安全威胁面面观 系统安全指南

　　广告软件：隐蔽的“财路”(三)

　　对付“无赖”

　　部分网站联盟成员的无赖之举一方面帮助了广告软件开发商，但是另一方面又伤害了他们。因为就广告软件的推广而言，他们做得非常出色，但他们经常会激怒消费者，让广告客户陷入尴尬。

　　这篇文章中涉及的广告软件公司都表示，他们不会容忍那些采用无赖手段的网站联盟成员。一旦发现这种行为，他们会终止合同，有的还会进行一些内部调查清理此类行为。

　　Maheu在2005年5月加入Direct Revenue，他说“我们向合作推广广告软件的伙伴公布我们的原则，如果他们不遵守，我们就中止合作。”他还补充说，与Direct Revenue有30个这种合作关系的伙伴，不过他们公司最近终止了与其中8个的广告软件推广合同。“到今年年底，我们将不再采用网站联盟的模式来进行产品推广，”Maheu说。

　　但是，并非所有的广告软件公司都将取消网站联盟的推广模式。180solutions公共关系经理Sean Sundwall表示，该公司广告软件有80%通过网站联盟进行发布，另外他还表示，他们的8000个合作伙伴中，仅仅有5%(也就是不到500个)采用了“无赖”做法。去年一月份，180solutions雇佣了一个团队，专门跟踪并清理使用欺诈手段的发布合作伙伴。

　　今年六月份，180solutions还采取了非同寻常的举措——通过弹出窗口向其2000万用户发出通知，告诉他们计算机已近安装了该公司的广告软件，同时还提供了卸载软件的方法。八月份，该公司起诉了7家以前的发布合作伙伴，起诉的理由是，这些合作伙伴使用隐秘的手段通过“僵尸”计算机在网络上传播广告软件。这些“僵尸”计算机中被安装了特洛伊木马并受到这些合作伙伴的控制。

　　公平的警告?

　　不但网站联盟成员发布广告软件的时候会采用一些“无赖的”手段，广告软件本身也会有一些涉及隐私的敏感行为，消费者可能会觉得这些行为是欺诈。

　　并非所有捆绑了广告软件的软件都会给用户明确的警告。某些情况下，在冗长的软件最终用户授权协议(EULA)的最后部分才说明软件中捆绑了广告软件，很多用户根本就没看到。即便用户比较仔细地阅读EULA，也可能被含混不清的话蒙混过关。比如“下载第三方软件”，其实就是广告软件的一种比较含糊隐蔽的说法。

　　与此形成对比的是，要想安装BearShare(一种P2P软件)，用户必须同时接受来自BearShare和WhenU的EULA。在安装软件的前后，用户都将看到这样的提示：“要想使用本软件，必须安装广告软件。”

　　许多著名的广告软件公司会在他们发布的广告上添加标志。在测试过程中，我们发现Direct Revenue在Aurora的广告窗口标题栏上添加了自己的标志。180solutions在标题栏上加了一个图标。而Claria和WhenU也分别在广告窗口的特定位置注明了广告软件的名称并添加标志。

　　一些广告软件公司正力图使他们的广告行为透明化，但是有些广告软件则尽其所能隐藏自己的来源。CoolWebSearch(CWS)就是典型的例子。

　　根据反间谍软件专家的估计，CWS总共有40种变体，它们都会“强制安装”到用户的计算机中，甚至会利用一些安全漏洞。CWS没有EULA，甚至连网站都没有。coolwebsearch.com这个域名的拥有者宣布不接受任何网站联盟的合作，也不会对此类请求作出反馈。在我们的测试中，CWS提供的所有广告都没有添加标记。

　　事实上，甚至没有人知道CWS的幕后操纵者是谁——既可能是个人也可能是公司。他将自己严密的保护起来，所使用的服务器分布在世界各地，其网络不为外界所熟知，注册域名时使用的联系信息也是假的。

　　在测试过程中，我们发现CWS会在浏览器所显示的页面中插入自己的链接。点击这些链接时将会打开“搜索入口”——这个网站的风格和Google或者MSN搜索页面的返回结果相仿，但内容都是一些大公司的广告。我们测试的CWS版本以及其他变体还会向IE收藏夹中添加条目，在用户桌面上添加色情网站和赌博网站的链接，修改浏览器的首页，修改浏览器的安全级别设置。当用户试图删除这种软件时，它还会采取措施进行抵抗，所采用的手段和病毒并无二致。

　　当广告出问题的时候

　　一些公司并没有打算通过广告软件宣传自己的产品，但往往还是出现在广告软件中，因为广告软件行业有相当复杂的合作商和网站联盟网络。

　　Dell曾经和180solutions以及广告软件运营商Exact Advertising有合作关系，但是目前已经终止了合作。“我们不会通过广告软件投放广告，”Dell发言人Jennifer Davis说，“如果我们发现有合作伙伴这样做，我们会进行调查和处理。”

