|  首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 安全>

360“棱镜门”:互联网信息安全 “问题样本”

2013-07-04 14:47 作者:秦俑 来源:每日经济新闻 HV: 编辑: 【搜索试试
360“棱镜门”:互联网信息安全“问题样本”

多年以来,人们都愿意以“坏孩子”来形容360。这既有贬义,觉得360作为一个企业公民,许多言行多少有点异于常人;但也有褒的一面,认为它在业内扮演的“坏孩子”角色所催生的鲶鱼效应,会让整个行业更具活力。

自2月26日本报刊登专题报道《360黑匣子之谜——奇虎360“癌”性基因大揭秘》以来,有关“360安全,是否安全”的谈论已成为一个争议性的话题。

如果说这组报道主要是从互联网专业的领域来解读360安全产品的“不安全问题”的话,那么,今天我们将以具体个案从企业的社会属性来解剖,看360的所作所为究竟是否符合“企业公民”的最基本要求。

在文中披露的个例中,2010年视频故事说明,360涉嫌非法收集用户机密信息——某证券期货账户密码,并由于保护不当,造成用户的资金数据、各项期货操作数据被曝光。作为受害者的期货操作当事人,在此之前毫不知情。这暴露出360在用户隐私信息获取方面,已经突破了道德和法律的底线。

到目前为止,外人无法知道360为何未经用户同意而擅自收集用户隐私数据。或许,海量的用户隐私数据可帮它最方便、最快捷地挖掘出商业价值,开发出相关产品,甚至可以比用户更了解用户。但是,这种投机模式就像一场亡命的赌博,赢了市场份额,却输掉了一个企业的“良心”。

“苹果上架”与“苹果下架”事件,更揭示了360和苹果之间富有戏剧性的博弈过程,这也是360疯狂投机模式与国外网络规则的一场真实较量。不管苹果为何下架360,360完全可以选择正面交涉、遵从苹果规则整改,或诉诸法律等规则内的应对措施,但是,360却试图走一条令人瞠目的逆袭道路:抓住苹果AppStore规则漏洞,通过旗下一个马甲公司重新上传360应用。但它没料到,苹果快速反击,令其颜面扫地。

在各种机构评测中,360涉嫌通过一些“非正常”手段,获得相关产品安全认证,而且与评测机构存在千丝万缕的关联关系,将其投机取巧的性格展现得淋漓尽致。正是这样,它用来自证安全和清白的各类产品安全认证证书,也被拉下了“神坛”。

360敢这样做,原因是人们对网络安全的认识还普遍偏低,同时也说明整个社会对360这类企业的基本监督的缺位。

记者在调查中发现,360所谓的创新模式,充满了浓重的功利和投机色彩。作为企业公民,它的一些行为,已给广大用户甚至整个社会带来了一种焦虑与不安。更大的隐患在于,它就像一把悬在头顶上的达摩克利斯剑,不知什么时候就会刺中你。

昨日,记者向360董事长周鸿祎发去采访短信,他回复称,“360和每经的诉讼案件已经进入法律程序,作为当事双方,在诉讼结果出来之前,我不认为我们可以中立客观地交流涉案的内容,你所感兴趣的内容,我们已经多次回答了其他媒体的采访,请您关注相关报道。”
    360上传证券期货用户名密码 证券机构惊慌自卫

 

 

 

3月27日,记者致电中国一家证券公司(出于相关考虑,以下简称A公司),告知该公司证券期货客户账号信息被外泄,不确定外泄账号的数量及其影响。

这是一个令人惊骇的问题,A公司新闻发言人当即坚称,公司证券期货系统是国内最为规范而严格的系统,绝无可能被侵入。但记者告诉上述新闻发言人,手中握有A公司客户使用360软件导致其在中国期货保证金监控中心系统绝密信息外泄的视频证据。

该新闻发言人听闻此事,并根据提供的视频证据信息进行内部核查,最终证实了该视频信息的准确性。很快,该消息通过A公司传到该公司旗下的期货大客户——被泄露账户密码等私密信息的受害客户华平平(化名)那里,其当场表示:令人震惊。

突如其来的泄密:期货大户隐私信息“裸奔”

事情起源于今年3月初,记者接到爆料,一位自称陈明(化名)的网友称其手中有一个绝密视频,内容是其通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统,进而获得用户期货交易等相关隐私信息。

