First published: 1996年03月28日
许多人很关心是否会从Internet上感染病毒, 这是很有道理的. 比如, 众人皆知的 Kaos-4事件, 就发现一种新病毒分布在新闻群的 alt.binaries.pictures.erotica里. 最近, 还有许多别的例子, 今年二月 发现的分布在新闻群的Tanpro.524病毒, 以及这个月发现的分布在新闻群 的Tanpro.749和Tentacle病毒. 昨天已经确定Tanpro.524病毒 正在香港蔓延.
为了弄清这个问题, 必须清楚上面提到的几种病毒都是 DOS病毒. 它们会影响与DOS兼容的操作系统:Windows, Windows 95,NT,OS/2, 甚至于Macs或Unix上的DOS仿真. 它们把Internet作为一种传播手段, 是否存在Unix病毒的可能性以及 Java和JavaScript的安全性问题还有争议, 不过这还不是目前最紧急 的问题.
通过Internet蔓延的DOS和Windows病毒才是目前最紧急的问题. 解决这个问题有两种策略.
建一堵墙
这个办法来源于用防火墙隔离火花的主意. 任何要在Internet上传 送的文件必须在设置路障的地方接受检查, 如果查出有病毒, 将被拒绝传送.
如果能建一堵没有漏洞的墙, 将会是一个行之有效的开端. 我知道两种 这方面的产品.
扫雷器(Mimesweeper)在email的附件中是很有效的, 用户收到的所有 email都要经过一道运行扫雷器的机器门, 它能够把email解码,并送到病 毒检测程序(F-PROT 就是一种可供扫雷器使用的选择). 如果用户只使用 INTERNET上的email一项业务, 这个办法会是很有效的.
另外一种我所知道的产品刚刚才发布,据我估计,它使用起来就象各种 业务的代理,包括FTP, HTTP(用于WWW)和email. 它可以处理 ZIP, UUENCODE和MIME 文件格式.这确实令人印象深刻. 但是, 用于 INTERNET 上的文件格式和传输方法之多是不可估量的,另外还有 ARJ, TAR以及上百种文件压缩方式.我认为 FTP 代理在把它传给收信 人之前先收集整个文件, 然后解码并送检, 这是非常必要的, 因为当 文件分离在各个单独的包时,尤其当它被压缩时要想确定其中是否存 在病毒,几乎是不可能的,我个人经常使用S调制解调器在 INTERNET上传输文件, 用户不能在 TELNET 操作期间进行信息转接.
对于这个问题具有讽刺性的最后一击是安全性.在INTERNET上用PGP, SSL和其它的方法能否安全通信受到强烈攻击. 发送的信息保证只能由指 定的人收到,这表示它将不会被检测病毒的防火墙阅读. 这里的关键是不 同的信任, 普通的防火墙确定用户如何于外界通信----他们可以存取你公 司的数据库吗? 病毒总是在暗中工作的. 我可以信任一个生意上的客户, 可以跟他做几百万美元的生意,但是我如何确信他用于发PGP编码格式的合同 时,所用的计算机不带有病毒呢?
保护台式机
有一件事我们可以确定, 那就是只有运行了携带病毒的文件后, 病毒才会发作. 如果要运行一个文件, 那么它必须是解压缩的, 而不 能是ZIP, UUencode, 或是PGP格式. 这样我们就可以建立一个更可靠的屏障, 使在接收人机器上生成, 拷 贝或运行一个文件时受到检查. 这种保护方法几乎不存在兼容性的问 题: 你的病毒防火墙肯定会与你的常规防火墙互相配和. 而且这种方 法花费也低, 用户不用为此增加新的硬件, 只用现有的机器就可以运行.
在拷贝和运行文件时, 用F_PROT Gatekeeper检测病毒总是很有效. 从2.22版起, 它也能在生成文件时检测病毒了. 这样在卸装或者解压缩 文件时, 受感染的文件就可以被迅速发现. 墙的策略使管理者的工作更 简单--他们只有一个单一的控制点.而且F-PROT Professional 提供了网 间通信, 病毒报告会自动送到管理者那里. 管理者也可以远程配置或启动 病毒检查. 对于那些单独的用户, 没有专用线的公司里的用户和家庭用户来 说别无选择, 他们无法安装一个邮件通道或者是防火墙来保护自己, 所以保护自己的机器不受病毒感染是他们的第一道也是最后一道防线.
结论
在INTERNET进入的地方采取保护措施是必要的. 不过用户的计算 机就象是一个战场,这种保护措施只能作为一种补充而不能取代强有力 的防御.
Allan G. Dyer 28/03/96 (This paper was first released in English at a press conference held by Yui Kee Co. Ltd. on 28/03/96)