灰色軟件是一個(gè)棘手的安全問(wèn)題。
雖然與高頻報(bào)道的“惡意軟件”和“勒索軟件”等術(shù)語(yǔ)相比���,“灰色軟件”略顯耳生����,但事實(shí)上�,我們每個(gè)人都曾跟它有過(guò)親密接觸:例如,許多新系統(tǒng)中所提供的不為人熟知的應(yīng)用程序�����,或是具備為人熟知的名稱但卻非官方提供的應(yīng)用程序�����。
灰色軟件是一個(gè)棘手的安全問(wèn)題����。
雖然與高頻報(bào)道的“惡意軟件”和“勒索軟件”等術(shù)語(yǔ)相比,“灰色軟件”略顯耳生��,但事實(shí)上,我們每個(gè)人都曾跟它有過(guò)親密接觸:例如���,許多新系統(tǒng)中所提供的不為人熟知的應(yīng)用程序���,或是具備為人熟知的名稱但卻非官方提供的應(yīng)用程序。
這些程序通常是在沒(méi)有得到允許的情況下安裝和執(zhí)行的�����。
它們統(tǒng)統(tǒng)屬于“灰色軟件”——或“可能不需要的應(yīng)用程序”——是計(jì)算機(jī)安全所面臨的持續(xù)性問(wèn)題�����。
什么是“灰色軟件”?灰色軟件(Grayware)這個(gè)名詞是由趨勢(shì)科技發(fā)明�,用來(lái)泛指所有不被認(rèn)為是電腦病毒或木馬程序����,但會(huì)對(duì)你所在機(jī)構(gòu)的網(wǎng)絡(luò)上所使用的電腦的效能造成負(fù)面影響、并引致網(wǎng)絡(luò)的保安受損的軟件�����。
根據(jù)這個(gè)定義���,灰色軟件大致包含了以下幾項(xiàng):1. 間諜軟件(Spyware)間諜軟件是一種安裝在電腦上���,用于記錄用戶網(wǎng)頁(yè)瀏覽喜好(主要以行銷為目的)的軟件�����。
在用戶上線的時(shí)候��,間諜軟件會(huì)將這些信息傳送給其作者��,或其他對(duì)于這類信息有興趣的團(tuán)體�。
間諜軟件經(jīng)常與一些“免費(fèi)下載”的軟件一起下載���,且不會(huì)告知用戶其存在���,或詢問(wèn)用戶安裝其軟件元件的許可。
間諜軟件收集的資料可能包含了用戶的擊鍵信息�����,諸如登入帳號(hào)��、密碼和信用卡號(hào)等�,并將其傳送給第三方�����。
2. 廣告軟件(Adware)廣告軟件是一種會(huì)在瀏覽器中顯示廣告的軟件���。
盡管許多使用者認(rèn)為其具有侵略性,但它并未被分類于惡意軟件之中����。
廣告軟件經(jīng)常在系統(tǒng)中造成惱人效果,例如不斷的彈出致使電腦網(wǎng)絡(luò)或系統(tǒng)效能低落的廣告����。
廣告軟件通常經(jīng)由與特定免費(fèi)軟件搭配分別安裝�。
廣告軟件也經(jīng)常與間諜軟件串連起來(lái)安裝。
這兩種軟件相互依賴滿足各自功能——間諜軟件紀(jì)錄使用者的網(wǎng)絡(luò)行為�����,廣告軟件則依據(jù)這些紀(jì)錄進(jìn)行特定廣告����。
廣告軟件顯示廣告并收集例如網(wǎng)絡(luò)瀏覽喜好等可作為往后對(duì)使用者進(jìn)行廣告的資料。
3. 撥號(hào)軟件(Dialer)撥號(hào)軟件是控制計(jì)算機(jī)的Modem的灰色軟件����。
這些程序通常是撥打長(zhǎng)途電話或者呼叫昂貴的電話號(hào)碼來(lái)為竊取者創(chuàng)收����。
4. 玩笑軟件(Joke program)玩笑軟件是一些會(huì)讓電腦作出古怪行為的軟件���,例如:螢?zāi)簧舷碌罐D(zhuǎn)��、或改變鼠標(biāo)的形狀等�。
這些軟件未必會(huì)對(duì)用戶的電腦構(gòu)成傷害���,但也有系統(tǒng)管理者會(huì)覺(jué)得這些軟件很麻煩��,因?yàn)樵鎏砹怂麄儜?yīng)付用戶查詢的時(shí)間�����。