陈明告诉记者,2月26日,其从网上阅读了独家报道的《360黑匣子之谜——奇虎360“癌”性基因大揭秘》,对其中揭露的360涉嫌存在窃取用户隐私,并为了商业利益通过在“360安全卫士”“360安全浏览器”中植入“后门”与360云端配合,粗暴侵犯网民隐私权、知情权,破坏行业规则和秩序的问题“感到震惊”,并表示赞同。

事实上,陈明只是众多爆料人中的一位。自刊发上述报道之后,大量用户、受害者、技术爱好者均通过各种渠道,向本报提供了各类360涉嫌“作恶”的证据。

陈明表示,过去几年,360由于涉嫌上传用户隐私而遭受的指责众多。而目前其掌握的这一份视频证据,意味着360服务器涉嫌每时每刻都在上传大量用户的隐私数据,其中甚至包括极为敏感的金融证券系统的账户和密码!

为了证实陈明手中视频内容的真实性,三地记者联动,通过各种渠道采访,并最终找到了A公司的期货大户华平平。

当A公司证实了视频内容的真实性后,马上意识到了事情的严重性,该公司新闻负责人坦言:他们也不理解这类机密信息会被360服务器收集的背后原因。

A公司一位内部人士透露,针对上述事件,A公司三地高层临时召开电话会议,试图应对这一次泄露事件可能导致的重大品牌危机,同时公司IT部门也在调查此事,并研究应对方案。

至此,360涉嫌窃取国内安全级别极高的证券金融行业用户隐私的证据,终于曝光于世。这也意味着,通过360服务器的数据,任何人都可以潜入中国安全等级极高的一些证券系统后台,“替”大客户进行大额资金操作,甚至是资金转移。最为恐怖的是,整个过程神不知鬼不觉,这些证券大户们根本不知道,自己原来是在“裸奔”。

隐私信息“被现场直播”:三段视频浮出水面/

陈明最初是通过网络方式向记者提供了其通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统,获取用户重要信息的相关证据。

根据陈明自述,此证据是其在2010年12月31日获取的,一共分为三个部分。

第一部分和第二部分(这两部分已合并为“视频1”,可直接扫描“二维码1”观看;或订阅每日经济新闻官方微信号2202419768,回复“视频1”观看)显示,通过在线浏览360服务器upload.360safe.com,可以清晰地看到大量网民在2010年12月的上网浏览记录,包括在淘宝的浏览记录、订单操作过程,访问好友QQ空间,通过百度搜索哪些电影、下载什么播放软件等皆可被现场直播……

事实上,上述两段视频在2010年曾经一度热传过,但如今已被删得所剩无几。

最为关键的第三段视频 (扫描“二维码2”观看“视频2”;或订阅每日经济新闻官方微信号2202419768,回复“视频2”观看)则是首次曝光,视频显示,从360泄露的用户浏览日志文件中复制出某金融机构的网址及其访问请求参数,通过浏览器进入目标网页,便可获得证券期货市场大客户的绝密信息。

以已经被证实真实身份的华平平为例,通过视频可以清晰看到他的真实姓名、期货公司名称、账号、资金量、下单交易记录等,每一次详细操作的记录、出入金明细、成交汇总、持仓汇总以及客户期货结算的账户等敏感信息被暴露无疑。

与陈明一样下载过360泄密信息的一位安全工作人员殷某也曾经有过这样意外的发现。2010年12月31日,其发布微博称,“我在#360#的帮助下完成了2010年的最后一次入侵检测或者说Hacking,利用#360#收集的用户行为日志中找到了#携程#某代理商的身份认证信息,成功进入该代理商的携程管理后台。不过俺没干坏事。你说这事儿我得通知谁呢?”

在记者获得的360服务器外泄的数据中,还有其他几位受害人的机器码、所属期货公司ID等信息,这也意味着只要通过360服务器记录的这些外泄数据,任何人都可以轻易地侵入这些客户的资金账户,获得用户敏感信息。

这些翔实的视频证据,意味着360不仅涉嫌上传用户网址,而且存在刻意收集用户账户和密码的嫌疑。如果不是陈明将上述视频曝光,以及记者的联系求证,这些带有用户隐私数据的重要信息或许一直会神不知鬼不觉地保存在360服务器,而被入侵的A公司和华平平等用户本人至今或许还蒙在鼓里。

在稿件操作过程中,基于私人信息保密的需要,华平平婉拒了记者的采访请求。

360隔空取物?借助系列产品窥“孤岛”

在长期关注信息安全漏洞相关问题的乌云漏洞报告平台上,曾有专业人士披露过很多关于搜索引擎和云相关的安全问题报告。乌云漏洞报告平台负责人认为,期货、股票的操作信息与账号等隐私信息是互联网上最机密的部分,在任何情况下,被第三方抓取或获得的可能性都几乎可以忽略不计,但为什么某些特殊搜索引擎如360却可以获得呢?

