近日,工信部宣布介入調(diào)查“方周大戰(zhàn)”曝光的奇虎360軟件問題,一石激起千層浪,安全業(yè)界普遍對(duì)此持高度關(guān)注態(tài)度。這次事件對(duì)中國(guó)信息安全行業(yè)將產(chǎn)生怎樣的影響?從中又該吸取哪些經(jīng)驗(yàn)教訓(xùn),亡羊補(bǔ)牢?
10月30日,易觀國(guó)際以“網(wǎng)絡(luò)安全路在何方”為主題舉辦易士堂論壇,邀請(qǐng)安全廠商代表、安全專家、軟件開發(fā)商等業(yè)內(nèi)人士展開集體會(huì)診。
金山曬確鑿證據(jù) 360闖過(guò)用戶隱私紅線
前不久,方舟子及眾多網(wǎng)友接連質(zhì)疑360涉嫌泄露用戶隱私。通過(guò)技術(shù)手段解析,金山軟件得到了360超范圍收集政府、企業(yè)、個(gè)人隱私信息的確鑿證據(jù)。在論壇現(xiàn)場(chǎng),金山軟件信息安全技術(shù)工程師、反病毒專家李鐵軍對(duì)部分證據(jù)進(jìn)行展示,并全程復(fù)現(xiàn)了360安全衛(wèi)士操縱用戶電腦,竊取用戶隱私的操作場(chǎng)景。
從數(shù)據(jù)本身看,用戶隱私泄露的嚴(yán)重程度遠(yuǎn)超網(wǎng)友想象。部分證據(jù)顯示,360收集包括用戶名、登錄密碼、上網(wǎng)行為、聯(lián)系方式、電腦標(biāo)識(shí)碼、淘寶購(gòu)物詳情、瀏覽及搜索記錄等大量個(gè)人隱私信息,可以精確定位網(wǎng)民的IP地址和職業(yè)特征。不僅如此,360還收集了奇瑞汽車訂單信息、某物流公司后臺(tái)管理系統(tǒng)等大量企業(yè)內(nèi)部信息和經(jīng)營(yíng)數(shù)據(jù),甚至連某些國(guó)家重要戰(zhàn)略企業(yè)的內(nèi)網(wǎng)密碼及財(cái)務(wù)數(shù)據(jù)都發(fā)生了泄露。
據(jù)悉,金山發(fā)現(xiàn)的此次泄露數(shù)據(jù)達(dá)到141萬(wàn)條,而這些數(shù)據(jù)還是被刪除之后剩余的,不過(guò)是冰山一角。至于數(shù)據(jù)總量有多少,被下載了多少次,只有當(dāng)事人才能做出解釋。
據(jù)李鐵軍介紹,這些上傳的用戶信息由360軟件內(nèi)部設(shè)置抓取并上傳,上傳后臨時(shí)數(shù)據(jù)文件隨即被自動(dòng)刪除,除非專業(yè)人士特別查看,普通用戶對(duì)此毫無(wú)察覺。面對(duì)此種行為,為了支持徹查真相,李鐵軍表示,如果政府、媒體等相關(guān)機(jī)構(gòu)需要,金山愿意提供完整證據(jù)版本以備查證。
瑞星、網(wǎng)秦、小紅傘等安全廠商對(duì)此表示震驚,殺毒軟件作為系統(tǒng)底層應(yīng)用,確實(shí)能夠接觸到大量用戶信息,但這并不意味著軟件廠商擁有隨意采集、使用用戶隱私信息的特權(quán),反而應(yīng)當(dāng)更加嚴(yán)謹(jǐn)?shù)乇Wo(hù)。網(wǎng)秦代表表示,按照國(guó)外的通行標(biāo)準(zhǔn),搜集的信息應(yīng)該經(jīng)過(guò)公立的第三方機(jī)構(gòu)檢驗(yàn),以保證沒有侵犯用戶隱私。小紅傘代表對(duì)此表示贊同,認(rèn)為用戶隱私在歐洲本身就是一道“紅線”,逾越就意味著安全企業(yè)將無(wú)法生存。
由于隱私數(shù)據(jù)背后存在著巨大的利益,如何規(guī)范安全廠商的行為就是政府監(jiān)管部門必須要考慮的問題,而不能僅僅依靠廠商自律。在成熟市場(chǎng)上,安全軟件能夠收集什么信息、擁有哪些特權(quán)都是受到法律嚴(yán)格限制的,而這一環(huán)節(jié)目前在中國(guó)還處于缺失狀態(tài)。
萬(wàn)濤質(zhì)疑“云查殺” 透明開放才是出路
