“2012智慧城市高层论坛”分论坛“移动智能终端应用安全分论坛”12月7日在北京举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
中国联通研究院高级工程师张尼
张尼:谢谢大家,也谢谢林校长,我是中国联通研究院的张尼。今天非常高兴能够参加咱们终端安全的论坛。我想跟大家分享移动恶意软件方面的内容,想跟大家一块儿探讨和交流。刚才我们听了中国移动的冯处长的演讲,非常的精彩。让我们作为同行学到了很多东西。而且,刚刚在结束的时候,我发现从林校长,或者是在座的各位同行都有很多意犹未尽的地方,对很多移动恶意软件非常感兴趣,想深入的了解一下。我下面就作为一个下半部分重点剖析一下移动恶意软件是怎么回事,让大家对移动恶意软件有一个深入的了解,我们想要防治它,想要克服它,想要更好的体验移动互联网的安全,丰富多彩的应用,首先要了解这个弱点是什么,攻击是什么,这对大家是很有帮助的。
那么,今天的PPT一共分为四部分,第四部分是整体的移动互联网环境的分析。这一块可能快一点,我们现在从用户规模来看,目前我们截止到今年的第一季度,我们手机用户早就超过了十亿,我们手机上网用户现在已经接近了3.9亿,这是今年第二季度的数据。然后从终端操作系统平台来看,根据国际著名的咨的统计,目前安卓已经超过了塞班的出货量。这说明一个什么问题?说明了我们知道塞班是一个半开放的系统,不安全的空房,安卓是一个更不安全的系统,是一个完全开放的系统。这说明一个不安全的系统被一个给不安全的系统取代,这说明未来很长一段时间里占主流的操作系统将会给整个终端以及基于终端上整个生态系统带来长期的安全威胁。
我们看下面的应用发展状况,这是根据今年找一些数据,我们可以发现中国的应用商店中的应用数量是持续的增长。这说明了什么,用户对终端,对应用的依赖,已经超过了对运营商品牌的信任。用户可以为安卓,从一个运营商换到另外一个运营商,可以为Iphone从以前最忠诚,最珍爱的运营商,换到另外一个拥有先进技术的网络运营商,这说明了什么?应用终端已经是一种主导的驱动,这是一种变化。我们看在这种大形势下,移动互联网面临着什么样的挑战呢?可以分为三层。那么,我们看这里我们重点强调的是终端,尽管网络业务漏洞很多,可能以后有机会的话我们再分享。我们说终端是最关键的,最重要的,为什么这么说,作为一个运营商,为什么这么说,因为我们说终端离用户最近。用户代表着什么?终端用户和PC用户不一样,终端用户的钱和手机是相关的。像林校长所说的,我们现在有多攻击者已经搞成了利益链。不是传统的受我的技术有多好。现在主要是为了一个利,就是为了让用户买单。
在所有的终端安全威胁中,刚刚已经列了很多,我们说移动恶意软件是一个最最重要的威胁。因为不仅作用于终端,而且传播与网络,对移动终端的网络也造成了影响,这说明这个问题很严重。在移动的网络,在连通的网络上,我们可以看到大量的手机病毒流量在传播这说明了我们的网络中有中毒的用户。时间我们的网络在助纣为虐,所以说我们不但要在终端上防止,还要在网络上纺织性质。
这里的危害有哪些呢?我们具体来说,对用户来说是三个,首先是经济损失,不会利谁会免费付出辛苦做这件事。第二个是隐私泄露,隐私也是钱,不仅仅是我有窥探的癖好,不是,我拿到你的隐私以后,无论是怎么卖,还是给你一个账号让你自己去取,都是为了钱。最后是影响正常使用,这是一个副作用。病毒工作的时候,自然会消耗你的电源和影响你的网络和使用。对运营商来说,有四点危害。