该负责人指出,金融无疑是全球安全级别最高的行业之一,该体系完全是一个闭环,它们就像完全意义上的密封“孤岛”,外人一般只能在外围“转悠”,很难进入到系统内部,也就是说,传统的搜索引擎从外部根本无法抓取到这些 “孤岛”的信息,除非借助用户需要使用的某些强大客户端如浏览器,搜索引擎才可以直接抓取用户终端上的访问记录和数据。

对于360能够蹊跷获得这些机密信息的原因,微博名人、程序员“独立调查员”解释说,不管证券行业安全级别有多高,体系是多么繁琐可靠,只要用户上网的入口产品是360系列,或者安装了360的网络安全产品,这些“孤岛”或者隐私信息,都存在被上传到360服务器的可能性。

独立调查员否定了这是通过360后门机制来截取的可能性。他分析说,360安全卫士拦截并上传用户浏览行为的技术手段,与网络工程师常用的网络抓包分析工具类似。不同的是,360安全卫士只需要实时拦截并分析HTTP协议数据包,从中提取用户访问的目标网址,其拦截过程与结果对用户来说都不可见,这并非360安全卫士的后门,而是其固有功能,但此功能对用户而言是个黑匣子,这个黑匣子对用户隐私安全形成理论上的可能威胁。

独立调查员感慨道,对于360上传这些商业机密数据的情况,目前外界还知之甚少。不过可以想象的是,一旦360服务器被黑客攻克,或者这些数据被360泄露或滥用,对中国网络和经济安全可能是灾难性的。

据陈明回忆说,上述隐私素材均为当年从upload.360safe.com网站下载所取。

2010年12月30日6时38分,百度贴吧上一位名为“爱wu痕”网友发布了一条信息:看看这里面360都搜集了什么啊?这条信息后面附上了一个360存储收集用户信息的下载地址。

“上述公开链接被谷歌搜索爬虫抓取后,进入谷歌网页库,被网友搜索到,大公开。”陈明表示,他也在第一时间按照上述链接网址下载了相关的数据。

此后,更多的专业人士加入了下载、分析的行列,甚至他们在安全论坛“kafan”讨论此事。很快,360员工发现了服务器信息泄露的事实,随后在当天10时30分左右关闭了upload.360safe.com/url_files/目录浏览权限,12时30分左右移除了此文件目录。

360服务器记录的内容,为何会被谷歌抓取泄露?这可能是众多人看到这些被泄露在外的信息时的最大疑问。

“当时,360在第一时间对外表示,其服务器外泄用户隐私的真相,是360一台服务器遭黑客攻击,导致少量数据外泄,被谷歌搜索引擎抓取。”但在陈明看来,“此次360服务器用户隐私的数据泄密更有可能的原因是目录权限没配置好,而不是遭遇黑客攻击。黑客攻击获取到用户隐私数据后应该是直接使用以谋利,怎么会通过贴吧论坛的方式无偿对外公开呢?”

据记者了解,根据搜索引擎爬虫(一种自动获取网页内容的程序)原理,那些未被公开网址的目录或文件,网络访问者(包括网民和搜索引擎爬虫)是无法浏览或抓取的,而一旦网址被公开,搜索引擎爬虫再次光临该网站时,就能顺藤摸瓜地抓取到那些目录或文件。

这正是360服务器隐私数据链接被张贴在百度贴吧后很快被谷歌搜索引擎爬虫抓取、并被网民搜索到的原因,否则那些隐私数据即使出现权限控制问题,也是一个信息“孤岛”,爬虫照样触不可及。

独立调查员进一步指出,360已经建立了一套“孤岛”信息收集机制,其抓取的部分信息会直接在360搜索引擎上展现,而更多更隐私的内容或许会永远躺在360服务器中,直到被挖掘利用、或被泄露。

一个可以借鉴的真实故事是:去年9月,百度工程师针对360搜索展开的“鬼节捉鬼”实验已经证明:只要使用360浏览器访问“孤岛”页面,360服务器很快就能抓取这些页面内容,并完全在360搜索中展现出来。

