2011年2月《当安全厂商遭遇被开源》

当安全厂商遭遇被开源

（2011年2月）文/江海客

本月最令人震惊的消息莫过于卡巴斯基的源码泄露事件，这套代码源于一名前卡巴工程师，因在08年盗取了当时相对完整的卡巴桌面产品代码，并盗卖。被发现后获刑三年。而目前这套代码已经开始在网络中私下流传。

从流传的代码来看，其有相对完整的外围代码，甚至包含了部分产品化的外围设计文档。但并不包含真正的卡巴引擎的核心模块代码。这些模块是有关于虚拟机、启发式、脱壳等的部分，被视为卡巴技术能力的精华。但这套代码有助于编写2进制调用这些机制的一些外围调度代码。

实际上，作为重载反病毒引擎的代表，卡巴已经被业界以及民间爱好者作了非常深入的分析，卡巴所实现的反病毒引擎模块库记录化设计，是其引擎设计中的精华所在，而其核心数据结构已经被剖析的比较清晰。甚至在90年代末期就出现了过一些直接盗用卡巴OBJ模块使用的情况。而卡巴也采用了一些反制措施，包括在OBJ模块中加入暗记、以及逐步把AVC格式替换为KDC格式等等，而更重要的是法律手段的跟进，使相关情况日趋减少。

尽管卡巴引擎对终端系统来说，有很好的优势和特色，资深AVER也尽管都比较了解其结构，但基本来看并没有哪个主流产品完整的沿着学习卡巴的道路来走。

反病毒是一种体系的对抗，一般来说，越先进的反病毒引擎，其维护压力越大。后进厂商虽然投入重金，但也多半只能采用所谓云查杀的全HASH检测方法。维护一个高质量的基于代码缓冲区和特征检测的本地引擎，依然很难。而各个传统厂商在其前进过程中，均已经形成了一套适合自身运维能力的维护体制，这个体制有很大的继承性，很难推倒重来。

随着对海量病毒的对抗不断升级，反病毒引擎与产品逐渐都只是冰山一角，而更加庞大的冰山居于水下的部分，则是其后台分析维护体系和整个团队。而后者则是更难于模仿抄袭的。

因此，个别山寨小厂商出现却有可能，但应该对卡巴的核心竞争能力并无显著伤害。但以国内的一些安全项目特点，出现一些山寨卡巴型“科研成果”，却似乎会是必然。因为相关的命运曾发生于包括Snort、Nessus在内的所有的较大的开源项目上，这些开源项目的汉化被冠以自主知识产权之名而试图蒙混过关。而今天，同样的事情也会发生在这套泄露的商用产品之上。

这套代码会遭到源码级的漏洞发掘，是未来可能面对的问题。但反病毒比较容易出现的问题其实多数在其格式解析和预处理部分，也就是其目前尚未被发现泄露的关键代码中。因此用户没有必要太过惊慌。相比来看，用户也许要小心假冒卡巴产品的下载。可能会有人试图重新编译这套代码，并插入一些东西。

其实正如部分从业人员所担心的，这个事情会不会让安全厂商内部管理变得过于苛刻和保守，而不利于发展和与病毒的斗争。

安全会议：

网络安全的年度盛会的RSA展会2月14日在旧金山召开，国内厂商华赛、绿盟和江南科友均独立出展，而中关村则组织启明星辰、网御神州、天融信、安天等七家公司联合出展，在展会的中心位置占据了一个较大的黄金地带。