　　但是，当我们点击一个CoolWebSearch链接时，我们最终被带到Dell公司的首页。Dell首页并不是直接打开的——在几秒钟的时间内，浏览器自动打开了一系列的网页，从CWS搜索入口，到Abcsearch.com、到FindWhat.com、再到Resolution Media的网站，最后才打开Dell的首页。每当这些网页打开时，该网站联盟成员的ID将会被专门的服务器记录下来。URL中包含了网站联盟成员的ID，这些网站联盟成员将会根据点击情况得到报酬。

　　我们对这一系列操作中涉及的公司进行调查，搞清楚了其中的奥妙。Dell和Resolution Meida有合作关系，Resolution Media是一家位于芝加哥的搜索引擎广告公司，它以Dell的名义购买广告空间。Resolution Media将广告放到了一些较小的搜索引擎上，包括Miva的FindWhat.com。FindWhat.com再将它的广告发布给自己的搜索网络联盟，其中包括Internext Media的Abcsearch.com。Abcsearch副总裁David Senet表示，他们网站的一个子成员(Senet拒绝透露其名称)将Dell的广告放到了其他网站的页面上，在我们的测试中，被CWS感染的计算机就是打开了这个页面。

　　在我们对Dell进行访问之后，Dell表示他们已经终止了与FindWhat.com的合作关系，Abcsearch也表示，他们将不再接纳匿名成员。和我们有接触的所有公司均表示，一旦发现欺诈行为，广告将不收费，相应的成员也不会得到钱。

　　Direct Revenue在推出Aurora之前还推出了AbetterInternet，目前该公司已经不再发布这种软件。在AbetterInternet上显示的Metareward.com广告中出现了Netflix的标志，此外还有美国运通、美国花旗以及日本东芝的标志。

　　Netflix公共关系经理Steve Swasey表示，他的公司禁止合作伙伴使用广告软件。他表示，Netflix确实与Metareward有合作关系，但是和Direct Revenue并不直接合作。Metareward是Experian(美国三大信用报告机构之一)的分支，我们要求该公司谈谈这方面的问题，但是没有得到回应。

　　主张保护消费者权益的人士坚持认为，广告业界所有相关各方都应该采取行之有效的手段规范其行为。“现在的问题是，‘难道你们就不能想想办法设计一种新系统，不要有那么多的阴谋、欺骗、伪装、谎言和盗窃?’”反间谍软件运动支持者Ben Edelman说，“现在这些做法真的是最好的吗?”

　　广告软件：隐蔽的“财路”(四)

　　点击发薪日

　　一些广告主对无意中通过广告软件进行广告推广采取了抵制措施，但是其他广告主则表示将继续使用广告软件。

　　“如果没有广告效果，我们就不会这么做，” 纽约Travelzoo中介公司的市场副总裁Kelly Ford说。Travelzoo服务对象主要是航空公司和在线旅游网站。Travelzoo与广告软件公司Claria以及Soho Digital(Direct Revenue的一个分支)有合作关系，但是在广告软件上投入的资金仅仅占其总预算的一小部分。“我们的目的仅仅是在这个市场上占据一席之地，让客户知道，但是并没有打算在这方面过于突出，” Kelly Ford解释说。

　　“广告主是贪得无厌的，如果广告软件的弹出广告效果不好，他们就不会购买。” Trevor Hughes说，他是网络广告创新组织(Network Advertising Initiative)的执行主任，这是一个在线广告贸易组织。

　　很多广告客户使用广告软件的热情并不高。Avenue A/Razorfish通过180solutions和Claria做广告，但是这家公司2005年第一季度仅仅有2%的预算投向了广告软件。

　　广告软件没有出路?

　　广告软件开发商想让他们的商业模式合法化，为了做到这一点，他们必须在安装软件之前得到用户的同意。但是将近80%的用户得知广告软件都会将其卸载(这是几位广告软件业内人士的说法)，很显然，大多数人不喜欢这种软件。

　　如果广告软件公司不对自己的所作所为进行约束，那么政府部门可能就要介入了。美国国会正在考虑制定一系列的反间谍法案，法案将会对那些实施包括欺诈、强制安装软件、秘密收集用户数据或者制造难以卸载的软件的公司进行处罚。

　　强调保护消费者权益的人士认为，他们对立法工作的效果并不乐观。“法律本身在阻止间谍软件方面所作的工作是有限的，”民主与技术中心的助理主任Ari Schwartz不无忧虑地说。Schwartz说，关于间谍软件的立法工作可能会使某些入侵行为合法化。

