| 昨日(2月25日)����,正是奇虎360所有APP產(chǎn)品被蘋果全面下架一個(gè)月的日子����。
就在此前�����,360的CFO親赴美國(guó)“負(fù)荊請(qǐng)罪”�,但360相關(guān)產(chǎn)品并未重新上架��。
知情人士向 《每日經(jīng)濟(jì)新聞》記者透露�����,國(guó)家版權(quán)局內(nèi)部已討論確定���,360搜索引擎嚴(yán)重違反Robots國(guó)際規(guī)則,目前正在擬定相關(guān)處罰決定�����,近期將在行政處罰會(huì)議上責(zé)令360停止侵權(quán)�,進(jìn)行整改���。
據(jù)悉�����,有“兩會(huì)”代表委員正在草擬嚴(yán)懲不正當(dāng)惡性競(jìng)爭(zhēng)破壞產(chǎn)業(yè)���,以及“3·15”應(yīng)該將隱私保護(hù)列入重點(diǎn)的議案提案。
《信息方略》的一份調(diào)研結(jié)果顯示����,回答“拒絕安裝360”的企業(yè)比例高達(dá)60%����。
一家以聲稱安全起家的互聯(lián)網(wǎng)公司��,正面臨“不安全”的聲討……
360到底怎么了�����?這是一家什么樣的企業(yè)����?帶著這樣的疑問,《每日經(jīng)濟(jì)新聞》記者經(jīng)過數(shù)月調(diào)查��,并在微博名人“獨(dú)立調(diào)查員”等一批程序“猿”的幫助下�,揭開了360的層層內(nèi)幕。
360創(chuàng)始人周鴻祎(微博)一直對(duì)外宣稱���,360成功的秘訣是 “破壞性創(chuàng)新”��。但記者調(diào)查發(fā)現(xiàn)����,360的成功,更重要的是在于其“創(chuàng)新型破壞”:破壞才是目標(biāo)����。通過破壞,打破既有規(guī)則�����,從中獲得市場(chǎng)與利益���。
而這一破壞的基礎(chǔ)���,便是對(duì)互聯(lián)網(wǎng)世界最基本的準(zhǔn)則——最小特權(quán)原則的踐踏。
為全面還原360的真實(shí)面目����,“獨(dú)立調(diào)查員”們以超人的技術(shù)能力與艱辛的勞動(dòng)���,剝繭抽絲般一層層揭開�,將其內(nèi)部機(jī)制破解成功�。
360發(fā)家于 “360安全衛(wèi)士”、“360安全瀏覽器”���,而這兩款產(chǎn)品甫一面世����,便攜帶了這家公司的癌性基因:以違反“最小特權(quán)原則”為基石而構(gòu)建。
《每日經(jīng)濟(jì)新聞》記者第一次查清��,360是如何在其龐大的以安全著稱的“安全衛(wèi)士”�����、“安全瀏覽器”軟件中�,植入非法程序,并通過該非法程序中的“后門機(jī)制”與360云端配合�����,形成全球獨(dú)一無二的秘密內(nèi)部機(jī)制�。
最令人驚詫的,是即使在360內(nèi)部也屬高度機(jī)密的 “V3升級(jí)機(jī)制”��。當(dāng)360要發(fā)動(dòng)一場(chǎng)討伐競(jìng)品的戰(zhàn)爭(zhēng)時(shí)�,其便啟動(dòng)“V3機(jī)制”——通過“安全衛(wèi)士”、“安全瀏覽器”�,在用戶電腦中私自卸載競(jìng)爭(zhēng)對(duì)手的產(chǎn)品,私自安裝自己要推廣的產(chǎn)品,從而以最便捷的方式一舉占領(lǐng)市場(chǎng)�����,這就是360常勝不衰的真正秘訣����。
在這場(chǎng)看不見的戰(zhàn)爭(zhēng)中,360表現(xiàn)出兩個(gè)粗暴:粗暴侵犯網(wǎng)民的合法權(quán)益(隱私權(quán)�����、知情權(quán)��、同意權(quán))�、粗暴侵犯同行的基本權(quán)益,肆無忌憚地破壞行業(yè)規(guī)則��,從而實(shí)現(xiàn)其“一枝黃花”式的瘋狂成長(zhǎng)�。
360現(xiàn)象,不僅對(duì)行業(yè)有巨大的破壞性��,對(duì)互聯(lián)網(wǎng)秩序產(chǎn)生嚴(yán)重的破壞力���,更是對(duì)整個(gè)社會(huì)產(chǎn)生“癌性浸潤(rùn)”。
這種“癌性浸潤(rùn)”����,讓原本的市場(chǎng)競(jìng)爭(zhēng)轉(zhuǎn)向了底層控制力的交戰(zhàn)���。《每日經(jīng)濟(jì)新聞》記者獲悉��,百度即將砸重金投向安全領(lǐng)域���,最快將于今年上半年正式推出�����,這與經(jīng)歷“3Q大戰(zhàn)”的騰訊進(jìn)駐安全領(lǐng)域如出一轍��。
更為可悲的是��,為了防御360的“癌性浸潤(rùn)”��,從底層控制到應(yīng)用層幾大巨頭均涉足其中���,這樣帶來的直接后果就是,未來中國(guó)互聯(lián)網(wǎng)將變成一個(gè)騰訊���、百度�、阿里、360“四國(guó)頂立”的擎天柱式體系�。而這將讓一個(gè)個(gè)豐滿、豐富的熱帶雨林式生態(tài)環(huán)境變成巨無霸們?yōu)樯娑`涂炭的地方�����。
360會(huì)“立地成佛”么��?這或許會(huì)是一場(chǎng)持久戰(zhàn)……
《每日經(jīng)濟(jì)新聞》將持續(xù)關(guān)注����。
(出于保護(hù)記者人身安全的考慮����,本組稿件記者署名均為化名)
調(diào)查員獨(dú)白:我為什么反360?