第一个肯定是影响你的通信服务,这个病毒工作的时候,你的通信服务肯定会受到影响。网络的资源,带宽,基站,功能都被占用了,还有一个是用户如果一旦中毒,造成经济损失的时候,就会引发用户的投诉,赔不赔,不赔的话继续告你,你赔付的话会造成经济损失,现在有很多的打官司专业户,我有本事,我有时间,用户你跟我提需求,你说你的流量解释不清楚,我替你打官司,以前叫做诉师。还有的像李小冉这一块,担心中毒,担心隐患,我不适用别的号了,很多的需求就要受到压抑,运营商很多的东西就无法开展,就出现这种情况。
还有一个就是说运营商品牌的形象很差。别人说运营商没有安全感,无论是人还是运营商,没有安全感这件事就不太好。
下面是几个具体的例子。这几个例子我们快一点说,如果大家感兴趣的话,咱们再剖析一下。第一个是非常有名的,叫做僵尸网络病毒,这被称为2010年的毒王,是针对与塞班系统的。刚开始放在塞班论坛上,有一些恶意程序和正常的程序捆绑起来。用户一下载就中毒了,中毒了以后,就把他的隐私信息传给后端互联网上的服务器。这个服务器知道这些信息以后,可以驱使控制这些,我们说肉机,或者是肉机终端,确实他们发指令,你给我发垃圾短信,为什么发垃圾短信呢?后面会说,这个病毒制造者也是接定单,他就让肉机密他发。就让通信录的其他的手机来发恶意链接的短信,我和谁关系好,我发给他短信,点一下有团购,点一下有羊毛。你一点,下来一个程序一装你也中毒,你再往下传为什么叫做毒王,上过CCTV,一周有一百万中毒,二百万话费消亡了。最终据说有八百万,一般的欧洲国家,或者是小的国家几个国家也没有这么多人,外面也称之为叫做毒后。外国人认为后比王大。可见这是中外驰名的东西。
这是一个针对安卓病毒,叫做给你米,他不发短信,一旦中毒以后,你到一个网站门户上去下载软件,耗费你的流量,为什么下载软件。这又是一个利益联盟。那么,有一些人又给定单了,给黑客,你让用户中毒以后下载我的软件,你下载一个我给你多少钱。类似于点击这种的。有可能这个软件本身就是病毒,那得了,你下载病毒,这个手机多次中毒,我们有人说这是什么,有可能你这个变成一个毒窝,你这里变成了蜜罐,很多的病毒都是这个,用户造灾,每下一次用户都有流量。这是很典型的。“给你米”。
下一个是叫做彩信骷髅,一旦中毒以后就发彩信,短信便宜,彩信贵,为什么这么做,就是为了吸费,很明显把用户的钱转走,产业链中的人可以分成。刚刚说这个病毒挺猖獗的,产业中怎么样呢?我们不说排名了,国内比较知名的是360,腾讯和网秦。腾讯从互联网业务领域移植说明的,说明这种公司的跨界需要资本和实力,一跨就过来了,一两年就成为排在前面的。网秦是属于传统做安全的,积极开发海外市场的厂商。他们的商业模式,就是国内的基本上都是免费的,有少许是收费的。我们曾经看过,我们知道国外厂商在手机安全市场上都水土不服,为什么,在中国想收费,想用服务质量争取高端用户,但是在手机这一块确实行不通,他的优势最高在市场份额就百分二三。然后所以说,现在很多的厂商,考虑到引擎免费,升级收费,多种免费收费相结合的方式,灵活一点。在商业合作方式。安全厂商为应用商店,运营商,第三方运营商店提供扫描杀毒和检验服务,这是一个我们觉得安全厂商,在应用商店市场是一个重要的成员。当然和运营商和终端商场希望在手机定制上有合作,具体的不细说了。
在标准上,运营商有OMA,ITU和国内的CCSA等等,在手机安全方面制了标准,我们说业界没有标准是不行的,必须有标准,否则大家没有什么共同语言了。这些标准大家感兴趣可以查阅一下。
下面我们就是第一个是整体环境的介绍。下一个是走进移动恶意软件,看看到底是什么东西?我们说这主要可以分为五类。我们说恶意软件是一个统称,不能出一个东西就是恶意软件,就是病毒。我们说大概分为五类,有病毒,病毒是专门破坏系统文件的。第二个是蠕虫,专门侵害资源。木马是专门留在系统后门偷偷做一些事。僵尸网络可以控制,可以隐藏,可以时时发作,可以一个点控制多个手机终端一起做坏事,间谍软件就是搜集信息,不给你下载东西也不感染你。就是搜集你的隐私信息。我们说这些软件都有相应的利益。这是一个简单的比较,说明我们经过四个维度的比较,现在的危害比较严重的是手机僵尸网络,因为他有这种交互的能力,不是说单纯的装上一次,一次交付就OK了,就自生自灭了。这个不是,手机僵尸网络可以和后台不断的通信,有各种各样的命令操作,远程控制,实践证明,一旦出现一次,爆发一次,造成的危害是非常大的。
