工信部介入調(diào)查360隱私問題 安全專家集體會診

近日，工信部宣布介入調(diào)查“方周大戰(zhàn)”曝光的奇虎360軟件問題，一石激起千層浪，安全業(yè)界普遍對此持高度關(guān)注態(tài)度。這次事件對中國信息安全行業(yè)將產(chǎn)生怎樣的影響？從中又該吸取哪些經(jīng)驗教訓(xùn)，亡羊補牢？

10月30日，易觀國際以“網(wǎng)絡(luò)安全路在何方”為主題舉辦易士堂論壇，邀請安全廠商代表、安全專家、軟件開發(fā)商等業(yè)內(nèi)人士展開集體會診。

金山曬確鑿證據(jù)  360闖過用戶隱私紅線

前不久，方舟子及眾多網(wǎng)友接連質(zhì)疑360涉嫌泄露用戶隱私。通過技術(shù)手段解析，金山軟件得到了360超范圍收集政府、企業(yè)、個人隱私信息的確鑿證據(jù)。在論壇現(xiàn)場，金山軟件信息安全技術(shù)工程師、反病毒專家李鐵軍對部分證據(jù)進行展示，并全程復(fù)現(xiàn)了360安全衛(wèi)士操縱用戶電腦，竊取用戶隱私的操作場景。

從數(shù)據(jù)本身看，用戶隱私泄露的嚴(yán)重程度遠(yuǎn)超網(wǎng)友想象。部分證據(jù)顯示，360收集包括用戶名、登錄密碼、上網(wǎng)行為、聯(lián)系方式、電腦標(biāo)識碼、淘寶購物詳情、瀏覽及搜索記錄等大量個人隱私信息，可以精確定位網(wǎng)民的IP地址和職業(yè)特征。不僅如此，360還收集了奇瑞汽車訂單信息、某物流公司后臺管理系統(tǒng)等大量企業(yè)內(nèi)部信息和經(jīng)營數(shù)據(jù)，甚至連某些國家重要戰(zhàn)略企業(yè)的內(nèi)網(wǎng)密碼及財務(wù)數(shù)據(jù)都發(fā)生了泄露。

據(jù)悉，金山發(fā)現(xiàn)的此次泄露數(shù)據(jù)達(dá)到141萬條，而這些數(shù)據(jù)還是被刪除之后剩余的，不過是冰山一角。至于數(shù)據(jù)總量有多少，被下載了多少次，只有當(dāng)事人才能做出解釋。

據(jù)李鐵軍介紹，這些上傳的用戶信息由360軟件內(nèi)部設(shè)置抓取并上傳，上傳后臨時數(shù)據(jù)文件隨即被自動刪除，除非專業(yè)人士特別查看，普通用戶對此毫無察覺。面對此種行為，為了支持徹查真相，李鐵軍表示，如果政府、媒體等相關(guān)機構(gòu)需要，金山愿意提供完整證據(jù)版本以備查證。

瑞星、網(wǎng)秦、小紅傘等安全廠商對此表示震驚，殺毒軟件作為系統(tǒng)底層應(yīng)用，確實能夠接觸到大量用戶信息，但這并不意味著軟件廠商擁有隨意采集、使用用戶隱私信息的特權(quán)，反而應(yīng)當(dāng)更加嚴(yán)謹(jǐn)?shù)乇Ｗo。網(wǎng)秦代表表示，按照國外的通行標(biāo)準(zhǔn)，搜集的信息應(yīng)該經(jīng)過公立的第三方機構(gòu)檢驗，以保證沒有侵犯用戶隱私。小紅傘代表對此表示贊同，認(rèn)為用戶隱私在歐洲本身就是一道“紅線”，逾越就意味著安全企業(yè)將無法生存。

由于隱私數(shù)據(jù)背后存在著巨大的利益，如何規(guī)范安全廠商的行為就是政府監(jiān)管部門必須要考慮的問題，而不能僅僅依靠廠商自律。在成熟市場上，安全軟件能夠收集什么信息、擁有哪些特權(quán)都是受到法律嚴(yán)格限制的，而這一環(huán)節(jié)目前在中國還處于缺失狀態(tài)。