我先講一個(gè)故事吧����。
在現(xiàn)實(shí)生活中,我們都知道一個(gè)最簡(jiǎn)單的常識(shí):小區(qū)的保安公司都是必須向業(yè)主收取服務(wù)費(fèi)的��。但是��,某年某城市的一個(gè)小區(qū),來了一個(gè)K保安公司�,宣布他們將為小區(qū)提供免費(fèi)服務(wù)����。經(jīng)過幾輪波折,最終K保安公司實(shí)現(xiàn)接管小區(qū)保安業(yè)務(wù)���。
K公司入駐后���,當(dāng)然全部換上K保安人員,并迅速換上K公司特產(chǎn)的小區(qū)監(jiān)控系統(tǒng)——在小區(qū)的每一個(gè)視角都安裝了監(jiān)視體系���。業(yè)主們覺得�,這真是天下難找的大好事啊���,居然能夠免費(fèi)獲得最好的安全保衛(wèi)��。
不久���,K公司出于安全考慮,將物業(yè)公司辭了����,換上K安全物業(yè)公司�;再接著�,小區(qū)園林服務(wù)公司也換成K安全園林公司;再接著�����,業(yè)主所有私家車都裝上了K安全GPS導(dǎo)航�;再接著,K安全物流����、K安全農(nóng)貿(mào)、K安全服飾���、K安全電視��、K安全電腦���、K安全冰箱與熱水器、K安全門控與門鎖……小區(qū)業(yè)主的所有一切都被換上了K安全的標(biāo)志�����。
K安全公司能將業(yè)主的這一切統(tǒng)統(tǒng)換掉,只有一個(gè)原因:那就是���,這一切“安全”方面的服務(wù)��,都是免費(fèi)的。
但有一天����,B業(yè)主夫婦在家中行房事時(shí),黑暗中發(fā)現(xiàn)家中有異樣�,打開燈一看,一個(gè)保安正在床前監(jiān)控著這對(duì)夫婦的云雨過程����。這對(duì)夫婦羞憤難當(dāng):你是怎么進(jìn)來的?
保安說:我有鑰匙����,出于對(duì)你們性生活安全的考慮,我有權(quán)保護(hù)你們��。
B業(yè)主夫婦找來安全方面的專家�����,來保護(hù)自己的安全隱私,結(jié)果卻發(fā)現(xiàn)�����,保安不僅在夫婦行房事時(shí)可以進(jìn)來“免費(fèi)觀賞”�����,他們?cè)谌魏螘r(shí)候都可以自由進(jìn)出業(yè)主的房間��;他們不僅在小區(qū)的任何公共空間安裝了監(jiān)控系統(tǒng)�����,同時(shí)在業(yè)主室內(nèi)的任何一個(gè)視角�,都秘密安裝了監(jiān)控器。
這對(duì)夫婦決定召集全小區(qū)業(yè)主反對(duì)K保安公司的所有侵犯行為����。
但讓小區(qū)所有業(yè)主異常驚訝的是:就在開庭前一天,網(wǎng)絡(luò)上突然出現(xiàn)大量B業(yè)主夫婦的信息�����,比如����,B業(yè)主女臀部有三顆痣的圖片在網(wǎng)絡(luò)上大量流傳�����;B業(yè)主夫婦的工資單被曬����;B業(yè)主男與前女友10年的情書來往從其前女友的電腦中被挖出來�。
B業(yè)主夫婦頓時(shí)陷入網(wǎng)絡(luò)漩渦
……
在中國(guó)互聯(lián)網(wǎng)領(lǐng)域����,360所充當(dāng)?shù)模褪沁@個(gè)K保安公司�。
在中國(guó),為什么360能夠獲得如此重要的市場(chǎng)地位�����,除了用戶在隱私權(quán)��、知情權(quán)��、網(wǎng)絡(luò)自主權(quán)方面的意識(shí)不強(qiáng)外����,最大的問題還是中國(guó)網(wǎng)民對(duì)互聯(lián)網(wǎng)來說還是“小白”���,他們沒有辦法看清360干了什么,也沒有辦法辨清什么是可行的��,什么是不可行的��;也不清楚360的一些行為在今天意味著什么��,在明天又將意味著什么���。
我腦海中��,一直在重復(fù)卡夫卡小說《城堡》中的場(chǎng)景�����,你不知為什么�,你也不知是怎么了����,然后,你就任人宰割了。
森白的月光下���,那把霍霍磨著的長(zhǎng)刀……
