区别安全的软件和间谍软件并不是一件简单的事情,但是一个工业团体正试图使区分变得简单易行。
由二十几个技术销售公司和兴趣小组组成的反间谍软件联合会,上周晚些时候发表了一系列指导标准,帮助反间谍软件公司确定哪些是间谍软件。
该联合会由IT业的民主和科技中心(Center for Democracy and Technology)领导,成员包括McAfee公司,微软,Sophos plc,赛门铁克,趋势,以及其它一些公司。联合会将间谍软件定义为,在没有经过用户同意且/或在削弱用户控制权的情况下实行的技术;
发生实质的改变,影响到用户的使用、隐私或系统安全;
使用他们的系统资源,包括安装在他们电脑上的软件;以及/或
收集、使用和公开他们的个人或敏感信息。
英国软件安全公司Sophos的高级技术顾问Graham Cluley说,公司和系统管理员通常很难确定哪些是不需要的间谍软件,也很难将其与可接受的广告软件区分开。
“这么做将便于软件安全公司去确定哪些软件他们必须监测而哪些不必,”Cluley说道。“建立这些指导标准将使他们的产品易用性更强,最终使消费受益。”
联合会的间谍软件定义注意到了其中包含的复杂性,因为一些与间谍软件相关联的技术在有适当的授权、同意或控制的情况下使用是有益的,如支持未授权登录的跟踪软件,或能为botnets和“僵尸软件“打开后门的远程控制软件。
根据反间谍软件联合会的定义,“软件执行时不能为授权用户带来利益或损害用户利益时,这样的技术就是典型的无用技术。”
在来自个人和组织的近400条评论的帮助下,该团体拟写了指导标准。虽然不是所有的反间谍软件公司都参与了,但是Cluley说此次指导标准的发布将会鼓励更多公司参与到这个团体中来,并使用该团体的信息。
除此之外,该组织还发布了一份风险模型文件的公共草案,为软件公司给间谍软件分类提供了整套方案。
反间谍软件联合会希望能作为催化剂,鼓励软件公司共享如何区别间谍软件的信息。至11月27日,联合会将听取大众关于风险模型文件的意见。这将为在不久的将来出版有关客户的最佳实践打好基础。