　　考虑到可能出台的反间谍软件法律，一些广告软件公司正在开发不那么讨人厌的、目标更加明确的广告软件，以引导用户自愿安装和使用这种软件。

　　今年早些时候，Claria宣布了其BehaviorLink广告软件计划。这种软件不会弹出广告窗口，而是将签约公司的广告嵌入网站的页面中。如果你刚刚有了孩子，那么你将会看到关于婴儿的广告，比如尿布和配方奶粉。

　　为了达到这种广告效果，Claria需要收集大量用户的个人基本信息，比如婚姻状况、邮政编码、年龄段以及性别。一些主流应用程序，比如即时消息程序、媒体播放器将会捆绑BehaviorLink。

　　“我们的目标并不是4000万或者5000万台桌面计算机，我们想让这种软件在1.5亿到2.5亿台桌面计算机上运行，”Claria的市场经理Scott Eagle说。

　　WhenU总裁Avi Naider说，该公司广告软件Save会根据用户上网习惯向用户提供有针对性的广告，但是这些关于上网习惯的数据并不会发送到WhenU公司，它们仅仅会保存在用户的计算机中。Naider认为，通过精心设计软件，提高广告的针对性，提高公司业务的透明度，他有信心让用户放心地安装WhenU的软件。

　　“考虑到广告软件的历史，在保护用户隐私方面我们必须做的尤其好,这样才有可能取得用户的信赖，”他说。

　　广告软件的实质变化正在悄然进行。但是，除非大多数计算机用户都确信广告软件开发商确确实实改变了商业模式，否则他们仍然不会相信广告软件。但是不管怎么说，广告总是会继续存在下去。

　　如何让计算机免受监视

　　以下这些措施将有助于阻止间谍软件和不必要的广告软件进入你的计算机。

　　* 使用防火墙和反病毒软件：反病毒软件可以防止此类软件意外安装。而防火墙(比如ZoneAlarm)则会监视应用程序，一旦广告软件试图连接到自己的母公司，防火墙会发出警报并对其进行阻止。

　　* 在绝对必要的时候使用IE：由于IE支持ActiveX，因此IE对一些“强制安装”行为的防御能力比较差。你可以考虑使用其他浏览器代替IE，比如Firefox或者Opera。

　　* 避免访问高危网站：那些提供黑客工具、免费间谍软件、扫描器以及色情内容的网站经常会尝试在用户的计算机上强制安装软件。

　　* 安装软件的时候仔细阅读EULA：注意，EULA中说的“第三方应用程序”往往就是指广告软件以及广告软件的更新补丁。

　　* 不要碰所谓的“警告”窗口：有的网站会弹出类似Windows对话框的窗口警告你已经安装了间谍软件，这些只是一些小伎俩，目的是引诱你单击它，然后把你引到其他网站安装间谍软件。建议你安装反间谍软件——在“谁是最佳反间谍软件?”那篇文章中我们进行了对比评测。

　　鱼叉捕鱼

　　“由于连续三次登录失败，您的在线账号已经被锁定。锁定账号是为了保护您的账号以及隐私信息。如果要解锁账号，请打开这个链接：……”

　　上面的内容看上去好像只是一封普通的钓鱼邮件?但是，如果这封邮件来自你公司的IT部门负责人，你会不会打开那个链接?

　　那些钓鱼的人当然希望你这样做。上面摘录的邮件片段并不是来自世界上到处泛滥的试图盗取eBay或者PayPal帐户的钓鱼邮件。这种钓鱼邮件出现在今年五月份，它专门针对肯塔基大学33000名师生，此类攻击被称为“鱼叉捕鱼”。另外一桩类似的事件是，一家以色列公司试图使用鱼叉捕鱼在其竞争对手的计算机中安装间谍软件。

　　美国反钓鱼工作组(Anti-Phishing Working Group)秘书长Peter Cassidy表示，鱼叉捕鱼和推销类似——编写邮件，然后将其投送给明确的目标。

　　Cassidy说，这种针对性很强的攻击更加有效地利用了社会工程学原理。很多用户已经能够识破普通的以垃圾邮件形式出现的钓鱼邮件，但是他们仍然可能上这种邮件的当，因为他们往往没有料到这种邮件会专门针对一个很小的公司或者组织。