——來自獨(dú)立調(diào)查員的自白
技術(shù)篇
360:互聯(lián)網(wǎng)的癌細(xì)胞
每經(jīng)記者 秦俑
深圳�,紅樹林�����,旁邊就是深圳灣公園��,有蜿蜒的海堤風(fēng)景帶�;海的那端是云霧間的山巒以及錯(cuò)落的建筑,那是香港特別行政區(qū)����。
經(jīng)過前期網(wǎng)上100多天艱苦的技術(shù)交流后�����,《每日經(jīng)濟(jì)新聞》記者終于約到了“獨(dú)立調(diào)查員”�����。這是我們之間的第二次見面�����。這一次,我們相約只做一件事情:將360(奇虎360科技有限公司�����,本文簡(jiǎn)稱為360)在幕后所做的一些難以見光的行為��,在網(wǎng)上重新演繹一遍���。
這一過程漫長(zhǎng)而復(fù)雜�����。幾天幾夜里��,獨(dú)立調(diào)查員展開的網(wǎng)絡(luò)實(shí)證讓人觸目驚心��,許多動(dòng)態(tài)的過程無法通過平面文字呈現(xiàn)�。事實(shí)上��,獨(dú)立調(diào)查員曾經(jīng)在網(wǎng)上披露的內(nèi)容���,絕大多數(shù)網(wǎng)民也不可能看懂����。
2012年10月,一個(gè)署名“獨(dú)立調(diào)查員”的微博開始向360發(fā)難�����,時(shí)至今日���,《每日經(jīng)濟(jì)新聞》記者已跟蹤此人整整3個(gè)月:初始時(shí)基本上通過網(wǎng)絡(luò)實(shí)現(xiàn)溝通��,漸漸地���,有了電話中的直接交流。
在思維碰撞中��,記者發(fā)現(xiàn)���,“獨(dú)立調(diào)查員”對(duì)360的反感是深切的����;他對(duì)360的研究也是深刻的����。令《每日經(jīng)濟(jì)新聞》記者萬分好奇而且不解的是:他的動(dòng)力來自何方?
“如果你得了癌癥�,你的第一反應(yīng)是什么?”獨(dú)立調(diào)查員反問道��,“那一定得趕快把它切除掉�!而360正是網(wǎng)絡(luò)社會(huì)的毒瘤。此瘤不除���,不僅中國(guó)互聯(lián)網(wǎng)社會(huì)永無安寧之日�����,整個(gè)中國(guó)都永無安寧之日����?!?/P>
獨(dú)立調(diào)查員分析說,不要小看了蘋果對(duì)360產(chǎn)品下架一事��,這種下架的期限極有可能是“永久性”����。為什么一個(gè)在中國(guó)能夠獲得如此巨大影響力的公司,會(huì)在一家全球性大公司處遭遇截然相反的待遇����?“這只能說明眼下的互聯(lián)網(wǎng)空間沒有能力排除自身的毒瘤���。而蘋果下架360,背后正體現(xiàn)出對(duì)腫瘤的自體免疫排斥性����,這是一個(gè)網(wǎng)絡(luò)社會(huì)健康的標(biāo)志?��!?/P>
獨(dú)立調(diào)查員認(rèn)為����,他作為一名程序員�,就是要從技術(shù)層面來理清360這個(gè)“DNA”的基因突變?����!斑@個(gè)突變的基因����,就是360安全衛(wèi)士或360安全瀏覽器��,一切都會(huì)發(fā)生改變?����!?/P>
互聯(lián)網(wǎng)其實(shí)與人體一樣�����,本身具備著抗癌的免疫力�����。一旦發(fā)現(xiàn)癌細(xì)胞�����,自身會(huì)啟動(dòng)自動(dòng)識(shí)別與排斥機(jī)制�����,比如“最小特權(quán)原則”就是互聯(lián)網(wǎng)江湖防止自身“癌變”的免疫機(jī)制�。
所 謂 最 小 特 權(quán) (LeastPrivilege),指的是“在完成某種操作時(shí)所賦予網(wǎng)絡(luò)中每個(gè)主體 (用戶或進(jìn)程)必不可少的特權(quán)”�����;最小特權(quán)原則,則是指“應(yīng)限定網(wǎng)絡(luò)中每個(gè)主體所必須的最小特權(quán)�,確保可能的事故�����、錯(cuò)誤����、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小”。