工信部介入調(diào)查后,360表示安全軟件早已進(jìn)行托管,其安全瀏覽器也將送交評(píng)測(cè)部門檢測(cè),以示清白。然而,也有不少技術(shù)網(wǎng)友指出,360采用的是“云查殺”技術(shù),只將客戶端程序送檢其實(shí)毫無(wú)意義,通過(guò)聯(lián)網(wǎng),“產(chǎn)品在云端的行為其實(shí)并不受用戶控制,要想使壞實(shí)在太容易了”。
互聯(lián)網(wǎng)威懾防御實(shí)驗(yàn)室創(chuàng)始人、安全專家萬(wàn)濤表示,網(wǎng)友的擔(dān)心并非杞人憂天。“云查殺”模式最早由360提出,它的出現(xiàn)解決了本地殺毒軟件的盜版問題,促使用戶更多采用聯(lián)網(wǎng)服務(wù),這種模式本身是無(wú)可厚非的,但這也會(huì)同時(shí)帶來(lái)隱私和安全的新威脅,對(duì)黑客來(lái)說(shuō)也意味著更大的機(jī)會(huì)。“云”代表了資源集中,一旦保護(hù)不利,黑客就可以通過(guò)網(wǎng)絡(luò)更容易地獲取大量用戶的隱私數(shù)據(jù)。由于360的“云查殺“本身不透明,機(jī)理和上傳數(shù)據(jù)都不為公眾知曉,就難免有“瓜田李下”的嫌疑,一旦被網(wǎng)絡(luò)黑客利用,就有可能成為作惡的云。
安全軟件本身的目的是讓互聯(lián)網(wǎng)更加可信,如果安全廠商自身要是越過(guò)底線,為了利益而肆意妄為,就會(huì)損害用戶信任、損害安全行業(yè)的利益。萬(wàn)濤認(rèn)為,安全廠商應(yīng)該參與到桌面開源代碼的行動(dòng)中來(lái),讓第三方技術(shù)專家、程序員來(lái)進(jìn)行透明評(píng)測(cè),讓安全軟件真正獲得用戶信任,避免陷入口水戰(zhàn)之中。
不正當(dāng)競(jìng)爭(zhēng)戰(zhàn)火蔓延 警惕新流氓軟件抬頭
在參會(huì)嘉賓看來(lái),安全廠商不僅應(yīng)當(dāng)肅清那些可能威脅用戶隱私安全、透支用戶信任的行為,有一些針對(duì)同行和應(yīng)用廠商的不正當(dāng)競(jìng)爭(zhēng)行為也必須受到嚴(yán)格約束。
會(huì)上,瑞星、金山列舉了360軟件的一系列不正當(dāng)競(jìng)爭(zhēng)行為。360憑借壟斷地位,以安全為名,通過(guò)攔截、誤報(bào)等方法持續(xù)打擊同行產(chǎn)品。
不正當(dāng)競(jìng)爭(zhēng)的戰(zhàn)火從安全領(lǐng)域也同樣蔓延到了客戶端。搜狗產(chǎn)品經(jīng)理黎志舉例認(rèn)為,360不正當(dāng)競(jìng)爭(zhēng)的方式經(jīng)常是“先封殺創(chuàng)新,再抄襲”的模式。當(dāng)搜狗瀏覽器推出創(chuàng)新功能“網(wǎng)速保護(hù)”后,360立即進(jìn)行攔截封殺。四個(gè)月之后,360相同功能的“360網(wǎng)速保護(hù)” 上線推廣,在此之后,搜狗的這項(xiàng)功能才被放開。
用友軟件公司代表也分享了經(jīng)歷:2010年初,用友軟件發(fā)布了一個(gè)新版本,被某公司安全軟件將其動(dòng)態(tài)庫(kù)殺掉了一半,用戶只要安裝了該安全軟件就無(wú)法安裝用友軟件,最后用友軟件只得主動(dòng)聯(lián)系,在接受了很多不公平條件后,問題才得以解決。
與會(huì)嘉賓認(rèn)為,中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)曾經(jīng)公布了流氓軟件的八大特征,而濫用特權(quán)實(shí)施攔截行為其實(shí)也應(yīng)該被定義為一大特征。需要引起警惕的是,新流氓軟件可能正在抬頭。要真正實(shí)現(xiàn)網(wǎng)絡(luò)安全,不僅需要安全廠商加強(qiáng)自律,努力保障用戶利益,也需要更多政府監(jiān)管部門和行業(yè)組織力量介入,以調(diào)查為契機(jī),加強(qiáng)完善法律法規(guī),采取有效措施,提高違法違規(guī)成本,讓不法行為受到震懾,從而構(gòu)建起良好的市場(chǎng)秩序,避免傷害用戶、擾亂行業(yè)秩序的行為再次發(fā)生。