那么这是攻击平台的智能机平台的类型,目前来看,这不是官方数据,从厂商搜集的数据,目前来说安卓的单月的攻击量最大,总数还是塞班最大,我们说受攻击的不是智能机。大家不是说越简单越安全。Feature phone也可以做到攻击,这是德国做的一个实验,中间做了一个通信模块,做了基站,可以发自己特殊的网站,发给S40的手机,诺基亚、索爱、LG、三星、摩托等等各种各样的短信,看他们能否正确解析,他发现了很多款手机,接到这样的短信就白屏,断网,重启。这样的手机的很多功能都瘫痪了。这个时候再通过其他的手段通过跳版攻进去效果就很好了。然后恶意软件传播渠道,以前我们说短信和财新,论坛是主流的,少许短距离通信,蓝牙、USB,现在还有NFC功能的也可以传播。现在有更加广泛了,通过各种各样的,像Root是最普遍的,说明这种多元化给安全厂商提供更多的机会,互联网和应用商店,依然高居不下,说明运营商任重而道远。
下面是黑色产业链。这是一个更深的话题。恶意软件不是一个人单打独斗,我们常说黑客是一个人做坏事。现在说黑色产业链组团忽悠,经常有山寨机厂商,不法分子,不法的SP,他们是作为一个需求方,他们想赚钱,就把需求给了中间的一个叫做渠道商,就对缝的渠道商。然后说我有一个垃圾短信要发,我有一个业务像发票等等要推广,你帮我找渠道,我给你多少钱。渠道商以前可以说找电视、报纸等等媒体传播出去,或者是自己发短信传播出去。现在找垃圾制造者,你给我发,因为这是垃圾制造者找病毒制造者,一旦控制了用户,对他来说是免费的,完全用户买单,这个利益就可见了。所有的钱用户买单,然后剩下的钱大家一块儿分。说白了是用户在买单,大家分用户的利益,就造成了这样的一个产业链,而且现在的运转挺好的,黑客专门有一个集团,大多数的病毒在这个集团来为用户打造一些,有渠道商专门认识这些人,有一个QQ群等等不管什么群,上面一发达到什么效果,给多少钱理科有人响应,一下子就形成了这样一个链,对于这种黑色产业链现在很难控制的,他们的信息方式是带外的。现在的终端杀毒软件普及率不高,因为终端的能力实在有限,装了一个强杀毒工具,就意味着你要放弃很多正常的应用程序。然后还有用户的安全意识真薄弱,现在我们又流行一个新病毒,有一个强制病毒,就是一个图片,大家还知道还下载,然后还会中毒,现在有一个叫做短信僵尸,最近也很流行的,就是因为这个原因。
然后我们形势预测,我们觉得恶意软件问题肯定不会停止,肯定会愈演愈烈,而且有钱,有黑色产业链的存在,更强大的恶意软件肯定会出现,而且综合性的会出现,这个软件集合了很多很多的功能,什么功能都有,然后多种手段会结合,不仅仅是一个移动恶意软件,淘宝也有报道,先把一个移动恶意软件,通过旺旺,让你看看我们的货,然后把病毒,很多人通过手机聊天,可以通过那个东西传到你的PC上,或者是手机上,目的是说你一旦中毒以后,监控你的短信,你的验证码,你的所有的输入内容。你一旦完成了什么关键操作的时候,因为现在一般的短信码是发到你手机上,要求你输入一个验证码。就把这个短信给你截获了再发给后台的那个人。就可以是这样的,比如说我是一个坏人,我要用你的账号支付,如果我窃取你的密码以后,现在还需要验证码,是吗?如果我把你的手机控制以后,验证码发到你的手机,同时传给我一份,我就搜集你的验证码,你的手机被我控制,我就完成了支付,现在存在着很多的混合型的操作。受益者,现在看来明显具有服务,可赚钱的属性。有这种业务属性,谁提供更好的安全,谁就有可能得到更好的收益。当然了,对应用商店来说,提供可信的应用商店也会有更多的用户。