這一特權(quán)最通俗的說法就是:你不要代替用戶行使權(quán)力��,你的特權(quán)越小越少越好���。這樣�����,才是對(duì)用戶最大的保護(hù)�����。能不作為處�����,不作為���。
“而奇虎360的‘基因變異’正體現(xiàn)在此處,表現(xiàn)為 ‘奇虎360原則’——以安全的名義�����,在用戶知情或不知情的情況下�����,直接代表網(wǎng)民行使權(quán)益���?����!豹?dú)立調(diào)查員說���,“其實(shí),最小特權(quán)原則非常簡(jiǎn)單���。比如一個(gè)電話檢查員�����,為了檢查你家的電話是否正常好使�����,便在主人不在家時(shí)��,直接打開你家的門���,試用了一下電話��;或者說�����,因?yàn)槟慵业墓吩诮?����,物業(yè)打開你家的門����,直接將狗殺了。這都是違反了最小特權(quán)原則�����。而360最大的問題就是以安全的名義��,踐踏了這一原則�?��!?/P>
360是如何通過環(huán)環(huán)相扣的程序設(shè)計(jì)���,就像本文開頭部分的K保安公司監(jiān)控業(yè)主夫婦房事一樣,或就像電話檢查員徑直打開主人房門查線一樣����,或就像物業(yè)工作人員直接打開業(yè)主房門進(jìn)去把主人的狗殺掉一樣,在用戶的電腦里橫沖直闖�����、恣意妄為�?本文將為讀者揭開360相關(guān)產(chǎn)品背后的層層暗箱操作鏈條。
技術(shù)篇之一·黑匣子
360產(chǎn)品內(nèi)藏黑匣子:工蜂般盜取個(gè)人隱私信息
每經(jīng)記者 秦俑
這是一件真實(shí)的事情:多年前�,業(yè)內(nèi)一家知名IT公司一個(gè)產(chǎn)品將上線,但蹊蹺的是,該產(chǎn)品上線前一天�,360的同類產(chǎn)品突然上線。而且�����,360上線產(chǎn)品的頁(yè)面與該公司準(zhǔn)備上線的版本幾乎一模一樣���。這家IT公司的此款產(chǎn)品不上線已不可能�,而改版也已不可能�。被逼無奈之下,該產(chǎn)品只能硬著頭皮上線����。讓這家IT公司哭笑不得的是,由于此款產(chǎn)品上線時(shí)間比360同類產(chǎn)品晚一天�,所以用戶普遍認(rèn)為,該公司的產(chǎn)品抄襲了360產(chǎn)品���。
此類詭異怪事���,在業(yè)內(nèi)已不止一次發(fā)生。
誰是泄密者���?上述IT公司最終未能找到“臥底”�����,不過開始將質(zhì)疑對(duì)象聚焦在360產(chǎn)品身上���。因?yàn)閷?shí)查結(jié)果發(fā)現(xiàn)�,該公司不少員工電腦上安裝了360相關(guān)產(chǎn)品���。
出于安全考慮���,該公司要求所有員工的工作電腦中不得安裝360產(chǎn)品�。與此同時(shí),公司內(nèi)網(wǎng)環(huán)境中��,全面禁止360產(chǎn)品���。從此����,確實(shí)沒有再發(fā)生過類似的泄密情況��。
據(jù)《每日經(jīng)濟(jì)新聞》記者了解,國(guó)內(nèi)最早全面禁用360產(chǎn)品的企業(yè)為騰訊���、百度����、金山等一批公司��。在這些公司的辦公環(huán)境中����,完全屏蔽360產(chǎn)品,如確因公司研究性工作需要�,才可以安裝虛擬機(jī)使用360產(chǎn)品。
國(guó)內(nèi)幾家互聯(lián)網(wǎng)巨頭公司��,均以安全為由禁止使用一家以互聯(lián)網(wǎng)安全著稱的公司的相關(guān)產(chǎn)品���,這在中國(guó)IT界構(gòu)成了一道未解的謎團(tuán)���。
大型公司尚且對(duì)360產(chǎn)品避之不及,對(duì)于普通用戶來說����,使用360相關(guān)“安全”產(chǎn)品�����,安全嗎�?
