近日,工信部宣布介入调查“方周大战”曝光的奇虎360软件问题,一石激起千层浪,安全业界普遍对此持高度关注态度。这次事件对中国信息安全行业将产生怎样的影响?从中又该吸取哪些经验教训,亡羊补牢?
10月30日,易观国际以“网络安全路在何方”为主题举办易士堂论坛,邀请安全厂商代表、安全专家、软件开发商等业内人士展开集体会诊。
金山晒确凿证据 360闯过用户隐私红线
前不久,方舟子及众多网友接连质疑360涉嫌泄露用户隐私。通过技术手段解析,金山软件得到了360超范围收集政府、企业、个人隐私信息的确凿证据。在论坛现场,金山软件信息安全技术工程师、反病毒专家李铁军对部分证据进行展示,并全程复现了360安全卫士操纵用户电脑,窃取用户隐私的操作场景。
从数据本身看,用户隐私泄露的严重程度远超网友想象。部分证据显示,360收集包括用户名、登录密码、上网行为、联系方式、电脑标识码、淘宝购物详情、浏览及搜索记录等大量个人隐私信息,可以精确定位网民的IP地址和职业特征。不仅如此,360还收集了奇瑞汽车订单信息、某物流公司后台管理系统等大量企业内部信息和经营数据,甚至连某些国家重要战略企业的内网密码及财务数据都发生了泄露。
据悉,金山发现的此次泄露数据达到141万条,而这些数据还是被删除之后剩余的,不过是冰山一角。至于数据总量有多少,被下载了多少次,只有当事人才能做出解释。
据李铁军介绍,这些上传的用户信息由360软件内部设置抓取并上传,上传后临时数据文件随即被自动删除,除非专业人士特别查看,普通用户对此毫无察觉。面对此种行为,为了支持彻查真相,李铁军表示,如果政府、媒体等相关机构需要,金山愿意提供完整证据版本以备查证。
瑞星、网秦、小红伞等安全厂商对此表示震惊,杀毒软件作为系统底层应用,确实能够接触到大量用户信息,但这并不意味着软件厂商拥有随意采集、使用用户隐私信息的特权,反而应当更加严谨地保护。网秦代表表示,按照国外的通行标准,搜集的信息应该经过公立的第三方机构检验,以保证没有侵犯用户隐私。小红伞代表对此表示赞同,认为用户隐私在欧洲本身就是一道“红线”,逾越就意味着安全企业将无法生存。
由于隐私数据背后存在着巨大的利益,如何规范安全厂商的行为就是政府监管部门必须要考虑的问题,而不能仅仅依靠厂商自律。在成熟市场上,安全软件能够收集什么信息、拥有哪些特权都是受到法律严格限制的,而这一环节目前在中国还处于缺失状态。
万涛质疑“云查杀” 透明开放才是出路
工信部介入调查后,360表示安全软件早已进行托管,其安全浏览器也将送交评测部门检测,以示清白。然而,也有不少技术网友指出,360采用的是“云查杀”技术,只将客户端程序送检其实毫无意义,通过联网,“产品在云端的行为其实并不受用户控制,要想使坏实在太容易了”。
互联网威慑防御实验室创始人、安全专家万涛表示,网友的担心并非杞人忧天。“云查杀”模式最早由360提出,它的出现解决了本地杀毒软件的盗版问题,促使用户更多采用联网服务,这种模式本身是无可厚非的,但这也会同时带来隐私和安全的新威胁,对黑客来说也意味着更大的机会。“云”代表了资源集中,一旦保护不利,黑客就可以通过网络更容易地获取大量用户的隐私数据。由于360的“云查杀“本身不透明,机理和上传数据都不为公众知晓,就难免有“瓜田李下”的嫌疑,一旦被网络黑客利用,就有可能成为作恶的云。
安全软件本身的目的是让互联网更加可信,如果安全厂商自身要是越过底线,为了利益而肆意妄为,就会损害用户信任、损害安全行业的利益。万涛认为,安全厂商应该参与到桌面开源代码的行动中来,让第三方技术专家、程序员来进行透明评测,让安全软件真正获得用户信任,避免陷入口水战之中。
不正当竞争战火蔓延 警惕新流氓软件抬头
在参会嘉宾看来,安全厂商不仅应当肃清那些可能威胁用户隐私安全、透支用户信任的行为,有一些针对同行和应用厂商的不正当竞争行为也必须受到严格约束。
会上,瑞星、金山列举了360软件的一系列不正当竞争行为。360凭借垄断地位,以安全为名,通过拦截、误报等方法持续打击同行产品。
不正当竞争的战火从安全领域也同样蔓延到了客户端。搜狗产品经理黎志举例认为,360不正当竞争的方式经常是“先封杀创新,再抄袭”的模式。当搜狗浏览器推出创新功能“网速保护”后,360立即进行拦截封杀。四个月之后,360相同功能的“360网速保护” 上线推广,在此之后,搜狗的这项功能才被放开。
用友软件公司代表也分享了经历:2010年初,用友软件发布了一个新版本,被某公司安全软件将其动态库杀掉了一半,用户只要安装了该安全软件就无法安装用友软件,最后用友软件只得主动联系,在接受了很多不公平条件后,问题才得以解决。
与会嘉宾认为,中国互联网协会曾经公布了流氓软件的八大特征,而滥用特权实施拦截行为其实也应该被定义为一大特征。需要引起警惕的是,新流氓软件可能正在抬头。要真正实现网络安全,不仅需要安全厂商加强自律,努力保障用户利益,也需要更多政府监管部门和行业组织力量介入,以调查为契机,加强完善法律法规,采取有效措施,提高违法违规成本,让不法行为受到震慑,从而构建起良好的市场秩序,避免伤害用户、扰乱行业秩序的行为再次发生。