杀毒软件的行业发展 - 未名文摘(Collection)版 - 北大未名BBS
返回本版
1
/ 1
跳转

杀毒软件的行业发展

[复制链接]
楼主

motaguoke [离线]

孤帆远影|离开一段时间

7.0白洋淀

发帖数:7687 原创分:12
<ASCIIArt> 1楼

本来想起个标题,叫行业寓言。不过完全真实的故事似乎文法上叫寓言不太合适。

但是回顾整个软件安全史,挺让人唏嘘的。

可能是个长文,主要是在入坑的边缘观察和沉思行业发展。


(1)上古时代——三雄相争

08年以前,是病毒最猖狂的年代。其实也不能叫猖狂,用Windows底层程序员们的张扬可能会更贴切一些。一般的程序员用W32API写写用户态的代码,一些有“追求”的程序员开始探寻Windows底层的系统机制。可能在一个瞬间闪过了某个奇思妙想,发现了个漏洞;或者是内核编写大功初成,苦于无人赏识,于是就写个病毒来获得成就感。像早些年的“冲击波”、“红色代码”,近到国内流行的“熊猫烧香”,都是这个套路。那个时候还不兴叫“灰黑产”。一方面国内的开发如火如荼,遍地黄金的年代不需要偷鸡摸狗;另一方面确实也是不兴。最多就做到像“灰鸽子”这种远控木马的程度。玩的还远远没有现在的花。

那段日子最火的计算机安全(姑且这么叫吧)公司都是2C的,2C的安全公司有三家——老大瑞星,老二金山,老三江民。别看瑞星现在拉胯,当年可是杀毒软件的头把交椅——通过OEM、装机城等一系列方式,占据了杀毒软件的半壁江山。在很长一段时间内,这三家的水平确实还不错的。


(2)360的下场——免费时代开始

然而360的下场正式开搅这碗浑水。2007年,360通过碰瓷式营销逐渐迎头赶上老三家;2008年,360宣布免费。在很短的时间内,360的装机量和用户量都完胜老三家。在紧张的攻势下,老三家也逐步走向免费模式。

那么问题来了。编写杀毒软件和系统底层密切相关,而底层一来学的人少,二来要求的工资高,360怎么做到赢利呢?从3721起家的周鸿祎确实很有互联网头脑。利用“免费”的旗号吸引大批量C端客户,在C端客户上主动或引诱安装全家桶,利用全家桶的新闻和广告优势赚取流量。

除此以外,360还广纳底层人才。当年的debugman国内内核安全论坛,几乎全部被360收编,而且收编后给的待遇非常高。当时有句话叫“入360速买房”,可见一斑。360对底层码农的渴望有着深厚的传统。直到今天为止,360几乎是唯一一个底层安全不限学历的网络/软件安全公司。


(3)病毒的进步——灰黑产的兴起

大概也就是从12年起,底层程序员逐渐“成熟”了。一方面当然归咎于微软逐渐靠谱的安全机制(以及移动互联网的兴起),另一方面则是软件安全社区的变化。当一个底层程序员发现有利用价值的漏洞时,通常有两种选择—— 一种是通过社区或者邮件提交给厂商,厂商给发现漏洞的程序员一些“赏金”,大家一般管这个叫白帽子;另一种则是通过“网络军火商”或者自己编写程序利用漏洞,这个则是黑帽子。

而从黑帽子流出的核心技术用于窃取隐私、信息,用于攻击、挖矿、诈骗、洗钱、外挂、甚至是某些特殊工作,则被称为灰黑产。显然,灰黑产带来的利润比白帽子的赏金要多得多。也正是这个原因,底层程序员的画像永远是“灰色”的——有的时候他们是为防御工作的安全程序员,但有的时候也有一批同样技术的人才为了利益走向另一面。


(4)杀毒软件的式微——为什么要有杀软

也就是这个时候起,感染了病毒以后计算机不会有任何反应。当感染病毒对日常PC工作毫无影响时,那么要杀毒软件干什么呢?(所以windows defender才会那么流行。

我不敢在这里断言这是杀软逐渐式微的主要原因,但至少从恶作剧式走向控制/窃密-产业链式的病毒进步,是用户逐渐忽视杀软的原因之一。另一些方面也许移动互联网的兴起——Android/iOS更优秀的底层机制,以及更可靠的业务模型分流了传统的软件安全(如网络安全、虚拟化安全等)。但同样是那个问题,Android/iOS上也有木马,为什么现有手机上的“杀毒软件”呢?

这一章还是讲历史。对行业思考的问题我想最后再讲。

那么现在讲讲各个杀软目前的现状好了。瑞星江民,主要转向了2B业务乙方,基本是第三梯队,不太行;金山……咳(https://www.52pojie.cn/thread-1015125-1-1.html),金山毒霸的黑历史这些年一直很多,大概是走上了被360证实走不通的互联网思维老路。360就比较惨了,随着08年PC端互联网潮的迅速褪去,这几年360是连年亏损。唯一靠点谱赢利的2B业务奇安信也被拆分了出去,然后360转头又在内部做自己的2B业务,毕竟真香。现在基本所有的2C杀软,都在靠着网络安全形势日趋严峻而产生的政策红利来反哺2C端的底层研发—— 一个字,惨。(再黑一下windows defender,这就是一05年金山的水平,只有特征码扫描……不过windows底层机制的改进确实从很大程度上代替了杀软,比如像patchguard、driver sign这种机制。


(5)杀软的回春——勒索病毒?

在很久没有出现破坏性病毒之后,终于在“合理”“匿名”的支付手段比特币出现后,破坏性病毒又死灰复燃。

名头最响亮的当然是前年最流行的gandcrab,我把网上翻译的作者退休原话摘抄过来如下

“在与我们合作的那一年里,人们已经赚了20多亿美元,我们已经成为地下市场中勒索软件制造方向的代表者。 我们每周的收入平均为250万美元。我们每人每年赚得超过1.5亿美元。我们成功兑现了这笔钱,并在现实生活和互联网上的将收获的钱成功合法化。我们很高兴与你合作,但是,所有的好事都会结束。我们将开启这次当之无愧的退休生活。”

这一次,杀软能否趁勒索病毒重新找回市场呢?随着《网络安全法》的实施,黑灰产又会走向何方呢?


(6)一些个人思考

1. 在伊拉克做保镖公司,远比在和平国家做保镖有前途

2. 破坏会产生价值,但是防护不会。防护的价值永远建立在有人破坏的假设上。所以军火国家才会希望世界乱成一团,没事儿也要挑事儿。本质上和上面提到的某个杀软的想法是一样的。

3. 对一般用户甚至企业来说,只要不影响他的工作,隐私和信息安全不重要。毕竟同时靠“信息”吃饭的攻击者和被攻击者几乎不存在。

4. 出来混总是要还的。灰色地带的攻击利用永远做不长久(所以才暴利),最后行业大佬必然会聚集到防护上——当然各个国家队另说。



签名档

不要相信民族主义,但要站在民族立场

不要相信自由主义,但要有着自由精神

发表于2020-07-26 11:50:53
返回本版
1
/ 1
跳转

请您先 登录 再进行发帖

快速回复楼主
标题
建议:≤ 24个字
签名档
发布(Ctrl+回车)

您输入的密码有误,请重新输入