下面我们说一下防治方案,通常的防治方无非是四种,终端的方案,应用服务器的方案,很多做业务的人,经常在业务系统进行加固,还有基于网络的防治方案,在智能接口上做这种手机病毒的过滤,还有设备管理,就是说当然这个需要很大的维护量,要对用户的设备进行防治,我觉得这种多面向于企业用户。我们说移动恶意软件实际上是有生命周期的。那么他是最开始肯定是从某一个源头,比如说商店或者是论坛。某一个源头出现。然后最后要执行终端之上,下一步通常来说要扩散,爆发与网络,要防治恶意软件就要从全局,全生命周期的观点来看这个问题。那就想防治运营商来做这件事。终端网络和业务层面,那么在终端层面可以开发自己的杀毒软件,那么就会遇到一个什么问题?你就要和杀毒厂商去竞争。我觉得运营商和杀毒厂商竞争铺具有优势,因为你不可能去收费,去和他维护,和他竞争呢,实际上的优势是不大的,更多是合作,合作的时候怎么合作呢?完全就是说我们定这个终端,你出一个软件,那么这个终端厂商走了,我还有什么呢?什么都没有。可能更多的是要考虑开发一些轻量级的安全应用。就是说我们说我这个内置软件有安全问题,安全问题肯定不能有,但是也不要影响用户正常使用。能不能像一个轻量级的软件,用户想用就用,不想用就不工作,不能说时时刻刻的监控来强迫用户的意志。
为什么要有轻量级的软件呢?实际上是离用户最近,是用户一个门户。大家做东西的时候,都希望能够能贴近做衣服上的东西,谁做产品都希望做一个闹钟,做贴近的东西,为什么?贴近用户,时刻和用户在一块儿,让用户感觉到他的存在,运营商也应该做轻量级的用户端,偏偏陪伴用户,增加品牌意识和存在感,这个东西如果和用户交互,给用户提供扩展性的服务就更好了。网络方面,我们说运营商最有价值的东西就是网络。现在实际上大家都在开发。但是开发得并不是很好。那么,在网络上一个方面,我们说首先要保护自己,在网络上把异常流量去掉,要不影响我们自己的效率,网络效率很低。我们扩容扩的方面都是做坏事的人。因为往往就是说恶意流量占的比例都很大。
第二个方面是说一旦我们保护自己以后,我们为什么不开放的去把这些安全的流量开放出去。我举一个例子说,现在我们一看手机形势,我们说看看360看看腾讯,但是我们说360和腾讯的报告只是从他自己的视野,我的用户,我的报告,360显然不能报告腾讯用户的情况,但是运营商由于在网络测,知道所有用户的情况,把所有的安全态势把握出来就更好了,更权威了。第一手的,这是很需要的。同时可能还要这种主动的去用户联系,切断恶意的,帮助用户来查杀,来帮助用户诊断这些服务和功能。在应用方面,我们认为首先应用商店一定要防护起来。我们三大运营商的运营商店排名不错。我们连通在三家里面排名靠后一点。运营商店是我们重点发展的东西。所以我们说运营商店的整个步骤。事前审核,静态,动态监测,包括开发者的管理,协议,包括软件的更新,包括应用的保护,其实都是重要考虑的问题。
还有就是说对我们现有业务系统,现有的业务系统已经有很多架构在IP上,如何对这种系统进行保护,因为我们说很多的恶意软件,直接就是说去联系业务系统去订购,去和他相连,这样的话会产生利益了。产生这种订购的恶意扣费。所以说利用系统的防护很关键。
