我们正在被“流氓软件”信息强奸

生铁

当9月13日，微软在反间谍软件Microsoft AntiSpyware中推出了删除3721软件的功能时。所有人突然意识到，自己正在成为间谍软件和流氓软件的受害者。

80%的网络良民都被“流氓”了

“作为一个典型的网络良民，我从不去色情网站，也从不贪图任何形迹可疑的免费东西。即使这样，我的IE浏览器工具栏上还是挤满了花花绿绿的‘助手’们:金黄色的钱袋是‘寻宝乐趣多’，紫色的是雅虎的1G电邮，红色的手机短信，还有一个情景聊天。”陈广责向记者强烈抱怨自己已经快被“流氓软件”逼疯了。至于它们是什么时候以什么方式登堂入室的，陈广责则完全一头雾水。他说:“曾经一位网络洁癖的朋友推荐了一款叫‘Hijackthis’的软件，说是能把这些流氓软件一扫而空。‘Hijackthis’的确好用，浏览器右侧很快就干干净净了。但第二天，那些亮晶晶的图标又堂堂正正卧了原地。”

为了证明我们的计算机在“流氓软件”面前多么好欺负，一位反病毒专家曾经做过一个随机实验。他挑中的对象是SeeTV，一款颇为流行的网络电视软件，可以免费下载。很快，它问我们是否安装上网必备工具和很棒小秘书，全部以默认安装的方式，其中“上网必备工具”竟囊括了网络猪迷你搜索、搜狗、中文网址、百度搜霸四个“臭名昭著”的软件。程序安装完之后，又硬是附赠了金山毒霸。这样，不到5分钟的时间里，一台身家清白的计算机轻轻松松就沾上了“十大流氓软件”中的将近一半。

“这种捆绑的方式在圈内其实是心知肚明的老规矩。”做反病毒杀毒软件的马钢用高深莫测的语气说，“正所谓天下没有免费的午餐，间谍软件或广告软件大多是随着这些免费软件侵入计算机的。”原来，网络蚂蚁、Flashget、暴风影音……这些曾经令我们感激网络无限美好的东西，其实都在后台内置或者直接捆绑了一些间谍或者广告软件，因为这就是它们的生存方式。也许我们很难指责这些免费软件的求生之道，但却不能不担心私人信息一旦被滥用的后果。

2004年10月，美国国家网络安全联盟进行的一个调查显示，80%的被调查用户的计算机上有“间谍软件”，每台计算机平均93个。连比尔·盖茨都愤愤地抱怨，“我的计算机从未被病毒入侵过，但却居然被间谍软件和广告软件骚扰。”这位大老板如此生气是有道理的，泛滥的间谍软件和广告软件已经使微软的IE成了苹果和Linux的笑柄，因此微软在今年年初就发誓要展开一场大规模的反间谍战。至于效果如何，只能拭目以待，因为微软本身就多次被指责与间谍软件有染。

事实上，危险往往不只来自传说中的黑客。据说一些企业为了监督员工的工作效率，在他们的计算机上安装间谍软件，除了监督邮件之外，还可以记录URL，跟踪访问过的网页，实时监控聊天程序等，以保证员工的一举一动都逃不开老板的法眼。还有人开发了一种“情人间谍”，只要给你的情人发送一张贺卡，让他/她访问一个贺卡网站，就会有一个间谍软件下载到他的本机，这个软件能够记录他/她在计算机上的任何活动，包括敲打了哪个键盘、密码、发送和接收的电子邮件、网络聊天记录和照片等等。当然，如果你真的不幸被一个黑客盯上，在你计算机里放一个间谍软件，那就只能乖乖做一块砧板上的肉，予取予夺了。小到E-mail、QQ、MSN号码，大到ADSL账号、网上银行账号都不能逃出他们的五指山。不久前，万事达国际信用卡公司宣布，位于亚利桑那州土桑市的一家信用卡数据处理中心的计算机网络被侵入，4000万张信用卡账号和有效日期等信息被盗，盗窃者采用的手段正是在这家信用卡数据中心的计算机系统中植入一个间谍软件。