随后一个月,百度某高管在一次面向全国100家媒体开放日的非正式会议上,现场演示了一个360搜索引擎抓取手机用户支付结果页面的截图。这些页面与支付宝付款结果页面类似,上面也有用户姓名、手机号等敏感信息。根据360搜索页面结果(见图片1),“http://buy.360.cn/umpay/cot/app-proxy.html?od=MjAwMDEyMzIxNzM3LDQ1LDlMzNiNGQ1NjJjYTljY2RlZTAxOThiZDYxMzZjNDY2&op=sh”这么复杂的链接,爬虫是如何发现的?它的出处在哪里?为何搜索结果的数量有39万之多?为什么直接点击无法访问?360此举动引发了相关政府部门的介入。

(出于人身安全考虑,本稿件署名均为化名)

观点

360被指侵门踏户 逾越安全边界

此前360方面曾公开对外表示,安全软件上传网址监测是行业惯例,带有用户名和密码的网址记录是由网站登录机制造成的,并非安全软件有意上传。

而独立调查员认为,这是360为自己侵犯用户隐私的行为所找的借口。在他看来,所谓云安全只是辅助机制,安全软件应尽可能排除可信的主流网站 (所有网银、政府网站,以及主流门户、新闻门户、社交门户、搜索门户等),而不是收集并上传所有网址;且在上传网址时,应排除网址中的访问请求参数等个人信息(网址中问号后接的全部子串)。另外,360即便要上传网址,也没有必要将其长期保留在其私有服务器内。安全厂商在验证其上传的网址、确认是安全网址后,即应在做必要统计后废弃,更没理由与用户机器唯一识别码成对地存储在服务器上。否则,这款软件究竟是安全软件还是间谍软件?是为了用户还是为了监视用户?他认为有充分理由对这些问题打一个很大的问号。

“360明知大量访问请求参数属于用户,而不属于访问目标网站。任何安全软件必须假设并接受‘用户本人无恶意’,这是对用户最起码的尊重,除非其目的是监控用户而非监控网站。云安全软件可以在明确告知并取得用户同意的前提下,上传浏览网址的非用户参数部分,以分析和阻止可能的恶意网址,且不得记录用户机器识别信息。这是最基本的隐私保护原则,而360安全卫士完全不符合此原则要求,罔顾用户隐私权以及由此衍生的财产权等个人权益。”

“至于用户所访问网站的技术实现方式、安全等级等,与360公司有什么关系呢?退一步讲,即使目标网站允许直接访问此类绝密信息,也不是360就可以做的。”独立调查员进一步分析说,“更为严重的问题在于,金融、证券方面的信息,在互联网上是与国家安全、军事等同等重要的禁区,属于高压线的范畴,互联网安全企业理应自觉回避,但360竟然毫不避嫌全面收集、形同监视,我无法理解其真实动机。这才是此事件最为严重的焦点。”

一个不容忽视的细节是:360服务器如今还有没有这些用户隐私?这些被360非法获取的用户机密数据是否曾被滥用,至今这依然是个待解的黑匣子之谜。
    360安全浏览器“偷梁换柱”上架苹果又悄然被下架

今年5月7日,苹果再次将360产品下架。

当人们的印象还停留在今年初苹果大面积下架360产品的时候,苹果却悄然采取了又一次的360产品下架行动。这次下架,正如业内一位专家“歪”用徐志摩的诗所言:“悄悄地下了,正如其悄悄地上”。

这次下架的360产品,依然为360浏览器产品,但它并不是正被下架中的“360浏览器”,而是一款名为“360浏览器(iPhone版)”的产品。

记者独家发现并跟踪了这一事件的整个过程。

360产品被苹果解禁?

1月25日,苹果AppStore全面下架了奇虎360的相关应用,包括360手机卫士、360浏览器HD、360电池医生、360安全备份和360口信等20多款应用。此后,这些产品均无法在AppStore中搜到。

不过,两个月之后,上述事件却有了魔术般的演进。3月29日,记者注意到,一款名为“360浏览器(iPhone版)”产品悄然在苹果AppStore上架。值得注意的是,此前苹果AppStore下架的“360浏览器”则为“360浏览器HD”。

据记者试用该产品,并经业内多位专家试用后均一致认为,这款“360浏览器(iPhone版)”产品其实就是原“360浏览器HD”的升级版,只不过现在改换了名称而已。

这不禁让人感到好奇:难道苹果与360私下达成协议,默许360相关产品重新回归AppStore?如果是苹果对360产品放行,为什么一向高调的360竟如此“低调”,并未对外界宣布此事?还是有开发者冒用“360”之名?

