5月18日无疑是一个“黑色星期五”。当天赛门铁克公司所属诺顿软件错误地把部分微软简体中文版Windows XP 中的2个系统文件检测为后门程序,导致国内大量电脑用户不能正常进入窗体底端,操作系统,遭受严重损失。
无独有偶,卡巴斯基也在同一天犯下同样错误:把Windows系统文件“shdocvw.dll”误判为病毒,导致其用户启动电脑后无法看到正常桌面。
用户遭受的损失是无法估量的。轻则重装系统,丢失一部分数据,重则把电脑里宝贵的数据资料全部丢失,包括网上银行数字证书、股票交易系统等。不少用户表示:“自己真的是欲哭无泪”。
由于“误杀”软件是重要系统文件,后果严重,且为国内用户一直颇为信任的国际知名杀毒企业所犯错误,因此,引起业界极大关注。
厂商处理赔偿问题的态度更让国内用户寒心。5月19日,厂商仅仅发表一份道歉声明和提供解决故障的办法。事发将近一周,不仅只字不提赔偿,一些用户还遭到厂商以“用户协议中的免责条款”推托了事。此举又激起广大国内用户激愤,纷纷在网上、纸媒上言论声讨。
国内用户没有理由不激愤。抛开赔偿问题不谈,业界有关人士认为,仅从技术层面来看,把系统文件误判为病毒文件是杀毒产品最为弱智的错误,只要厂商在新产品发布之前测试过,这是完全可以避免的。难道两家厂商没有进行严格测试?
对于国际安全厂商来说,犯这样的错误实在不该。实际上,测试是每个软件产品必不可少的一个环节,也是最后一道“把关”。据中国软件评测中心信息安全项目小组董培欣介绍,为提高安全软件产品质量,一般可通过“软件产品质量管理体系认证”和“信息安全产品评测认证”来实现。
按照软件产品质量管理体系认证要求,厂商在产品开发完成后,要先进行内部测试,再在局部范围内对一小部分用户进行测试,没有问题才能正式对外发布;每次版本更新之前,还要进行严格测试。按照信息安全产品评测认证要求,每当产品有版本变化,需要进行登记备案并测试。
但是,由于国内缺乏相关的规范标准,这些认证制度在国内都不是强制执行,而是由厂商自愿申请通过,因此发生质量问题在所难免。
事实上,类似“误杀”“误报”事件在国内并不少见。就拿最近一段时间来说,据网友、业内人士爆料,2月,瑞星误报QQ和WINRAR包含名为Trojan.ShellHook.n 和Roo tkit.Agent.ri的恶意程序;4月,瑞星误报《魔兽争霸3》的主执行程序war3.exe包含名为Trojan.Mnless.jzi的木马程序;5月19日,卡巴斯基将查杀流氓软件的工具—瑞星卡卡误判为病毒,导致其无法正常升级;当天还误杀WPS;5月21日,曾误杀QQ2007beta1……只不过,这一次的“误杀”事故最为严重。
为什么我们一再容忍,却要承受更加严重的损失?为什么我们在遭受损失之后,只听到一句毫无意义的道歉?而不是像国际上类似事件一样得到相应赔偿?或者按照商业行业惯例获得一段时间的免费服务?
但是,仅仅问责厂商就能真正解决问题吗?我们到底该怎样通过解决国内信息安全市场的规范问题,来保护我们自己不再受伤呢?
从技术层面来看,把系统文件误判为病毒文件是杀毒产品最为弱智的错误,只要厂商在新产品发布之前测试过,这是完全可以避免的。
(责任编辑:崔平)