比性骚扰更恶劣

曾经有人主张用“灰色软件”来代替“流氓软件”和“间谍软件”这种带有褒贬的提法，如今“灰色软件”这个中性词仍被用于某些敏感的场合，国外更多地使用“间谍软件”（Spyware）一词。不得不承认的是，国际上往往都是小公司在做“流氓软件”，而国内用户反映较为强烈的“流氓软件”大部分是公开的商业公司制造的。当3721被列入微软反间谍软件的剔除清单之后，9月15日的雅虎中国似乎异常忙碌，一个名为“雅虎上网助手”的“新软件”开始替代3721。实际上互联网存在一个有趣的现象:在采用“一搜”提供搜索引擎服务的网站主页上，输入“流氓软件”四个字，竟然搜索不到任何结果，而输入“流氓软”三个字，有关的报道和评论又历历在目，在其他搜索网站上并没有这个现象。这从一个侧面表明了某“上网助手”的新旧主人对“流氓软件”这个概念的恼火。在最近的一项有关“流氓软件”的投诉调查中，中搜网络猪因为七项投诉而上榜，他们为此发表了一个声明颇具意味:“如果按照这种逻辑，以投诉抱怨次数决定谁是流氓，那么Windows是不是最大的流氓软件？微软是不是最大的‘流氓’？”

面对高度市场化的互联网生活，用户的抱怨越来越不容忽视，哪怕这种抱怨是一种风潮。免费软件很难套用太多的商业法律，即使套用，也难以对损失作出有形的估量，就像2002年12月北京大学的蔡建勇以某软件侵犯消费者正当权益为由提起诉讼最终撤诉一样。但“流氓软件”的恶名源自用户对无法控制自己的计算机而形成的心理反感，消费者网上满意度的核心要素之一就是信任。

“流氓软件”的危害正在成为全球网络社会上最大的问题，这种侵害非常隐秘，以至于麻省理工大学的社会学教授塔斯·费罗斯认为，互联网上的侵害，比现实社会中的性骚扰更恶劣。底特律的Wayne州立大学对间谍软件的研究曾经列出了六种欺骗行为，显著的有在线广告、改变用户计算机设置和减慢计算机速度，不显著的包括未经许可安装、与合法软件捆绑，以及无法卸载和删除。通过对《2004间谍软件指南》搜集的40种已知间谍软件的用户调查，改变设置被认为是最反感的，它使用户感到失去了对自己私生活的控制权。未经许可安装居第二位，与合法软件捆绑行为是第三位，因为它破坏了用户对软件厂商的信任。

“我们在被流氓软件信息强奸”，《行业标准》杂志非常重视互联网时代的道德重建，但是这种“信息强奸”却已经形成了一股默认的全球网络商业规则。实际上，在目前全球的“流氓软件”背后，存在着一条完整的产业链。免费软件的开发者需要经费来维持开发的成本，于是往往允许“流氓软件”寄生在其开发的软件中，并收取一定费用。美国曾有一家180 Solutions公司，将间谍软件n-CASE与流行的免费软件捆绑，据称到2003年底就有2100万台电脑安装了这个在用户上网时能弹出相应广告的间谍软件。到2003年9月，被n-CASE引导到Dell.com的消费者就购买了近400万美元的戴尔电脑，180 Solutions获得超过10万美元的中介费，免费软件开发者也从中分得4万美元。

国内杀毒软件企业瑞星实际上成为了国内封杀“流氓软件”的主导者。其实所有的反病毒厂商都面临一个共同的行业压力，当不堪“流氓软件”烦扰的用户求助时，如果不能解决，很可能用户就不用你的杀毒软件了。要知道2004年具备反间谍功能的套装软件销售额仅为850万美元，而预计2005年，这个数字将增长500%以上。Radicati集团的报告预测:安装反间谍件工具的用户数量，将由2005年的1600万增长到2009年的5.4亿，未来4年内，反间谍软件工具的销售收入也将由1.03亿美元增长至10亿美元。

在这场因为“上网助手”而引发的互联网风波之后，其实最令人担心的还是“流氓软件”何以泛滥。一位不愿意透露姓名的软件业内人士在采访中向记者倾诉道:“流氓软件的出现是一个悖论，首先互联网是一个技术日新月异的行业，不光主管部门的管理手段必然滞后，连很多概念也是在既成事实当中总结出来的。从商业秩序的角度来说，在这种资本原始积累的初级阶段，在网络淘金的利益面前，道德的底线其实很低，很可能谁的底子都不干净，大家都感到好人难做，不作恶就活不下去，因为你不做别人会做。而用户认识水平，维权意识低，法制不健全，都为‘流氓软件’的产生提供了机会。”