所以這些軟件亦被列入為灰色軟件�����。
5. 入侵軟件(Hacker tools)入侵軟件通常都是一些協(xié)助腳本小子用來(lái)非法入侵他人電腦的現(xiàn)成軟件���。
由于腳本小子一般都缺乏高深的計(jì)算機(jī)科學(xué)水平����,所以只懂得透過(guò)操控這些入侵軟件來(lái)達(dá)成非法入侵的目的����。
6. 遠(yuǎn)程訪問(wèn)軟件(Remote access tools)遠(yuǎn)程訪問(wèn)軟件本身不一定具有威脅性,相反��,很多其實(shí)都是商業(yè)上用來(lái)讓管理員管理其他電腦的工具��。
不過(guò)���,一但這些工具落入非法入侵者的手上�����,亦會(huì)成為了入侵的工具,所以亦被歸類為灰色軟件�。
一般來(lái)說(shuō),灰色軟件都會(huì)做出一系列用戶不希望遇見(jiàn)��、或感到煩惱的行為����。
但要知道�,灰色軟件不一定是惡意軟件�。
很多灰色軟件的最終目標(biāo)是跟蹤網(wǎng)站訪問(wèn)者來(lái)獲得搜索結(jié)果,以達(dá)到某個(gè)商業(yè)目的�。
灰色軟件的典型癥狀是系統(tǒng)緩慢、彈出廣告�����、主頁(yè)定向到別的網(wǎng)站等����,從而造成騷擾。
因此���,一些IT專業(yè)人士可能會(huì)傾向于忽略灰色軟件�,留出精力專注于破壞力更為明顯的惡意軟件和其他威脅���。
但是�����,這種想法顯然并不合適����。
因?yàn)楹诳涂梢詫⒒疑浖夹g(shù)用作其他惡意目的,例如利用瀏覽器來(lái)加載和運(yùn)行某些程序��。
這些程序可以公開(kāi)訪問(wèn)系統(tǒng)����,收集信息,跟蹤鍵盤輸入����,修改設(shè)置,或者制造某些破壞�。
所以,IT和安全團(tuán)隊(duì)必須充分了解灰色軟件的各種因素����,包括它們是什么?可能存在的潛在威脅有哪些?以及如何處理它們?灰色軟件的潛在危害1. 灰色軟件可能會(huì)收集敏感信息灰色軟件可以很好地執(zhí)行合法任務(wù),但是需要付出代價(jià)��,即這些軟件會(huì)在執(zhí)行工作時(shí)捕獲信息����。
雖然并非所有情況都與Cisco Talos識(shí)別的Persian Stalker Telegram灰色軟件(2018年�,Talos研究人員發(fā)現(xiàn)Persian Stalker灰色軟件攻擊Instagram和Telegram的伊朗用戶)一樣明顯,但其所收集的信息都具備多樣性的特征�����。
一些灰色軟件可以在其應(yīng)用程序代碼中公開(kāi)收集信息,而且您的用戶已同意該操作的可能性極大����。
針對(duì)這種情況,您需要做的就是閱讀許可協(xié)議的第321段C小節(jié)����,相關(guān)信息就在此處。
其他灰色軟件可能會(huì)植入竊取用戶cookie個(gè)人信息的間諜軟件(tracking cookie)或是嵌入鍵盤記錄程序�����。
總之��,無(wú)論是何種用例��,都能輕易地在未經(jīng)用戶許可的情況下獲取到敏感信息��,這是一個(gè)非常棘手的問(wèn)題��。
2. 灰色軟件會(huì)增加安全負(fù)擔(dān)安全專家經(jīng)常抱怨稱���,他們及其系統(tǒng)必須歸整大量數(shù)據(jù)才能找到攻擊和漏洞利用���。
而灰色軟件通過(guò)將可能不需要的應(yīng)用程序及其數(shù)據(jù)添加到整體組合中��,進(jìn)一步加劇了問(wèn)題的復(fù)雜性����。
灰色軟件增加安全負(fù)擔(dān)的第一種方式就是通過(guò)附加軟件�。
更多應(yīng)用程序的存在意味著需要分析、部署�����、配置和管理的應(yīng)用程序越來(lái)越多�����,這進(jìn)一步增加了安全人員的工作負(fù)擔(dān)���。
