件的編寫者，另一個是僵尸網(wǎng)絡(luò)的擁有者和惡意軟件的需要者。一方面，他們想要達成交易；但另一方面，他們在從事違法活動時對任何人都不信任。在這個僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)中，需要交易的雙方互不信任。這就是為什么會出現(xiàn)“擔保人”的原因所在。交易雙方都信任擔保人（中間人），并通過擔保人完成交易。通常情況下，擔保人都是一些長年活躍在黑客論壇上、具有一定聲譽的人。他們一般只是主持黑客論壇，并不會消失。因此，在不法分子看來，他們基本上是可靠的。同時，擔保人不從事任何非法活動。他們既不編寫惡意軟件，也不擁有僵尸網(wǎng)絡(luò)。他們所做的只是核實賣方提供的產(chǎn)品和買方想要購買的產(chǎn)品。

這些擔保人的所作所為是否處于法律的灰色地帶，因而執(zhí)法部門不能對其行為進行制裁？

Kamluk：的確如此。這些擔保人的行為并未觸犯現(xiàn)有法律。在整個僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)中，中間人起著重要的作用。如果沒有他們這些中間人，不法分子之間的交易可能會減少，因為這些不法分子之間很難做到相互信任。正是由于中間人的存在，僵尸網(wǎng)絡(luò)的擁有者能夠通過中間人購買惡意軟件，并從惡意軟件的編寫者那里獲得軟件密鑰。然后，在僵尸網(wǎng)絡(luò)的擁有者和僵尸網(wǎng)絡(luò)服務(wù)的使用者之間的交易中，中間人再次發(fā)揮作用。在僵尸網(wǎng)絡(luò)服務(wù)的使用者中，有些是企圖對特定資源發(fā)動分布式拒絕服務(wù)攻擊（Distributed Denial-of-Service attack，DDoS）的不法分子，也有一些是對使用僵尸網(wǎng)絡(luò)感興趣的其他類型的用戶。

美國通信服務(wù)供應(yīng)商Verizon Business最新發(fā)布的數(shù)據(jù)泄漏報告認為，信用卡號碼交易市場已經(jīng)飽和，從而導致黑市上信用卡號碼價格的下降。信用卡號碼的這種價格波動是否會使這類擔保人業(yè)務(wù)模式隨著時間的推移而發(fā)生變化呢？

Kamluk：不，這只是正常的市場波動。從表面上看，信用卡號碼交易市場的飽和導致了信用卡號碼價格的下降。實際上，信用卡號碼交易市場的飽和是由大量信用卡數(shù)據(jù)被竊引起的。利用互聯(lián)網(wǎng)上免費提供的各種自動化工具，竊取信用卡號碼非常容易。例如，利用開源的安全漏洞檢測工具Metasploit，可以快速有效地編寫惡意軟件。借助這些輔助技術(shù)和框架，不法分子可以更加容易地竊取大量的信用卡號碼。被竊取的信用卡號碼越多，信用卡號碼的價格就越低。

卡巴斯基此前的一份對2010年的預(yù)測報告曾指出，打法律擦邊球的灰色市場將會由僵尸網(wǎng)絡(luò)的擁有者主導。您的研究證實了這一預(yù)測嗎？

Kamluk：在僵尸網(wǎng)絡(luò)生態(tài)系統(tǒng)中，確實有一個被稱作“灰色軟件”的領(lǐng)域。灰色軟件不能直接歸為惡意軟件，但其在開發(fā)時被故意加入了可以執(zhí)行某些惡意操作的功能。同時，灰色軟件不執(zhí)行任何未經(jīng)授權(quán)的操作?；疑浖囊粋€很好的例子是遠程管理軟件。利用遠程管理軟件，網(wǎng)絡(luò)管理員可以遠程控制其網(wǎng)絡(luò)和工作站，并執(zhí)行管理任務(wù)。另一方面，不法分子也可以將遠程管理軟件秘密安裝在用戶的計算機上，并利用此軟件竊取遠程工作站上的信息。不法分子還將灰色軟件這一方法移植到其他領(lǐng)域，企圖使其活動和服務(wù)看起來更加合法。

據(jù)說一名黑客開發(fā)了一種可以跟蹤惡意軟件研究人員的服務(wù)，并將其提供給卡巴斯基以獲取報酬。您能透露一下該事件的情況嗎？

Kamluk：目前，這一案件尚未了結(jié)，我們的法律部門正在處理。因此，請恕我不便透露過多細節(jié)，只能對其做一個簡要的介紹。有一個奧地利前安全研究人員開發(fā)了一種名為“AV Tracker”的服務(wù)。該服務(wù)的基本思想是，編寫一個惡意軟件——一種特殊的間諜軟件，并將該惡意軟件安裝到反病毒廠商實驗室的計算機上以竊取信息。利用竊取到的反病毒廠商的信息，不法分子可以跟蹤執(zhí)行該惡意軟件的計算機的互聯(lián)網(wǎng)IP地址，而且可以肯定這些IP地址屬于反病毒廠商。然后，不法分子提供一個任何人都可以使用的開源軟件模塊，以確保在反病毒廠商的計算機上運行的任何惡意軟件與其在真正的家用計算機上表現(xiàn)的行為不同。這種服務(wù)為不法分子提供了便利，可以使惡意軟件在我們的實驗室中表現(xiàn)出不同的行為，從而削弱我們的檢測能力。我們認為，這一服務(wù)從一開始就是帶著惡意目的開發(fā)的。盡管現(xiàn)有的法律似乎并不禁止這種服務(wù)，但這樣的服務(wù)將不利于安全業(yè)界和正常的家庭用戶，似乎是一種惡意的服務(wù)。  

【編輯推薦】

1. 企業(yè)如何檢測并移除僵尸網(wǎng)絡(luò)
2. Gartner：企業(yè)必須學會檢測僵尸網(wǎng)絡(luò)威脅