萬濤質(zhì)疑“云查殺”  透明開放才是出路

工信部介入調(diào)查后，360表示安全軟件早已進行托管，其安全瀏覽器也將送交評測部門檢測，以示清白。然而，也有不少技術(shù)網(wǎng)友指出，360采用的是“云查殺”技術(shù)，只將客戶端程序送檢其實毫無意義，通過聯(lián)網(wǎng)，“產(chǎn)品在云端的行為其實并不受用戶控制，要想使壞實在太容易了”。

互聯(lián)網(wǎng)威懾防御實驗室創(chuàng)始人、安全專家萬濤表示，網(wǎng)友的擔(dān)心并非杞人憂天。“云查殺”模式最早由360提出，它的出現(xiàn)解決了本地殺毒軟件的盜版問題，促使用戶更多采用聯(lián)網(wǎng)服務(wù)，這種模式本身是無可厚非的，但這也會同時帶來隱私和安全的新威脅，對黑客來說也意味著更大的機會。“云”代表了資源集中，一旦保護不利，黑客就可以通過網(wǎng)絡(luò)更容易地獲取大量用戶的隱私數(shù)據(jù)。由于360的“云查殺“本身不透明，機理和上傳數(shù)據(jù)都不為公眾知曉，就難免有“瓜田李下”的嫌疑，一旦被網(wǎng)絡(luò)黑客利用，就有可能成為作惡的云。

安全軟件本身的目的是讓互聯(lián)網(wǎng)更加可信，如果安全廠商自身要是越過底線，為了利益而肆意妄為，就會損害用戶信任、損害安全行業(yè)的利益。萬濤認(rèn)為，安全廠商應(yīng)該參與到桌面開源代碼的行動中來，讓第三方技術(shù)專家、程序員來進行透明評測，讓安全軟件真正獲得用戶信任，避免陷入口水戰(zhàn)之中。

不正當(dāng)競爭戰(zhàn)火蔓延  警惕新流氓軟件抬頭

在參會嘉賓看來，安全廠商不僅應(yīng)當(dāng)肅清那些可能威脅用戶隱私安全、透支用戶信任的行為，有一些針對同行和應(yīng)用廠商的不正當(dāng)競爭行為也必須受到嚴(yán)格約束。

會上，瑞星、金山列舉了360軟件的一系列不正當(dāng)競爭行為。360憑借壟斷地位，以安全為名，通過攔截、誤報等方法持續(xù)打擊同行產(chǎn)品。

不正當(dāng)競爭的戰(zhàn)火從安全領(lǐng)域也同樣蔓延到了客戶端。搜狗產(chǎn)品經(jīng)理黎志舉例認(rèn)為，360不正當(dāng)競爭的方式經(jīng)常是“先封殺創(chuàng)新，再抄襲”的模式。當(dāng)搜狗瀏覽器推出創(chuàng)新功能“網(wǎng)速保護”后，360立即進行攔截封殺。四個月之后，360相同功能的“360網(wǎng)速保護” 上線推廣，在此之后，搜狗的這項功能才被放開。

用友軟件公司代表也分享了經(jīng)歷：2010年初，用友軟件發(fā)布了一個新版本，被某公司安全軟件將其動態(tài)庫殺掉了一半，用戶只要安裝了該安全軟件就無法安裝用友軟件，最后用友軟件只得主動聯(lián)系，在接受了很多不公平條件后，問題才得以解決。

與會嘉賓認(rèn)為，中國互聯(lián)網(wǎng)協(xié)會曾經(jīng)公布了流氓軟件的八大特征，而濫用特權(quán)實施攔截行為其實也應(yīng)該被定義為一大特征。需要引起警惕的是，新流氓軟件可能正在抬頭。要真正實現(xiàn)網(wǎng)絡(luò)安全，不僅需要安全廠商加強自律，努力保障用戶利益，也需要更多政府監(jiān)管部門和行業(yè)組織力量介入，以調(diào)查為契機，加強完善法律法規(guī)，采取有效措施，提高違法違規(guī)成本，讓不法行為受到震懾，從而構(gòu)建起良好的市場秩序，避免傷害用戶、擾亂行業(yè)秩序的行為再次發(fā)生。