在中國(guó)有“黑客教父”之稱的安全技術(shù)專家“黑客老鷹”����,即IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室創(chuàng)始人萬濤認(rèn)為,從隱私保護(hù)和用戶權(quán)益的角度講��,360產(chǎn)品確實(shí)存在需要澄清的地方���。但中國(guó)用戶目前在隱私保護(hù)方面的意識(shí)并不強(qiáng)���,這是一個(gè)比較普遍的現(xiàn)象。因?yàn)閷?duì)許多用戶來說���,“我上網(wǎng)就是看看新聞,玩玩游戲����,我沒有隱私”。這一觀點(diǎn)非常流行����。
萬濤表示��,而在另一方面����,多年來盡管民間在破獲360侵犯隱私等方面做了許多努力��,并查獲了許多證據(jù)���,但360在這方面的“反應(yīng)”也非?��!皣?yán)密”。此外�����,獲得的一些突破性證據(jù)因?yàn)檫^于專業(yè)�,也不易讓普通用戶看懂,因此也就缺乏相應(yīng)的感知����。
黑客揭秘:360安全產(chǎn)品背后的“安全”陷阱/
在深圳紅樹林,獨(dú)立調(diào)查員為《每日經(jīng)濟(jì)新聞》記者進(jìn)行了現(xiàn)場(chǎng)演示�����。他特意在自己的電腦上安裝了360安全瀏覽器,并打開網(wǎng)絡(luò)通信監(jiān)視工具����,這時(shí)可以看到,360安全瀏覽器在其電腦后臺(tái)上就像一只工蜂�,始終不停地忙碌著。
然后�����,獨(dú)立調(diào)查員又打開IE����、騰訊、獵豹���、chrome等瀏覽器�����,每一個(gè)瀏覽器都很安靜,沒有任何動(dòng)作�����。
轉(zhuǎn)播到騰訊微博 
“360安全瀏覽器在干嘛呢?誰也不知道���。為什么要這樣忙碌呢��?作為瀏覽器�,其作用就是可以顯示網(wǎng)頁(yè)服務(wù)器或者文件系統(tǒng)的HTML文件內(nèi)容����,并讓用戶與這些文件交互的一種軟件。根據(jù)最小特權(quán)原則��,你是沒有理由在我的電腦里不停地‘工作’��。你要問他在做什么����,他就說,是為了你的安全�����。”
“明明知道360在做不應(yīng)該發(fā)生的事情����,但不知道發(fā)生的是什么事情。這就是360留給中國(guó)所有安全專業(yè)人員最大的課題����。”獨(dú)立調(diào)查員解釋說�����,這是因?yàn)?60在這方面做了非?����?b密的設(shè)計(jì)��,其防御體系相當(dāng)嚴(yán)密�,要突破防線有所收獲,是件非常困難的事情�。
而這,也正是許多從事安全的專家們感興趣的事情����。
2010年2月6日,360多年的宿敵——瑞星拿出了一份 “證據(jù)”����,其發(fā)布的《奇虎360利用“后門”拿走了用戶什么》一文,利用大量技術(shù)細(xì)節(jié)說明360安全衛(wèi)士在安裝進(jìn)用戶電腦時(shí)����,會(huì)偷偷開設(shè)后門,并時(shí)刻監(jiān)視用戶訪問網(wǎng)站���,將相關(guān)信息上傳至360網(wǎng)站�。
此事標(biāo)志著360第一次露出“不安全”的真面目�,從此一發(fā)而不可收拾。
據(jù)《每日經(jīng)濟(jì)新聞》記者調(diào)查��,國(guó)內(nèi)有一大批黑客對(duì)破獲360的防線���,以及搞明白360這個(gè)黑匣子內(nèi)到底有什么非常感興趣��,想通過攻擊360而獲得其侵犯用戶隱私信息的證據(jù)���。他們之間甚至有一個(gè)松散型的組織,經(jīng)常交換這方面的信息����。但與此同時(shí)��,也有些黑客最終被360“招安”���,成為其公司成員。
2010年12月31日���,在黑客狂轟濫炸360服務(wù)器后����,360防線被攻破�,存儲(chǔ)于其服務(wù)器上的大量用戶隱私數(shù)據(jù)噴涌而出,被谷歌(微博)搜索爬蟲自動(dòng)抓取���,并公告天下�����。360多年來宣稱的 “用戶隱私大于天”的謊言正式被揭穿�����。