缺少道德约束的信息时代

对于“流氓软件”的痛恨，已经引起了有关部门的注意，国家计算机病毒应急处理中心主任张健就表示，网络警察和信息安全保护部门已经把对美国概念的“间谍软件”监测纳入对杀毒软件的检测标准之中。然而国内互联网上反“流氓软件”似乎仍然任重道远，从法规上似乎仍然对“流氓软件”束手无策，大量自认为不太需要品牌形象的小企业和个人，仍然难免不受杀鸡取卵的流氓做法诱惑。《垃圾时代》的作者乔姆斯早在1998年就已经预言到了，在他看来，未来“间谍软件”同病毒和垃圾邮件一样将长期存在。信息时代的道德约束在50年内似乎无法可循。

早在2004年3月初，美国犹他州就通过了《间谍软件控制法案》，禁止监视并发送用户信息、向第三方发送个人信息、安装未经许可就出现弹出式广告的软件。但广告软件公司WhenU以该法案威胁言论自由、非法阻碍公司业务为由提起上诉。该法案还禁止与用户访问的网站内容无关的广告显示工具，招致包括美国在线、eBay和微软等企业的“互联网联盟”的异议。不过WhenU主张自己不违法的首要依据，就是软件使用协议已经告知用户的数据将会用于广告目的，但长达20页的使用协议根本没有几个用户会耐心察看，这种延续自微软20世纪80年代的软件法律声名，本身就被认为是一种数字时代的文字游戏。难怪同年4月19日，联邦通信委员会的间谍软件研讨会从上午9点开到下午6点，仍然没有讨论出清楚的概念。

反间谍与双重间谍

面对道德约束的无力，越来越多的法律方式试图干涉这场隐秘的侵犯。从2005年开始正式生效的加州《保护消费者反间谍软件法》就已经规定:企业或网站必须声明是否会在用户的电脑中安装“间谍软件”，并禁止安装能控制他人电脑、搜集个人信息的“间谍软件”，非法安装者可能被处以巨额罚款，受害的消费者有权索赔1000美元。法律手段的核心是明确告知和保障用户的自由选择权，但“流氓软件”的标准并不是非黑即白，不同厂商有不同的鉴别方式，比较严谨的如美国赛门铁克（Symantec）公司采取的“风险影响模型”，就是综合能否让用户自由选择删除等多种行为因素来判定。有人认为，可以通过传送信息的最终结果是否带有恶意来判定，但是否有“恶意”只能通过人的智力和直觉来判断，计算机软件是很难区分的。因而“流氓软件”的名单时常变化，微软的Windows AntiSpyware和美国的McAfee反间谍软件都将3721定义成间谍软件，赛门铁克的Antivirs今年也曾把它列为间谍软件，俄罗斯的杀毒软件Kaspersky曾将其列为间谍软件，后来又改为广告软件。目前美国“反间谍软件科技厂商公会”正试图建立一个标准定义，分清间谍软件、广告软件和病毒的区别，同时对不希望公司软件受到阻断的厂商提出最佳的建议。

现在，反“流氓软件”也遵循着反病毒模式:由第三方汇集大量用户的经验、知识和发现，以及新恶意软件的调查报告，维持一个经常更新的反恶意扫描工具，来检查任何用户系统，发现已知的恶意软件的迹象。真正的解决方法可能还是类似于垃圾邮件问题的最终解决。软件发行商将被列为“可信”、“不可信”或“未知”，操作系统对下载的软件先通过白名单、灰名单和黑名单过滤一遍，是否执行将通过软件每一部分的发行商加密验证来控制，这个过程可以在软件还未启动之前就进行，就像现在Windows XP的Service Pack 2一样。同时，借鉴电子邮件实时黑名单（RBL）方法，即一个已知恶意软件作者的名单，并不断更新。

当然，如果最终还是必须由用户决定是否信任和运行一个未签名的程序，不光繁琐，而且是“菜鸟”的噩梦，这在现在的某些防火墙软件中已经显现。另外还是有很多方法绕过这些测试，所以操作系统还需要安全加固。无论如何，对垃圾邮件的控制的确加强了邮件系统反病毒扩散的能力，反“流氓软件”能阻止大部分骚扰，也就很不错了。另一个难以处理的现象是“双重间谍”，有的软件打着删除间谍软件的名义，实际上本身就是间谍软件。对那些本身就靠广告软件获利的企业，它们加入反间谍联盟的重要目的之一，就是希望通过清晰的定义，把自己的软件划分到被清除的范围之外。■