　　根据来自IBM全球安全指南(Global Security Index)的报告，被截获的鱼叉捕鱼事件从今年一月份的56起爆炸性地增长到了六月份的60万起。

　　保护好自己

　　* 保持警惕：不管邮件是从哪里来的，只要和账号有关，就完全不要相信它。

　　* 打个电话：如果收到可疑邮件，打个电话过去进行核实。

　　* 不要打开可疑的电子邮件链接：正确的做法是，到网站首页上去，然后自己找到需要的页面。

　　* 使用NetCraft工具栏：这是一种反钓鱼工具(toolbar.netcraft.com)，它会警告你注意可疑的站点。

　　反病毒软件杀手

　　以前，恶意软件和病毒通常总是将自己的矛头对准计算机系统的各种安全漏洞。但是现在它们正越来越多地将目标指向安全软件本身。一些病毒会阻止反病毒软件和更新网站进行联系，致使其无法更新病毒定义库，有的病毒则会尝试完全关闭反病毒软件。虽然就单个软件而言，Windows仍然是安全漏洞最多的，但是研究人员发现，用来保护Windows操作系统的安全软件中出现的漏洞总量要多得多。

　　Yankee Group的研究报告引用政府统计数据得出结论说，到2004年年底，各种安全软件中出现的安全漏洞的总和已经超过了Windows。从2004年年初到2005年5月份期间，总共有77个和反病毒软件或者其他安全软件相关的漏洞被发现，其增长速度远远超过了Windows中漏洞的出现速度。

　　Kaspersky Labs的高级技术顾问Shane Coursen说，这些新发现的安全漏洞向反病毒公司提出了挑战。如果计算机病毒的编写者能够通过安全软件自身的漏洞入侵计算机，那么这将动摇用户慢慢建立起来的对反病毒软件的信心。

　　目前，只有一种恶意程序大规模地成功利用了安全软件的漏洞，这就是2004年出现的蠕虫Witty，这种蠕虫针对来自Internet Security Systems的软件。不过，随着Windows漏洞的减少和安全软件漏洞的不断增多，安全软件遭受的攻击将会越来越多。

　　虽然反病毒软件并不完美，但是它们仍然是保障计算机安全的关键环节之一。因此用户还是要精心挑选一种反病毒软件，但是同时要记住，它的保护并不是绝对可靠的。

　　保护好自己

　　* 使用最好的反病毒软件：打开这个链接查看我们的评测find.pcworld.com/49708

　　* 检查更新：在系统托盘中的反病毒软件图标上单击鼠标右键，查看病毒定义库的更新日期。如果病毒定义库已经超过一个星期没有更新，那么可能是由于某种因素组织它进行自动更新。

　　* 使用在线扫描器：如果你发现反病毒软件没有更新，同时计算机出现了病毒感染的迹象——比如刚刚被删除的广告软件又自动重新出现——你应该使用免费的在线病毒扫描程序，比如Kaspersky.com或者Bitdefender.com。

　　即时消息攻击

　　多数用户都会比较小心电子邮件附件——即便邮件看起来好像来自亲友或者同事。但是现在你还必须注意通过即时消息软件传送的文件和链接，因为它们也可能导致病毒感染。

　　“在电子邮件杀毒方面我们已经做得非常好，因此即时消息软件正在成为新的攻击平台”位于San Diego的Akonix公司的首席技术官 Francis Costello说，该公司致力于改善即时消息软件和P2P软件的安全水平。Costello说，去年全年，Akonix发现了17种即时消息软件安全问题，今年第一季度，这个数字翻了一番。今年第二季度，这个数字又上升到了一季度的四倍。

　　即时消息蠕虫会控制即时消息软件客户端，读取好友列表，并向它们发送感染蠕虫病毒的消息。消息的内容可能是“呵呵，我找到一部有趣的电影”，另外还加上了下载蠕虫病毒的链接。消息的内容还有可能是“嘿，看看这张有趣的照片”，同样这样的消息也会带上蠕虫病毒链接。

　　某些具有混合功能的蠕虫能够同时感染即时消息软件和P2P软件。例如蠕虫Bropia的一个版本不但会发送含有蠕虫的即时消息，而且会同时将自己拷贝到常见P2P软件的共享目录中。

　　另外一种名为Win32.VB的蠕虫同样能够同时感染即时消息软件和P2P软件，不过它还多了一样功能。它会迫使被感染的计算机连接到Internet上并传播病毒，这种蠕虫发送的即时消息中含有的链接指向被感染计算机中的蠕虫病毒。

　　虽然即时消息攻击手段正在花样翻新，它们中的大多数目前仍然比较“粗糙”。不幸的是，病毒的设计者在不断地致力于“创新”。

　　保护好自己

　　* 打开实时病毒防护：反病毒程序能够检测你不小心放进来的即时消息蠕虫

　　* 对所有信息保持警觉：对于那种带有链接和附件的消息尤其需要注意——即便消息来自于你的好友。在点击链接之前先问一下你的好友是否确实发送了这样的链接，如果没有回应，那么就不要点击。

　　* 对即时消息通讯进行过滤：公司应当考虑对网络进行改造，以便将内部即时消息通讯和Internet即时消息通讯分隔开，或者干脆阻挡所有来自Internet的消息。