這份意外泄露的文件詳細(xì)記錄了大量360用戶的全網(wǎng)訪問過程����,包括瀏覽的網(wǎng)頁(yè)、下載過的應(yīng)用����、搜索的關(guān)鍵字等��,并將這些訪問記錄與唯一用戶掛鉤�。在這個(gè)服務(wù)器中,每個(gè)用戶對(duì)應(yīng)一個(gè)字符串���,通過查詢字符串��,可以了解用戶的所有個(gè)人信息�����、上網(wǎng)瀏覽記錄��、賬號(hào)密碼�,例如用戶在百度搜索關(guān)鍵字�����、淘寶購(gòu)物記錄、金蝶�����、奇瑞等企業(yè)內(nèi)部財(cái)務(wù)網(wǎng)絡(luò)數(shù)據(jù)��、某政府機(jī)構(gòu)官方郵箱用戶名及密碼等鏈接數(shù)據(jù)���。
《每日經(jīng)濟(jì)新聞》獲得的一份對(duì)泄露日志文件分析統(tǒng)計(jì)的結(jié)果顯示���,此次泄密事件涉及總條數(shù)141萬條,其中涉及用戶名信息的條目有247326個(gè)��,既包含用戶名又包含密碼條目有816個(gè)���。而這對(duì)于360收集的海量數(shù)據(jù)來說只是冰山一角��,截至目前為止�,360從沒有公開解釋被泄露的數(shù)據(jù)總量有多少�����,被下載了多少次����。
然而��,有關(guān)360如何“利用”用戶的信任�,如《全民公敵》影片中的衛(wèi)星一樣“間諜”式地監(jiān)控著用戶的電腦�,這個(gè)謎團(tuán)卻依然沒有辦法破解,至今沒有一家安全廠商拿出這個(gè)過程的有力證據(jù)�����。
獨(dú)立調(diào)查員告訴記者����,360安全衛(wèi)士��、360安全瀏覽器����,其內(nèi)部運(yùn)作流程就像一個(gè)暗箱,外部人可以聽到里面有動(dòng)作�����,但卻沒有辦法知道里面發(fā)生了什么���,以及它如何阻止外部人破解它���。
而獨(dú)立調(diào)查員卻偏執(zhí)地選擇了這條破解之路�。他先制作了一張簡(jiǎn)單的圖表��,以揭示360拳頭產(chǎn)品360安全衛(wèi)士?jī)?nèi)部的操作模型(如圖)����。
從這個(gè)圖中可以看出,360安全衛(wèi)士對(duì)用戶在電腦上進(jìn)行軟件操作���、文檔操作等所有操作舉動(dòng)均秘密進(jìn)行監(jiān)視�、記錄�����,然后進(jìn)行壓縮后上傳至云端服務(wù)器��;過去��,上傳的過程為明文上傳���,這對(duì)用戶的隱私帶來非常嚴(yán)重的威脅�,在經(jīng)歷過幾次大的泄密事件后,目前上傳文件已經(jīng)加密���。
文件上傳到360云端存儲(chǔ)后���,文件會(huì)立即在本地被刪除,這招防御術(shù)非常兇狠�,即使有人破解其行為,并獲得文件證據(jù)��,但因?yàn)殡S時(shí)的刪除����,很難將證據(jù)做實(shí)���,變成死無對(duì)證的孤證���。
用戶電腦中的360安全衛(wèi)士這一套運(yùn)行機(jī)制都是事先預(yù)設(shè)好的,可以獨(dú)立操作完成��;但實(shí)際上��,360云端(360安全數(shù)據(jù)中心)對(duì)用戶客戶端的360安全衛(wèi)士具備直接控制能力����。360云端不僅可以下達(dá)專門的指令(后文還將詳述)�,同時(shí)一旦360安全衛(wèi)士發(fā)現(xiàn)有人在監(jiān)視其通信操作等�,會(huì)發(fā)出安全警告以阻止繼續(xù)操作并限時(shí)自行禁止。這也給破獲工作帶來相當(dāng)程度的干擾�。
據(jù)一名多年研究360產(chǎn)品的黑客告訴《每日經(jīng)濟(jì)新聞》記者,“設(shè)置如此高難度障礙的人一定是行業(yè)的高手�����?����?梢詳喽?���,360內(nèi)部一定有國(guó)內(nèi)頂尖級(jí)的黑客高手。他們才有可能做到既做暗事�,又不留任何把柄。這就像是一個(gè)江洋大盜���,來無影�,去無蹤,飄忽不定����,作案后現(xiàn)場(chǎng)不留任何痕跡,實(shí)在是高精尖的設(shè)計(jì)���?!?/P>
這名黑客發(fā)現(xiàn)�����,360安全衛(wèi)士的暗箱操作行蹤越來越?jīng)]有規(guī)律可循��,換句話說�����,其運(yùn)作規(guī)律經(jīng)過精心策劃��,非常不容易被外界掌握��。同時(shí)����,其獲取信息的區(qū)域半徑越來越由中心城市向二、三�����、四線城市延伸�����。這樣的話�,要想抓到證據(jù)就更為艱難?��!爸袊?guó)擁有30多個(gè)省級(jí)行政區(qū)�����,336個(gè)二級(jí)行政區(qū)���,還不包括數(shù)以千計(jì)的三級(jí)、四級(jí)行政區(qū)�����,這就相當(dāng)于360安全衛(wèi)士在中國(guó)網(wǎng)民的生活中布下了天羅地網(wǎng)����?���!?/P>