灰色軟件的目的往往是提供廣告���,收集數(shù)據(jù),或兩者兼而有之���。
而所有這些目的的實(shí)現(xiàn)都需要網(wǎng)絡(luò)流量與組織外部的命令與控制(C&C)服務(wù)器的支持�。
流量必須經(jīng)過(guò)嗅探和分析�����,以便及時(shí)發(fā)現(xiàn)惡意流量并將其阻斷����。
而灰色軟件的存在使得整體數(shù)據(jù)量變得異常龐大,為安全工作增加了更多負(fù)擔(dān)�����,即使灰色軟件本身沒(méi)有執(zhí)行任何惡意操作���,但其存在和活動(dòng)也為惡意軟件的藏匿提供了很好的基礎(chǔ)����。
3. 灰色軟件可能會(huì)隱藏惡意軟件除了為惡意軟件提供藏身之處外�����,灰色軟件還可以附帶惡意軟件��,并將其隱藏在應(yīng)用程序、助手程序和服務(wù)中���,聲稱可以為用戶提供更高的下載價(jià)值����。
在灰色軟件上運(yùn)行的惡意軟件包括偽裝成防病毒保護(hù)程序的木馬病毒����,系統(tǒng)不支持的瀏覽器助手程序,以及幾乎所有類型的惡意負(fù)載示例����,其中包含名稱以及表明它們是合法軟件的描述。
大多數(shù)這些惡意軟件示例都應(yīng)該能夠通過(guò)反惡意軟件保護(hù)程序來(lái)捕獲���,但是啟動(dòng)這么多灰色軟件的軟件安裝程序可以為惡意軟件提供足夠長(zhǎng)的覆蓋時(shí)間��,使其能夠扎根并在受害者計(jì)算機(jī)上獲得持久性�。
4. 灰色軟件可能會(huì)隱藏虛假應(yīng)用程序假設(shè)您希望將iTunes加載到您的計(jì)算機(jī)上:您會(huì)搜索該軟件����,采用第一建議,并最終獲得一個(gè)名為“iPrunes”的音樂(lè)管理器和播放器���。
你覺(jué)得只要自己能夠用該軟件調(diào)換曲目���,它就沒(méi)有危害也沒(méi)有違規(guī),對(duì)吧?事實(shí)并沒(méi)有這么簡(jiǎn)單!建議使用合法軟件的原因之一是���,大多數(shù)合法軟件發(fā)行商對(duì)其收集和使用的客戶信息是公開(kāi)透明的����。
但是�����,具有邊緣功能(marginally functional)的虛假應(yīng)用程序可能會(huì)收集遠(yuǎn)遠(yuǎn)超出用戶預(yù)期的信息����,并將其用于更具入侵性的目的。
而“邊緣功能”就是關(guān)鍵:開(kāi)發(fā)復(fù)雜的現(xiàn)代應(yīng)用程序并不容易����,即使對(duì)于大型合法發(fā)行商而言亦是如此。
因?yàn)榛疑浖拇嬖?,用戶可能?huì)在無(wú)意中引入一些功能不佳、不太可靠以及會(huì)與其他商業(yè)編寫(xiě)的應(yīng)用程序相沖突的軟件���,進(jìn)而引發(fā)更多安全問(wèn)題���。
5. 灰色軟件可能與瀏覽器功能混淆與以往相比��,如今的瀏覽器對(duì)不受歡迎的瀏覽器幫助程序的抵抗力要大得多�,但仍然有很多組織出于某種原因還在使用舊版瀏覽器��。
通過(guò)這些老舊的瀏覽器���,攻擊者就能夠輕松獲取到自己想要的信息�。
瀏覽器攻擊主要有兩種廣泛的方式��,即收集未經(jīng)授權(quán)的信息�����,或向不需要的目的地發(fā)送請(qǐng)求���。
前者對(duì)業(yè)務(wù)IT具有明顯的安全隱患���,而后者才是真正危險(xiǎn)的,因?yàn)楦鞣N各樣的惡意軟件可以通過(guò)瀏覽器實(shí)現(xiàn)遞交�����。
此外,由于許多第三方廣告侵占了當(dāng)今大多數(shù)網(wǎng)站��,因此用戶可能甚至無(wú)法察覺(jué)瀏覽器加載項(xiàng)將它們發(fā)送到惡意站點(diǎn)然后發(fā)送到原始目標(biāo)時(shí)可能發(fā)生的多個(gè)重定向�。