据一位接近苹果的知情人士透露,苹果并未对360放行。就在4月初,360还通过各种渠道同苹果接洽,并试图与苹果美国总部沟通,这也引发了苹果美国高管的“反感”。

上述知情人士透露,早在1月25日之前,苹果就启动了对360长达数月的调查,目前苹果已经掌握了包括360违反苹果游戏规则以及投资“快用”等详细的证据。360的行为,属于严重违反苹果生态相关游戏规则的行为,处以“极刑”的可能性较大。

该知情人士进一步透露,此前360产品被苹果下架,坊间一直传言是“全部下架”,其实这个表述是不准确的。有一类360产品在此中“幸免于难”,它就是“360云盘”产品。

而其幸运的原因,可以追溯到一年前。据记者调查了解,2012年2月2日,360遭遇苹果下架处罚,由于360的无线产品都在同一个开发者账号下,从而导致了全线产品下架。此后,360将其AppStore的账号分拆为3个账号以规避全线下架的风险。这三个后台账 号 , 其 中 包 括 qihoo360technology、QizhiSoftware等。

“之所以云盘没有下架,正是因为其使用的是Qizhi账户。这个账户下的产品逃避了惩罚。”上述知情人士表示。

360穿上马甲玩“躲猫猫”

既然苹果未对360放行,那么,这款“360浏览器(iPhone版)”背后的真相又是什么?其与360又有着怎样的关系?为此,记者展开了进一步的调查。

据调查,“360浏览器(iPhone版)”并非有人冒用名称,而是360在数月与苹果正面沟通无效的情况下,对该产品做了一些“处理”后悄悄回到AppStore,与苹果玩起了“躲猫猫”的游戏。而这一切实现的关键点在于名为“wanbokesi”(以下简称万博科思)公司的出现。根据苹果官方信息,“360浏览器(iPhone版)”产品在AppStore上登记的产品开发者信息是一个名为 “万博科思”的开发商。

那么,“万博科思”这家第三方开发商与360有着怎样的神秘关系?

记者了解到,“万博科思”的公司法定代表人为谢建云,此人是360的员工,其在360的职位是“知识产权总监”,而该公司注册资本方为北京奇虎科技有限公司,这意味着,“万博科思”是360的全资子公司。

此外,记者还发现,从360官方的“AppStore”链接,进入的页面正是通过万博科思上架的“360浏览器(iPhone版)”。

一位不愿意透露姓名的国内某App开发商负责人向记者透露,在苹果的AppStore中,由于苹果严格的政策规定,App应用一旦被下架,要重新上架需经过很复杂的过程,因此很多第三方开发者会选择注册不同账户作为“马甲”为掩护。一旦一个账号被封杀,便立即采用另一个账号重新上架,而这种方式多被国内的游戏公司所运用。

这是否也意味着,360就是通过注册新的子公司,涉嫌以偷梁换柱的手法,重新获得了在苹果上架的机会?

但是,这一并不高明的伎俩,为什么会在以科学、缜密著称的苹果公司获得通过呢?

上述App开发商负责人表示,在苹果产品上架的审核流程中,苹果更多地关注开发者上架产品内容是否合规、是否达到技术的指标、版权因素等方面,并不会过多地关注开发者信息,而这也导致了被苹果下架的违规产品的下架信息并不会在该产品的账户信息中记录在案,这也为360“换马甲”违规上架提供了可能性。

“这或许正是苹果的一个管理系统BUG。”这位App开发商负责人表示。不过,他强调,虽然国内的开发者可以利用此漏洞违规上架,但是,一旦苹果发现后则会立即将此再下架。

正是在此情况下,国内某机构直接将“360浏览器(iPhone版)”偷梁换柱上架的情况举报给了苹果公司。而据接近苹果内部的人士透露,4月18日,苹果中国将此消息告知美国总部,美国总部针对360违规上架一事,专门召集相关部门进行了专题讨论。

5月7日,苹果对360再次动刀,将“360浏览器(iPhone版)”从AppStore下架。

记者获得的来自美国方面的最新信息显示:此次下架的意义,并不仅是此款产品的下架,“其甚至会严重影响360其他产品的重新上架,因为360的这一行为,再次挑战了苹果的生态规则,必将‘罪加一等’。这对360来说,无疑是雪上加霜”。
    (认证悬疑一)360手机卫士安全认证:“及格分”背后的真相调查