反间谍反流氓的乏力

“流氓软件”使人更加缺乏安全感，具有记录键盘操作功能和屏幕捕获功能的“流氓软件”更直接为网络犯罪提供了机会。今年6月美国万事达公司发现的威胁到超过4000万信用卡用户，并已有数万张信用卡的资料被人复制的事件，就是因为亚利桑那州处理在线支付的公司CardSystems Solutions的网络中有恶意程序，为入侵者打开了大门。更有甚者，9月15日最新消息，加州大学伯克利分校的研究人员发现，打字时击键盘的声音的录音能够被转化成所输入的内容，试验中他们根据录音复原出用户的击键和单词，正确率分别达到96%和88%。该校的泰加教授表示:我们能做到这一点，怀有歹意的电脑黑客也会做到的。还好，目前辨别鼠标操作还是个难题。

“双重间谍”生动地表明:大多数间谍软件和反间谍工具并不矛盾。从功能上来说，防火墙只是通过自身规则对网络行为进行阻断，外面的东西不能随便进来，里面的东西不能随便出去，而你在自己计算机里做什么它是不管的，它本身也并不记录你的隐私。杀毒软件也在监视你的一举一动，但它并不暴露你的隐私。而如果是间谍软件的监控功能就不同了，你的屏幕和键盘可能都在其视线之内。

很多时候，“流氓”和反“流氓”的背后仍然是利益争夺。在有关的一些诉讼中，焦点集中在对IE网页地址栏资源的争夺，有人分析这个市场几年内最少有10亿元的规模，还将随着国内互联网的快速发展继续扩大。然而IE的地址栏只有一个，在这些争端当中，有的公司以对方的插件中存在屏蔽自己的插件为由起诉，而同时它本身提供的插件也屏蔽着别人的诸多搜索服务插件。

相互删除和屏蔽，很快演变为采用技术手段使自己的软件无法被删除和屏蔽，极端的手段就是改写用户最底层的数据，甚至有时根本就不提示用户。这相当于两个推销员在客户家门口就打起来了。事实上删除别人的程序是非法的，但从下载、安装到功能运行，再到对类似功能的竞争对手的屏蔽和删除，都有非常合法和非常非法的手段，中间有一个很大的灰色地带。有人笑谈:当“流氓软件”最典型的时候，也许是大家都在干非法的事，根本不考虑用户的存在和感受，就像黑社会抢地盘，对服从了另一方的老百姓肯定少不了威逼利诱。只要被黑社会控制，用户就没有选择权，更没有公平交易。

在舆论压力下，竞争各方最后都各退一步，毕竟各大公司都有一定的政府资源，谁也不能把谁一棍子打死，现在的局面处在一种比较暧昧的平衡之中，即有利益冲突，又有企业之间、政府和企业之间的关系要维持。有业内人士将“流氓软件”与市场经济中许多无序行为的调控做了比较:政府砍一刀，大家往后一缩，政府砍得太狠，也会往后收一收。

由于天然的不可重复性和经济利益，中文实名已渐渐地和域名一样成了一种公共资源，现在的问题是:当中文实名上网这一技术创新被人发现时，没有人想到这种资源的分配规则。行为的法律规范和技术创新的矛盾没有比互联网行业更突出的了，当一家企业对有限资源形成天然的垄断性时，就越来越需要一种充分考虑公共利益的游戏规则。信息产业部电信研究院通信政策研究所所长陈金桥对此评论道:“技术创新，或者是通过技术创新获得市场份额以及在市场上保持领先的一个态势，不能成为它压制后进入者、追随者、模仿者的一个理由。如果它作为一种工具来做这件事情，那么管制部门就应该介入。”

谁是管制部门呢？现有的一些半官半商的机构显然不合适，“公安部、信息产业部安全管理中心、病毒应急处理中心、行业协会甚至广告部门，似乎都有责任，但又都没有清晰的权责规定。”北大一位软件专家告诉记者。行业自律是值得肯定的办法。6月28日，16家国内知名的互联网企业签订的《软件产品行为安全自律公约》规定:“鼓励、支持开展合法、公平、有序的行业竞争，反对采用不正当的软件编写手段来进行市场竞争。自觉维护软件用户的合法权益，保守用户信息秘密，不得利用用户提供的信息从事任何与向用户做出的承诺无关的活动，不得未经用户同意，擅自利用所发布的软件收集用户的隐私数据，不得以其他方式变相侵犯用户的合法权益。积极起草《软件产品行为安全服务规范》的各种条款，开发符合行为规范的合格软件产品。”然而行业协会只是社会团体，前述公约对违规者只能提出“协同相关部门进行处理”，而具体的处理方案“需另行制订”。