據(jù)《每日經(jīng)濟(jì)新聞》記者調(diào)查發(fā)現(xiàn)����,國(guó)內(nèi)不止一家公司準(zhǔn)備投入大量人力來破獲360的違法行為,但最終都偃旗息鼓���。原因就在于�����,360收集用戶信息的行為 “就像空中劃過的彗星�����,茫茫夜空��,布下天羅地網(wǎng)�,時(shí)刻守候��,才有可能有所斬獲�,這樣的投入產(chǎn)出比太低了”。
黑匣子現(xiàn)身:對(duì)用戶個(gè)人信息涉嫌暗箱操作
“破解360安全衛(wèi)士的非法操作���,是一件很好玩的貓捉老鼠的事情�����?��!鄙鲜龊诳拖颉睹咳战?jīng)濟(jì)新聞》記者感嘆說,360安全衛(wèi)士的技術(shù)架構(gòu)非常復(fù)雜�,組件有很多程序,軟件包有幾十個(gè)可執(zhí)行的程序�����,還有擴(kuò)展庫(kù)����。如果要查清楚是否侵犯用戶隱私,則需要對(duì)每個(gè)程序進(jìn)行分析����,就像分析病毒一樣地分析每個(gè)文件,而這需要投入大量的時(shí)間和精力����。
這名黑客給記者展示了許多“同行”間來往的郵件����,此中展現(xiàn)出破解之后的喜悅��,以及經(jīng)驗(yàn)的交流�����。
而獨(dú)立調(diào)查員宣稱�����,他“已基本破解了360安全衛(wèi)士的謎局��,但離發(fā)布還為時(shí)尚早”����,因?yàn)樗觥拌F板釘釘?shù)氖虑椤薄?/P>
在《每日經(jīng)濟(jì)新聞》記者保證不會(huì)將其操作思路披露的情況下,獨(dú)立調(diào)查員將其操作的核心步驟進(jìn)行了詳盡的現(xiàn)場(chǎng)演示�����。在征得其允諾的情況下����,記者可以告知的是:針對(duì)360的設(shè)置,進(jìn)行反向操作�����,反向分析而破解���。
到目前為止�,已經(jīng)披露的最重要證據(jù)為獨(dú)立調(diào)查員于2012年12月6日在其微博上發(fā)布的一個(gè)視頻(http:/weibo.com/2902756801/z8BUvfWqe)��。這份視頻詳盡地破解了360安全衛(wèi)士秘密獲取用戶信息的過程����。
獨(dú)立調(diào)查員告訴記者,這份13分36秒的視頻以完整的手法記錄了破獲360竊取用戶隱私的證據(jù)�。它證明了360在用戶電腦中收集、上傳用戶信息的“動(dòng)作”����,“猖狂到任何簡(jiǎn)單的、常規(guī)的軟件操作行為都將被記錄����,與安全問題完全無關(guān)��,而這些信息都在用戶個(gè)人隱私范疇”���。
但據(jù)獨(dú)立調(diào)查員宣稱,這份視頻資料并非其采集�、制作,“而是來自一名自稱是安全領(lǐng)域?qū)<业哪涿耸俊?����,他通過微博私信向獨(dú)立調(diào)查員爆料:自己已經(jīng)掌握了360安全衛(wèi)士7.3竊取用戶隱私并上傳到360服務(wù)器的司法證據(jù)���,現(xiàn)在可以無償將這段司法證據(jù)給他��。
而關(guān)于這份證據(jù)�����,獨(dú)立調(diào)查員認(rèn)為�����,將是未來給360的“一顆小小的炸彈”�,在法庭上是有力的呈堂證供�。
據(jù)記者了解���,去年11月28日,在易觀國(guó)際主辦的“易士堂”網(wǎng)絡(luò)安全論壇(第二季)論壇上����,這份視頻資料也曾分享給包括國(guó)家信息中心���、中國(guó)信息安全測(cè)評(píng)中心等安全業(yè)界人士��;而最初制作這段視頻并進(jìn)行司法公證的正是金山安全專家李鐵軍(微博)����。不過李鐵軍否認(rèn)自己就是給獨(dú)立調(diào)查員爆料的匿名人士�����。
據(jù)李鐵軍透露���,2010年11月����,卡飯安全論壇有人爆料稱“360安全衛(wèi)士7.3的某個(gè)版本會(huì)竊取用戶隱私上傳到360服務(wù)器”���,爆料的內(nèi)容非常簡(jiǎn)單���,只提供了一個(gè)有趣的細(xì)節(jié)暗示:需要用戶在360loginfo目錄對(duì)刪除權(quán)限做一個(gè)修改才有可能捕捉到360的罪證���,帖子不久就消失了。
李鐵軍首先嘗試重現(xiàn)帖子描述的問題��,而不是對(duì)軟件進(jìn)行逆向分析�,經(jīng)過數(shù)月才完成了這一個(gè)證據(jù)的抓取。