在今年初由AV-Test反病毒测试有限责任公司 (以下简称AV-Test)举行的一次全球手机安全产品测试中,360手机卫士获得 “及格”的成绩。但最近,直接参与该次测试的国外一家知名安全软件厂商首席技术官W先生(化名)向记者爆料,360手机卫士这次的测试结果原来是 “不及格”,但360公司通过“特殊的手段”,最终让360安全卫士“及格”过关。

该专家认为,360的行为涉嫌作弊,同时,该测试机构也涉嫌作弊。

排名原为倒数第二

主持此次测试的AV-Test成立于2004年,公司所在地为德国萨克森-安哈尔特州的马格德堡。

AV-Test公司在反病毒评测领域有超过15年历史——AV-Test反病毒测评作为马格德堡大学的一个科研项目早已存在。其一直以海量病毒库检测、独立客观的检测过程和严格的标准著称,被业界公认为世界级杀软的对决平台。据记者了解,在其既往的历史上,从未出现过测试过程不合理或人为作弊的情况。

W先生真实身份为国外一家知名安全软件厂商首席技术官,为国际上著名的安全技术专家,并经常以专家的身份主持过许多大型安全检测与评测工作。其任职的安全机构也是此次AV-Test参评的国际厂商之一。W先生一再强调,因为全程参与和见证了此次测评全过程,因此其信息“确凿可靠”。

据记者了解,“AV-Test反病毒测试”主要提供反病毒产品测试、技术含量测试以及跟踪监测计算机安全产品的长期检测率。其中,移动安全产品测试分为3个类别:防护、可用性、增强安全性。每个类别的测试满分分别为6.0、6.0、1.0,总分需要达到或超过8.5才能获得AV-Test的认证。

据W先生透露,恶意软件检测率 (度量安全产品的防护能力)是此次测试最为重要的指标,AV-Test在检测中会根据厂商的检测率数量级给出0~6分的“防护能力分”。

“而此次AV-Test主要测试了手机安全软件的查杀能力、误杀能力。通过对综合病毒样本的查杀率和误杀率来给手机安全软件的查杀能力打分,包括Trustgo、AntiyAvl、Bitdefender等23家各国厂商参与此次测评,而国内也有360手机卫士等3家厂商参与了测评。”W先生接着透露,360手机卫士的丢分部分,主要在于其恶意软件检测率过低。“其检测率只有75.32%、此项得分仅2分,在参评的23款手机安全软件中,排名倒数第二。”

W先生给记者提供了公测结果的原始文件。这份原始文件很清楚地标明,360的公测结果不理想,排名仅为倒数第二。

为此,记者又分别从参与此次测评的其他几家公司中获得了相关数据文件,这些文件所述与W先生提供的数据是相同的,均可证明原始文件中,360为“不及格”。

安全测评中的魔法

那么,360在 “不及格”的情况下,又是怎样“动手脚”变成“及格”的呢?《每日经济新闻》记者对此展开了深入了解。 根据AV-Test测试原始数据显示,360在“增强安全”项中,获得1分(满分为1分),在“可用性”上获得5.0分(满分为6.0分),而“防护能力”项上,仅获得2.0分 (满分为6.0分)。显然,丢分项发生在“防护能力”上。而据W先生介绍,在这三项考核指标中,恰好是这项指标是最重要的,也是最容易丢分的。要获得认证通过,其总评需达到8.5分——这是最低指标分。显然,是“防护能力”拉了后腿。

那么,360的总分是怎样被拉到8.5分的呢?W先生提供的信息竟然是:AV-Test悄悄改动了测试样本集的样本数。

W先生介绍说,AV-Test这次测试的样本数,原本取样数是952个,360手机卫士检出数是717个,其检测合格率为75.32%。按这一检出率,可以获得2.0分。但令人惊讶的是,在最终测试结束的样本总量数上,发生了惊人的改变:由952份缩减至869份——共减少了83份样本。

更令人难以置信的是,在原始测试文件的数据中,360的漏检数为235份,而减少的83份样本,可以设想出两种可能性:

1、从235份漏检样本中,抽出83份样本全部剔除,同时,再从漏检样本中,人为地将13份漏检样本改为“检出”;

2、抽出83份样本中,有部分是检出合格的样本,部分为漏检样本,而合格样本增加一份,人为地将漏检样本改为“检出”的数量也增加1份。

这样一来,最终呈现的数据为:

