[轉貼]安全行業舉辦沙龍控訴360不法行徑

原文: http://www.donews.com/original/201211/1687928.shtm


安全行業舉辦沙龍控訴360不法行徑 360未回應

作者:盧林嘉|出處:DoNews| 2012-11-01 11:04:28 |閱讀:27759次 責編:盧林嘉
近日,工信部宣布介入調查“方周大戰”曝光的奇虎360軟件問題,安全業界普遍對此持高度關注態度。

DoNews 11月1日消息 近日,工信部宣布介入調查“方周大戰”曝光的奇虎360軟件問題,安全業界普遍對此持高度關注態度。

10月30日,易觀國際以“網絡安全路在何方”為主題舉辦易士堂論壇,邀請安全廠商代表、安全專家、軟件開發商等業內人士展開集體會診。

金山曬確鑿證據 360闖過用戶隱私紅線

前不久,方舟子及眾多網友接連質疑360涉嫌泄露用戶隱私。通過技術手段解析,金山軟件得到了360超範圍收集政府、企業、個人隱私信息的確鑿 證據。在論壇現場,金山軟件信息安全技術工程師、反病毒專家李鐵軍對部分證據進行展示,並全程複現了360安全衛士操縱用戶電腦,竊取用戶隱私的操作場 景。

從數據本身看,用戶隱私泄露的嚴重程度遠超網友想象。部分證據顯示,360收集包括用戶名、登錄密碼、上網行為、聯係方式、電腦標識碼、淘寶購 物詳情、瀏覽及搜索記錄等大量個人隱私信息,可以精確定位網民的IP地址和職業特征。不僅如此,360還收集了奇瑞汽車訂單信息、某物流公司後台管理係統 等大量企業內部信息和經營數據,甚至連某些國家重要戰略企業的內網密碼及財務數據都發生了泄露。

據悉,金山發現的此次泄露數據達到141萬條,而這些數據還是被刪除之後剩餘的,不過是冰山一角。至於數據總量有多少,被下載了多少次,隻有當事人才能做出解釋。

據李鐵軍介紹,這些上傳的用戶信息由360軟件內部設置抓取並上傳,上傳後臨時數據文件隨即被自動刪除,除非專業人士特別查看,普通用戶對此毫無察覺。麵對此種行為,為了支持徹查真相,李鐵軍表示,如果政府、媒體等相關機構需要,金山願意提供完整證據版本以備查證。

瑞星、網秦、小紅傘等安全廠商對此表示震驚,殺毒軟件作為係統底層應用,確實能夠接觸到大量用戶信息,但這並不意味著軟件廠商擁有隨意采集、使 用用戶隱私信息的特權,反而應當更加嚴謹地保護。網秦代表表示,按照國外的通行標準,搜集的信息應該經過公立的第三方機構檢驗,以保證沒有侵犯用戶隱私。 小紅傘代表對此表示讚同,認為用戶隱私在歐洲本身就是一道“紅線”,逾越就意味著安全企業將無法生存。

由於隱私數據背後存在著巨大的利益,如何規範安全廠商的行為就是政府監管部門必須要考慮的問題,而不能僅僅依靠廠商自律。在成熟市場上,安全軟件能夠收集什麽信息、擁有哪些特權都是受到法律嚴格限製的,而這一環節目前在中國還處於缺失狀態。

萬濤質疑“雲查殺” 透明開放才是出路

工信部介入調查後,360表示安全軟件早已進行托管,其安全瀏覽器也將送交評測部門檢測,以示清白。然而,也有不少技術網友指出,360采用的 是“雲查殺”技術,隻將客戶端程序送檢其實毫無意義,通過聯網,“產品在雲端的行為其實並不受用戶控製,要想使壞實在太容易了”。

互聯網威懾防禦實驗室創始人、安全專家萬濤表示,網友的擔心並非杞人憂天。“雲查殺”模式最早由360提出,它的出現解決了本地殺毒軟件的盜版 問題,促使用戶更多采用聯網服務,這種模式本身是無可厚非的,但這也會同時帶來隱私和安全的新威脅,對黑客來說也意味著更大的機會。“雲”代表了資源集 中,一旦保護不利,黑客就可以通過網絡更容易地獲取大量用戶的隱私數據。由於360的“雲查殺“本身不透明,機理和上傳數據都不為公眾知曉,就難免有“瓜 田李下”的嫌疑,一旦被網絡黑客利用,就有可能成為作惡的雲。

