由於安全軟體存在於系統的最底層,因此,從技術上説,它想要收集什麼資訊就能收集到什麼資訊,關鍵取決於企業對於用戶隱私的態度。這些公司在獲取大量的資訊之後,可以做很多數據分析、改進産品、發展新業務等,如果內控不嚴,就會造成資訊洩露
由方舟子質疑奇虎360竊取用戶隱私而引發的“方周大戰”在持續。近日,工信部明確表示,對360通過其瀏覽器竊取用戶的資訊和隱私問題,“如果查實確有違法違規行為,我部將依法予以嚴肅處理。”
對於工信部的調查,奇虎360很自信,它在給記者發來的聲明中表示歡迎。不過,來自同行們的舉證對其似乎很不利。工信部表態後,金山、網秦、卡巴斯基等其他安全廠商紛紛表態,堅決支援工信部對360的調查,以徹底肅清安全軟體行業中某些企業一直以來隱藏的隱私安全問題。其中,金山還出面提供360侵犯用戶隱私的切實證據。在第三方分析機構易觀國際舉辦的“安全沙龍”上,金山毒霸安全工程師、反病毒專家李鐵軍發佈了360超範圍收集政府、機構、個人隱私資訊的確鑿證據,並全程展示了360安全衛士操縱用戶電腦,竊取用戶隱私的全程視頻。
昨日,網際網路威懾防禦(IDF)實驗室創始人、安全專家萬濤在接受《國際金融報》記者採訪時表示,目前,作為獨立第三方,IDF實驗室正在對金山提供的證據以及結合360給出的回應進行驗證核實,預計報告會在近幾日得出。
萬濤認為,此事的關鍵是由其引發的公眾對於安全軟體的信任危機。不過,從另一個方面講,工信部的出面調查某款軟體侵犯用戶隱私在國內尚屬首次,如能借此機會明確國內安全行業底線與規則,對促進行業自律和網民隱私保護都是利好。
金山舉證360
據李鐵軍介紹,2010年底,有網友曾發現,在Google上可以搜索到大量中國網民使用網際網路的隱私記錄,資訊包括個人瀏覽記錄、賬號密碼、聯繫方式以及企業內網資訊,據查證,這些數據來源恰是360公司。
記者看到,這些資訊十分詳實。比如,在淘寶購物的羅小姐的資訊是:她于2010年12月16日19:01下單購買了一件韓版時尚外套,價格69元,聯繫地址為上海市金山區某地,這一資訊記錄中甚至包括羅小姐的電話、網路訂單號等詳細資訊。此外,一些用戶的QQ賬號、密碼、政府機關、企業內網資訊及經營數據也被360收集和泄密。
據金山公司的統計發現,此次洩露數據總條數141萬條,其中涉及用戶名資訊的條目有247326個,包含用戶名又包含密碼的條目816個,郵件記錄數21444個,QQ空間記錄數229080個,淘寶資訊90747個,內網記錄數2474個,文檔記錄數7576個。
“相對於360收集的海量數據來説,目前Google抓取揭露的資訊僅是冰山一角。”李鐵軍在會上表示。
值得注意的是,此前網名為“獨立調查員”的網友曾舉證了360定期收集用戶隱私數據並上傳到360伺服器的行為。而在此次會議上,李鐵軍首次通過視頻,復現了360安全衛士(7.3版),偷傳用戶使用電腦等私密操作行為到自有伺服器,竊取用戶隱私的全過程。
現場顯示,電腦在已經關閉360“雲安全計劃”(雲計劃具有資訊上傳功能)並斷網的條件下,360安全衛士仍會自動記錄用戶對電腦的操作資訊。例如,測試人員在電腦中打開記事本、玩紙牌等操作行為,均被360安全衛士記錄下來,而在該軟體目錄中,還可以找到記錄了程式名稱、運作時間及程式詳細資訊的文檔。聯網後,360安全衛士迅速將該文檔資訊上傳到360伺服器。隨後,360立即刪除在資訊收集過程中産生的文件夾,使用戶完全不會發覺360的這一行為。
技術成犯罪保護傘
“如果金山曝出的問題屬實,那麼360此舉已經造成比較嚴重的超範圍採集用戶隱私。”對於金山的舉證,萬濤表示,作為獨立第三方,IDF實驗室正在對金山提供的證據進行檢測,同時也會結合360方面的説法。
萬濤表示,這一報告將會在近期出結果。不過,他透露,從目前來看,金山舉證的問題有些確實存在。
一位不願具名的安全領域人士對《國際金融報》記者表示,由於安全軟體存在於系統的最底層,因此,從技術上説,它想要收集什麼資訊就能收集到什麼資訊,關鍵取決於企業對於用戶隱私的態度。“這些公司在獲取大量的資訊之後,可以做很多數據分析、改進産品、發展新業務等,如果內控不嚴,就會造成資訊洩露。”
事實上,近年來,網路資訊安全事件頻發,從2010年11月3日爆發的“3Q大戰”到2011年12月下旬的程式員網站密碼洩露事件,再到近日爆發的“方舟子和360大戰”,用戶隱私屢屢在網路上“裸奔”。
對此,上述不願具名的安全領域人士表示,這種情況由多方面因素造成的。一方面,國內在用戶隱私方面的監管不健全,基本處於草莽時代;另一方面,企業竊取用戶隱私只是一瞬間的事,之後往往會刪除,這就導致事後取證困難。“這些都會助長企業的竊取之心。”
中國網際網路協會政策與資源委員會專家成員于國富在接受媒體採訪時也表示,隨著技術的日新月異,政府部門對網際網路公司的監管也越來越難。尤其是一些網路公司實際都是在境外註冊,而我國政府部門所管的只是這些網際網路公司在中國國內的一個牌子而已,管理許可權有限,力不從心。
透明評測是上策
儘管工信部表示要調查360公司,但于國富對此並不樂觀。在他看來,檢測的樣本具有太強的主觀性和隨機性,所以,要求某一個鑒定機構給某一款軟體發放“清白”的許可證,本身就是不靠譜的。
萬濤認為,要減少這種安全軟體企業的安全問題,開放源代碼,增加透明度可能是改變當前現狀的可行性辦法。“廣遭質疑的360雲查殺癥結就在於目前的‘不透明’,運營機理和如何上傳數據以及相關標準、流程都不為公眾知曉,這種不透明沒有規範的行為的確很難讓用戶不擔心,一旦自身暴露安全缺陷也容易為駭客大開方便之門。”
萬濤建議:“安全廠商可以把特別核心的技術內容予以保護,比如引擎和病毒庫,但涉及用戶桌面端的系統控制許可權機制和檢測標準等這部分可以開源,組織安全愛好者一起來搜尋BUG,檢測産品自身安全可靠性。”
值得注意的是,面對質疑,360此前在聲明中也表示,已經將産品代碼提交有關部門檢測。不過,360此舉在萬濤看來,有忽悠的成分。360軟體提交的代表只是客戶端代碼,而其使用的是雲端控制技術,單單檢測桌面軟體很難檢測到問題,對整個過程與環境進行檢測評估才能更好地説明問題。“把問題集中呈現在陽光下解決,推動行業自律,這是國內安全産業健康發展的正途。”