样本数869份,检出样本数730份,漏检出样本数139份,总检出合格率为84%。

而“防护能力”项的2.5分的合格率区间为77.69%~84.33%,由此,360获得宝贵的0.5分——其总分达到8.5分。

正是基于这种 “分母减、分子增”的魔术,360手机卫士及格过关。

独立调查员认为,从统计学角度讲,产品测评属于抽样调查统计,根据一定规则(包括但不限于随机)抽取952个病毒木马样本 “代表”所有病毒木马。在测试结果出炉后再回头选择性地缩减样本量、直接重新统计,而不是全部重新抽样、重新测试,显然不符合统计规范,足以否定其测评结果的有效性。“从已获知的信息来看,人为操纵痕迹明显,这是一起涉嫌造假的测评事件。”

但也有专家认为,在最终审核样本时,发现有一定的问题,从而将一定的不合格样本剔除,这在科学测试中,也是可能发生的。

不过,中国反病毒专家李铁军指出,即使如此,对于一项非常严肃的科学测试,如果测试结果因为样本出现问题而需要对样本进行重新定义,并修改测试结果,其无论怎样,都是应该以通报的方式对所有参加测试的厂商给予告知,并以充分的理由,赢得参与者的认可。

李铁军认为,对于一家以严肃、严谨著称的公司,在这一“细节”上发生这样的事件,“是不可理解的”。

记者曾就此事联系了AV-Test相关负责人,但截至记者发稿时,对方仍未就相关问题做出回应。
    (认证悬疑二)360安全认证“三步曲”奇招“替身式”测试涉嫌作弊

近年来,奇虎360科技有限公司(以下简称360)旗下的相关安全产品,一直处于被舆论质疑的风口浪尖。为此,360在多种场合,向外展示了 “国内外三大权威机构”的相关认证,以自证清白。

然而,记者调查了解到,“国内外三大权威机构”的相关认证也并不一定能证明360所有安全产品就是100%安全的,其中存在偷换标准概念、“替身式”测试以及360以“三步曲”的方式,为360产品勾勒“安全”与“合格”的外衣等作弊嫌疑。

一步曲:认证标准“跳高赛”自降“栏杆”

在跳高资格赛中,一般都会设立一个最低标准,比如1.80米获得资格赛。如果有队员将标杆从1.80米降低为1.60米,然后宣称获得资格赛资格,那算是典型的作弊。

360在安全产品安全等级概念方面,则涉嫌玩弄了这样的手法。

今年2月,360在发布的一份声明中宣称:360所有产品均“通过了中国信息安全测评中心的测评……以及国内外网络安全软件的各项标准,安全可信。”

周鸿祎进一步补充说:“将安全浏览器送检两家评测机构检测,主要是因为方舟子质疑360浏览器的安全问题”,“360为此花了两个月时间得到了EAL2级检测结果,而国内没有浏览器达到这个级别。”

2月28日,在360召开的“媒体开放日恳谈会”上,360技术工程师声称,“只要过了EAL1,安全性就很有保证了,而EAL2级是公共系统要求,EAL4已经达到了美国军方的标准。”

EAL2级标准,果真是这样吗?

先来看一看,“EAL2”到底是怎样的一个安全级别标准呢?

安全专家李铁军向记者介绍说,“国际上都把CC

(1999年12月正式颁布国际标准ISO/IEC15408《信息技术、安全技术、信息技术安全性评估准则》CommonCriteria,简称为CC)作为评估信息技术安全性的通用尺度和方法。”

李铁军进一步介绍说,CC将评估级分为7级,其分别为:

EAL1:功能行为与文档一致;对已知威胁提供了保护。低级安全保证。功能测试。

EAL2:低级到中级安全保证,但无完整开发记录,审查开发者所做的测试和脆弱性分析。结构测试。

EAL3:中级的独立保证的安全保证,彻查开发过程。

EAL4:中级到高级的独立保证的安全性,审查详细设计与重要实现(代码)。

EAL5~7:完全代码级。略。

独立调查员描述了“EAL2”在评估等级中的位置:“EAL2级评估仅比功能测试级 (EAL1)稍高一点,而诸如安全加强的高层设计(概要设计)、低层设计 (详细设计)、设计实现(代码)子集、安全策略模型、测试覆盖分析、问题跟踪覆盖、独立的脆弱性分析等重要的安全评估手段全部不涉及。”