“反反復(fù)復(fù)不知道試了多少回�����?����!崩铊F軍對(duì)《每日經(jīng)濟(jì)新聞》記者表示�����,憑借多年的經(jīng)驗(yàn)��,他終于找到了關(guān)鍵所在,比如有竊取隱私問題的360安全衛(wèi)士版本號(hào)為7.3.0.2003l�,數(shù)字簽名時(shí)間為2010年11月8日,要想重現(xiàn)必須將360loginfo訪問權(quán)限修改為“所有人不可刪除”�����;再比如安裝時(shí)修改系統(tǒng)時(shí)間與2010年11月8日不能相差太久���,安裝前須斷開網(wǎng)絡(luò)(禁用網(wǎng)卡或拔網(wǎng)線)�。
即使這樣��,也有一些情況在李鐵軍“意料之外”��。
“開始想到的是禁用網(wǎng)卡和改360loginfo目錄的訪問權(quán)限��,但奇怪的是�,有時(shí)能在安裝后幾分鐘內(nèi)即可在360loginfo目錄看到日志生成��,有時(shí)等幾小時(shí)都不能重現(xiàn)��,于是嘗試將系統(tǒng)日期從單數(shù)修改為雙數(shù)或從雙數(shù)修改為單數(shù)���,結(jié)果很快看到奇怪的日志文件出現(xiàn)了����。”李鐵軍表示����,這幾條重現(xiàn)規(guī)則是反復(fù)多次嘗試之后才總結(jié)出來的。
而上述結(jié)果也在曝光之后第一時(shí)間得到IDF互聯(lián)網(wǎng)情報(bào)威懾防御實(shí)驗(yàn)室的驗(yàn)證����。2012年11月25日,該實(shí)驗(yàn)室發(fā)布報(bào)告表示���,360安全衛(wèi)士v7.3.0.2003l所搜集用戶軟件操作信息����,對(duì)用戶隱私造成風(fēng)險(xiǎn)����,若用戶運(yùn)行 某 一 程 序 ,360安 全 衛(wèi) 士v7.3.0.2003l會(huì)把程序所在路徑搜集并未經(jīng)加密上傳至360服務(wù)器�。若360公司所存放信息的數(shù)據(jù)庫(kù)泄露或傳輸數(shù)據(jù)被黑客截取進(jìn)行社工分析,可造成用戶的信息泄露���。
萬濤對(duì)《每日經(jīng)濟(jì)新聞》表示���,根據(jù)之前的評(píng)測(cè)報(bào)告�����,360安全衛(wèi)士v7.3.0.2003l對(duì)用戶信息的處理涉嫌未遵守其中的用戶知情權(quán)����、選擇權(quán)及禁止權(quán)���,并在未獲得個(gè)人信息主體的明確同意下記錄和上傳用戶行為數(shù)據(jù)���。
值得注意的是,已于2月1日正式生效的我國(guó)首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn) 《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》明確規(guī)定�,個(gè)人信息獲得者在收集個(gè)人信息時(shí)�����,需“具有特定����、明確、合法的目的”�。基于此,在收集前要采用個(gè)人信息主體易知悉的方式����,向個(gè)人信息主體明確告知和警示如下事項(xiàng):處理個(gè)人信息的目的;個(gè)人信息的收集方式和手段�、收集的具體內(nèi)容和留存時(shí)限;個(gè)人信息的使用范圍���、被收集后的個(gè)人信息保護(hù)措施�、個(gè)人信息主體的投訴渠道�����;同時(shí)提醒個(gè)人信息主體提供個(gè)人信息后可能存在的風(fēng)險(xiǎn)和個(gè)人信息主體不提供個(gè)人信息可能出現(xiàn)的后果���。且“只收集能夠達(dá)到已告知目的的最少信息”�����。而信息獲得者如需將個(gè)人信息轉(zhuǎn)移或委托于其他組織和機(jī)構(gòu)時(shí)����,也需要向個(gè)人信息主體明確告知轉(zhuǎn)移或委托的目的���、轉(zhuǎn)移或委托個(gè)人信息的具體內(nèi)容和使用范圍�、接受委托的個(gè)人信息獲得者的名稱、地址��、聯(lián)系方式等���。
很明顯����,360公司在個(gè)人信息的收集�、加工、轉(zhuǎn)移����、刪除等環(huán)節(jié),明顯將行業(yè)的游戲規(guī)則拋諸腦后�,一意孤行地進(jìn)行著暗箱操作。 |
.png){kind=small}
浙公網(wǎng)安備 33038102330897號(hào)