6. 灰色軟件會(huì)侵占寬帶資源許多用戶認(rèn)為網(wǎng)絡(luò)寬帶是無(wú)限的,免費(fèi)的����。
但I(xiàn)T專業(yè)人士知道這種想法并非真實(shí)的�����,灰色軟件與其C&C服務(wù)器之間的持續(xù)通信(甚至偶爾的數(shù)據(jù)滲漏)會(huì)消耗合法應(yīng)用程序所使用的寬帶���。
許多惡意軟件開(kāi)發(fā)者已經(jīng)開(kāi)發(fā)了他們自己的應(yīng)用程序���,通過(guò)小流量的形式發(fā)送數(shù)據(jù),以逃避安全系統(tǒng)的檢測(cè)����。
這也就意味著,灰色軟件不太可能在籃球四強(qiáng)賽期間的員工流媒體游戲中占用寬帶��。
但是,一旦這種灰色軟件在員工間傳播開(kāi)來(lái)���,一點(diǎn)點(diǎn)小流量的累積便會(huì)開(kāi)始對(duì)整體網(wǎng)絡(luò)性能產(chǎn)生影響��。
就像應(yīng)用程序本身一樣���,來(lái)自灰色軟件的數(shù)據(jù)也會(huì)增加安全負(fù)擔(dān),增加安全團(tuán)隊(duì)試圖從總流量中篩選出惡意流量的難度����。
灰色軟件防護(hù)方法由于灰色軟件主要是一個(gè)定義,而非一個(gè)技術(shù)問(wèn)題����,因此對(duì)于如何有效防范灰色軟件的答案可能非常復(fù)雜。
主要概括為以下幾點(diǎn):1. 用戶教育用戶教育最基本的方法是讓用戶了解灰色軟件的特點(diǎn)和危害性����,禁止下載和安裝來(lái)路不明的軟件。
或在允許下載和安裝未知的程序之前���,仔細(xì)閱讀“最終用戶許可證”�。
有惡意傾向的灰色軟件和木馬程序通常試圖隱藏起來(lái)����,防止被清除或隔離�����。
減少感染機(jī)會(huì)的另一方法是提高Web瀏覽器的安全級(jí)別��,以及對(duì)所有的操作系統(tǒng)和應(yīng)用軟件都安裝最新的補(bǔ)丁等���。
2. 安裝反間諜軟件程序 新型防灰色軟件和計(jì)算機(jī)上的防病毒軟件的功能類似,它們可以依據(jù)灰色軟件的特征值數(shù)量和特征庫(kù)檢測(cè)���、刪除和凍結(jié)灰色軟件。
反灰色軟件程序又分基于主機(jī)的客戶端軟件和基于網(wǎng)絡(luò)的反灰色軟件兩類����。
基于主機(jī)的客戶端軟件的成本在于安裝和維護(hù),包括在每臺(tái)計(jì)算機(jī)上安裝��、定時(shí)升級(jí)軟件和病毒庫(kù)�����。
由于采用許可證方式�,整個(gè)企業(yè)部署的成本較高�。
另外��,很多木馬和灰色軟件在安裝前會(huì)主動(dòng)檢測(cè)是否有這些防護(hù)軟件��,如果有的話就關(guān)閉掉��,這樣就可以避免被檢測(cè)到�,所以存在一定風(fēng)險(xiǎn)。
基于網(wǎng)絡(luò)的反灰色軟件是在企業(yè)網(wǎng)絡(luò)連接到Internet的邊界平臺(tái)上�����,部署防灰色軟件產(chǎn)品���。
在灰色軟件進(jìn)入網(wǎng)絡(luò)前加以識(shí)別和清除��,降低了安裝��、維護(hù)和保持更新的成本�。
網(wǎng)關(guān)得到升級(jí)���,所有的防火墻后的計(jì)算機(jī)會(huì)自動(dòng)地得到保護(hù)���。
3. 與安全部門合作審核應(yīng)用程序在現(xiàn)代企業(yè)中��,灰色軟件是急于獲取更快�、更方便的軟件來(lái)源所產(chǎn)生的副產(chǎn)品����。
減少用戶摩擦,灰色軟件的大部分吸引力都會(huì)消失�����。