安全軟件本身的目的是讓互聯網更加可信,如果安全廠商自身要是越過底線,為了利益而肆意妄為,就會損害用戶信任、損害安全行業的利益。萬濤認 為,安全廠商應該參與到桌麵開源代碼的行動中來,讓第三方技術專家、程序員來進行透明評測,讓安全軟件真正獲得用戶信任,避免陷入口水戰之中。

不正當競爭戰火蔓延 警惕新流氓軟件抬頭

在參會嘉賓看來,安全廠商不僅應當肅清那些可能威脅用戶隱私安全、透支用戶信任的行為,有一些針對同行和應用廠商的不正當競爭行為也必須受到嚴格約束。

會上,瑞星、金山列舉了360軟件的一係列不正當競爭行為。360憑借壟斷地位,以安全為名,通過攔截、誤報等方法持續打擊同行產品。

不正當競爭的戰火從安全領域也同樣蔓延到了客戶端。搜狗產品經理黎誌舉例認為,360不正當競爭的方式經常是“先封殺創新,再抄襲”的模式。當 搜狗瀏覽器推出創新功能“網速保護”後,360立即進行攔截封殺。四個月之後,360相同功能的“360網速保護” 上線推廣,在此之後,搜狗的這項功能才被放開。

用友軟件公司代表也分享了經曆:2010年初,用友軟件發布了一個新版本,被某公司安全軟件將其動態庫殺掉了一半,用戶隻要安裝了該安全軟件就無法安裝用友軟件,最後用友軟件隻得主動聯係,在接受了很多不公平條件後,問題才得以解決。

與會嘉賓認為,中國互聯網協會曾經公布了流氓軟件的八大特征,而濫用特權實施攔截行為其實也應該被定義為一大特征。需要引起警惕的是,新流氓軟 件可能正在抬頭。奇虎360的大量行為已經侵犯了用戶利益,並嚴重幹擾了整個行業秩序。要真正實現網絡安全,不僅需要安全廠商加強自律,努力保障用戶利 益,也需要更多政府監管部門和行業組織力量介入,以調查為契機,加強完善法律法規,采取有效措施,提高違法違規成本,讓不法行為受到震懾,從而構建起良好 的市場秩序,避免傷害用戶、擾亂行業秩序的行為再次發生。(完)

所有跟帖: 

請推薦一款殺毒,防止黑客入侵的軟件。謝謝! -綠芽- 給 綠芽 發送悄悄話 (0 bytes) () 11/01/2012 postreply 18:15:54

殺毒軟件本身具有一定的入侵性質(elevated privilige, start at boot, in memory, im -playdoh2- 給 playdoh2 發送悄悄話 (70 bytes) () 11/01/2012 postreply 18:35:26

盡量避免國產免費軟件。知名的免費殺毒軟件見內。 -加州老李- 給 加州老李 發送悄悄話 加州老李 的博客首頁 (169 bytes) () 11/01/2012 postreply 18:38:36

如果你擔心黑客入侵,用Linux, 如果不開放任何服務,黑客很難遠程侵入 -playdoh2- 給 playdoh2 發送悄悄話 (0 bytes) () 11/01/2012 postreply 18:40:39

正版的諾頓殺毒軟件怎麽樣? -綠芽- 給 綠芽 發送悄悄話 (0 bytes) () 11/01/2012 postreply 18:50:23

美國有些公司給雇員諾頓殺毒軟件,有些ISP免費給用戶諾頓殺毒軟件。 -加州老李- 給 加州老李 發送悄悄話 加州老李 的博客首頁 (119 bytes) () 11/02/2012 postreply 11:00:45

諾頓效果不錯,$20多可以裝3台電腦.一年沒事. -葉林- 給 葉林 發送悄悄話 (0 bytes) () 11/08/2012 postreply 22:36:15

請您先登陸,再發跟帖!