最后是一个总结和建议。我们认为针对移动恶意软件问题不是一家可以解决的,需要整个产业链一起协作。比如说很多问题需要政府从中规范,出一些办法等等,从这个方面来做事情,有依据可依,让执行者有法可依。运营商不能做太多的事情,能够做的把黑色产业链,不法分子,不法SP切断,把感染的用户发现出来。然后能够控制在网络上的传播,这是可以做的。对用户来说,实际上用户自己规范自己的行为。提高自己的层次和档次。提高自己的喜好,然后,安装的时候,多一个安全意识,这也很重要。备份这都是一些好的习惯非常重要。对于终端运营厂商,就应该能够开发出更多的,更好的安全产品和机制。安全厂商视野就更广了,不但是基于终端,基于网络和业务等等综合的解决方案。
从技术层面上对运营商有五点建议。就是生态系统的观点,不是说我只关注我的网络,要有一个全局的思考。要加强合作,我有我自己的主动和需求。通过这个需求希望能够促进产业,促进技术的发展。把自己的需求明确提出来。而不是说需求就是为了保护我自己的一亩三分地,可能要为整体的环境要提高。平台方面要有自己的基础安全设施,不是说你做好东西以后拿来为我用,而不是说这个东西等合作伙伴,合作结束了,东西拿走了,我们什么也没有,还是不行然后就是说服务,把安全应该做一个服务。不是说免费的,安全不作为服务的话,这个东西只花钱,不赚钱,运营商或者是谁都干不下去。应用方面关注应用方面的防护,不但是自有应用,也是第三方合作伙伴的应用。在非技术层面,如果运营商想做恶意软件的事,有这样的平台,就要考虑日常和应急的措施。日常的,包括哪一个部门,应该管那件事,各个部门都管,那就是全不管,还有法律的问题,还有移动恶意软件,还有可能会带来金钱上的损失,怎么样和用户协调沟通,还有对用户的安全教育,是否是平时应该提醒用户,给用户很多的接收点。还有应急策略,对事中的怎么样主动监测,来降低他的损失,包括怎么样识别和管理设备,爆发以后怎么样和产业界合作分享这些信息。
谢谢大家。
林金桐:谢谢讲了一个很好的报告,因为考虑到大会邀请所有的参会人员都在这里用午餐,所以我们真的有时间还可以提两个问题。
提问:非常感谢您的演讲,我听演讲的过程中,我有几个想法,因为我不是学技术出身,我只是对这个感兴趣,所以我跟您做一个交流。第一个是既然我们发挥了这么多的人力、物力、财力去做各个东西的话,为什么不整一个很大的平台,把所有的360等等安全卫士都弄到平台上,所有的应用程序都在这个平台上进行下载和安装,这样的话省得我们用户去做安全终端,所有的平台都用好了,我们只需要下载和应用就可以了。我想这个问题的话。
张尼:这个思路很新颖,好问题,但是我们知道有一句话叫做众口难调,现在在移动终端,应用方面我们找一个4A,一个堡垒级,所有东西必须经过这一块,的确安全了,但是谁来运营这个平台。收费模式怎么样?商业模式永远先于技术,技术上没有问题,首先商业模式,大家怎么样来分成,怎么样来收益,这个问题一定要搞清楚,这个肯定搞不清楚,肯定搞不了,用户就喜欢免费应用,这里能给我提免费应用吗?如果都是免费的,好,谁也不会来,大家都死,除非国家出钱养活这个平台,国家不出钱,自己养,怎么收费,如果真的收费,他还会找绕行,所以这个平台没有人用。所以说这是一个商业模式问题。这个问题技术上可行,但是实际上执行起来是很不利的,现在我们有这么多第三方市场,而且这么火,这是国外没有的这是中国特色的国情。用户的需求各种各样的。
提问:我从另外两个角度考虑,您刚刚提到了僵尸病毒,我并不了解,只是听说过这个词汇。但是我们都知道僵尸最怕大蒜,我们能不能想到一个方式,就是说专门弄一个大蒜这样一个东西,就是说只要是这种病毒咬到这个东西自己就崩溃,自己就绕行了。我们的终端就不需要考虑问题,这样的话我们可以建立在什么地方,我想可以在刷机这一块,我们不可以是那种,弄那种门市店,也可以专门弄网络,像360等等如果进这样的平台的话,也可以给我们用户节省很多的问题。
张尼:我觉得这是一种比较抽象的理念,“大蒜”应该是一个很好的新方向,我觉得我们可以一块儿探讨大蒜,大蒜具体影响是什么,这是一个很好的思考点。
