近日,工信部宣布介入調查“方周大戰”曝光的奇虎360軟件問題,一石激起千層浪,安全業界普遍對此持高度關注態度。這次事件對中國信息安全行業將產生怎樣的影響?從中又該吸取哪些經驗教訓,亡羊補牢?
10月30日,易觀國際以“網絡安全路在何方”為主題舉辦易士堂論壇,邀請安全廠商代表、安全專家、軟件開發商等業內人士展開集體會診。
金山曬確鑿證據 360闖過用戶隱私紅線
前不久,方舟子及眾多網友接連質疑360涉嫌泄露用戶隱私。通過技術手段解析,金山軟件得到了360超范圍收集政府、企業、個人隱私信息的確鑿證據。在論壇現場,金山軟件信息安全技術工程師、反病毒專家李鐵軍對部分證據進行展示,并全程復現了360安全衛士操縱用戶電腦,竊取用戶隱私的操作場景。
從數據本身看,用戶隱私泄露的嚴重程度遠超網友想象。部分證據顯示,360收集包括用戶名、登錄密碼、上網行為、聯系方式、電腦標識碼、淘寶購物詳情、瀏覽及搜索記錄等大量個人隱私信息,可以精確定位網民的IP地址和職業特征。不僅如此,360還收集了奇瑞汽車訂單信息、某物流公司后臺管理系統等大量企業內部信息和經營數據,甚至連某些國家重要戰略企業的內網密碼及財務數據都發生了泄露。
據悉,金山發現的此次泄露數據達到141萬條,而這些數據還是被刪除之后剩余的,不過是冰山一角。至于數據總量有多少,被下載了多少次,只有當事人才能做出解釋。
據李鐵軍介紹,這些上傳的用戶信息由360軟件內部設置抓取并上傳,上傳后臨時數據文件隨即被自動刪除,除非專業人士特別查看,普通用戶對此毫無察覺。面對此種行為,為了支持徹查真相,李鐵軍表示,如果政府、媒體等相關機構需要,金山愿意提供完整證據版本以備查證。
瑞星、網秦、小紅傘等安全廠商對此表示震驚,殺毒軟件作為系統底層應用,確實能夠接觸到大量用戶信息,但這并不意味著軟件廠商擁有隨意采集、使用用戶隱私信息的特權,反而應當更加嚴謹地保護。網秦代表表示,按照國外的通行標準,搜集的信息應該經過公立的第三方機構檢驗,以保證沒有侵犯用戶隱私。小紅傘代表對此表示贊同,認為用戶隱私在歐洲本身就是一道“紅線”,逾越就意味著安全企業將無法生存。
由于隱私數據背后存在著巨大的利益,如何規范安全廠商的行為就是政府監管部門必須要考慮的問題,而不能僅僅依靠廠商自律。在成熟市場上,安全軟件能夠收集什么信息、擁有哪些特權都是受到法律嚴格限制的,而這一環節目前在中國還處于缺失狀態。
萬濤質疑“云查殺” 透明開放才是出路
工信部介入調查后,360表示安全軟件早已進行托管,其安全瀏覽器也將送交評測部門檢測,以示清白。然而,也有不少技術網友指出,360采用的是“云查殺”技術,只將客戶端程序送檢其實毫無意義,通過聯網,“產品在云端的行為其實并不受用戶控制,要想使壞實在太容易了”。
互聯網威懾防御實驗室創始人、安全專家萬濤表示,網友的擔心并非杞人憂天。“云查殺”模式最早由360提出,它的出現解決了本地殺毒軟件的盜版問題,促使用戶更多采用聯網服務,這種模式本身是無可厚非的,但這也會同時帶來隱私和安全的新威脅,對黑客來說也意味著更大的機會。“云”代表了資源集中,一旦保護不利,黑客就可以通過網絡更容易地獲取大量用戶的隱私數據。由于360的“云查殺“本身不透明,機理和上傳數據都不為公眾知曉,就難免有“瓜田李下”的嫌疑,一旦被網絡黑客利用,就有可能成為作惡的云。
安全軟件本身的目的是讓互聯網更加可信,如果安全廠商自身要是越過底線,為了利益而肆意妄為,就會損害用戶信任、損害安全行業的利益。萬濤認為,安全廠商應該參與到桌面開源代碼的行動中來,讓第三方技術專家、程序員來進行透明評測,讓安全軟件真正獲得用戶信任,避免陷入口水戰之中。
不正當競爭戰火蔓延 警惕新流氓軟件抬頭
在參會嘉賓看來,安全廠商不僅應當肅清那些可能威脅用戶隱私安全、透支用戶信任的行為,有一些針對同行和應用廠商的不正當競爭行為也必須受到嚴格約束。
會上,瑞星、金山列舉了360軟件的一系列不正當競爭行為。360憑借壟斷地位,以安全為名,通過攔截、誤報等方法持續打擊同行產品。
不正當競爭的戰火從安全領域也同樣蔓延到了客戶端。搜狗產品經理黎志舉例認為,360不正當競爭的方式經常是“先封殺創新,再抄襲”的模式。當搜狗瀏覽器推出創新功能“網速保護”后,360立即進行攔截封殺。四個月之后,360相同功能的“360網速保護” 上線推廣,在此之后,搜狗的這項功能才被放開。
用友軟件公司代表也分享了經歷:2010年初,用友軟件發布了一個新版本,被某公司安全軟件將其動態庫殺掉了一半,用戶只要安裝了該安全軟件就無法安裝用友軟件,最后用友軟件只得主動聯系,在接受了很多不公平條件后,問題才得以解決。
與會嘉賓認為,中國互聯網協會曾經公布了流氓軟件的八大特征,而濫用特權實施攔截行為其實也應該被定義為一大特征。需要引起警惕的是,新流氓軟件可能正在抬頭。要真正實現網絡安全,不僅需要安全廠商加強自律,努力保障用戶利益,也需要更多政府監管部門和行業組織力量介入,以調查為契機,加強完善法律法規,采取有效措施,提高違法違規成本,讓不法行為受到震懾,從而構建起良好的市場秩序,避免傷害用戶、擾亂行業秩序的行為再次發生。