中国安全专家、北京知道创宇信息技术有限公司创始人赵伟则指出,浏览器对于安全等级的要求比一般的软件产品高,而微软浏览器InternetExplorer则达到“EAL4+”级。此外,国内主流的防火墙厂商如华为、天融信等一般都达到EAL3。他说:“像所谓安全浏览器此类对于高度敏感的基于云服务的登录管家模块,最少要做EAL4级评估,只做到EAL2级评估纯属隔靴搔痒、无实际意义。”

由此可知,EAL2是安全产品的初级标准,而对360安全浏览器而言,其不仅不能证明其合格,反而证明了其只是一个非常初级的安全产品,但360却将EAL2作为宣扬其产品合格的依据。

二步曲:检测样本“云遮雾障法”

近年来,360在安全产品评测方面,做了许多工作,但据业内专家、知情人士透露,360在评测中有许多地方“含糊不清”,“给这些评测结果打了问号”。赵伟便对记者指出,“360的许多评测,值得好好推敲,不然会给这个行业开个坏头。”

一位深度参与相关评测工作的业内专家提供证据指出,2012年10月,360送检中国信息安全测评中心的测试样本“有问题”。

其主要问题有:其提供的样本监测目标,仅为针对其安全浏览器的登录管家模块:串号登录问题;评测报告并未注明所代表的产品版本,仅能看到评测模块的版本为“1.2.0.1071”;更为蹊跷的是,评测报告发表当日,从360官方下载的最新浏览器登录管家模块版本却是“1.0.8.1070”,明显低于送检版本,而送检版本属“未来”版本。

该专家进一步指出,2012年10月29日,360向中国软件评测中心送检了评测,评测目标是:360安全浏览器数据上传下载已加密,并经过用户许可;360安全浏览器可以正常安装和卸载;以及360安全浏览器的 “云查询”功能以密文方式加密传输。但技术验证报告,却没有注明具体的产品版本和模块版本。

中国人民大学教授石文昌也曾对这份由中国软件评测中心出具的测评结果表示质疑,主要表现在:第一,对安全评测思想及其中的EAL概念不了解;第二,对产品的安全性概念了解不够。

同样的问题也出现在“东方之星(Starcheck)认证”中。

所谓“东方之星(Starcheck)认证”,是国际上著名的评测认证,由美国西海岸实验室实施认证。如果达到“东方之星(Starcheck)认证”,则表明该产品已达到较高水平。

该次检测的产品版本是360安全卫士的5.1Beta版,其安装量很小。赵伟认为:“其不具备代表性”。

独立调查员认为,360在2月28日的媒体发布会上公开出示的所有第三方认证的产品等级测试均为黑盒测试范畴(EAL4及以上才是白盒测试级),而像此前独立调查员曝光的360浏览器后门机制,则到了白盒测试的深度。360以黑盒测试的结果来否定白盒测试结论显然是“隔靴搔痒”。

此外,独立调查员进一步指出,这些测评所涉及到的测试对象、测试性质均与其被质疑侵犯隐私权、不正当竞争等行为无关,其无法“自证清白”。(见表1)

三步曲:与评测机构间存关联性关系

从上表中不难看出,在对360产品的评测中,漏洞不少。这些评测项目如此过关,除了与360本身有关外,评测机构在评测中,似乎也存在不够严谨的现象。

而这些评测机构,似乎也与360公司在关系上,“过于接近”。

从公开信息中可以查到,2012年3月,工信部发布了《关于申报2012年度电子信息产业发展基金招标项目的通知》,中国软件评测中心智能移动终端测试实验室对相关项目进行了积极的研究和探讨,并最终和北京奇虎科技有限公司携手成功申报了《移动互联网智能手机终端个人信息保护软件研发》项目。这一信息表明,360与中国软件评测中心有重大项目合作关系。

而中国信息安全测评中心是代表国家具体实施信息安全测评认证的实体机构,奇虎360公司副总裁石晓虹代表360公司,先后参与了国家计算机网络与信息安全管理中心、中国信息安全测评中心等多家单位的科研项目,并作为项目负责人。这些项目包括:无线局域网访问系统安全技术要求研究、基于硬件虚拟机的安全技术研究、Vista体系结构分析研究、多引擎恶意代码检测技术研究与开发、Vista内存安全机制分析等10余项。

独立调查员认为,“作为中立的评测机构,保持独立性是最为重要的,但这些机构与360有这样密切的关系,这样的评测很容易有失偏颇。”

此外,独立调查员还指出,360近期尽管做了许多“自证清白”的工作,但它所提供的“第三方测评”,其测试对象只是产品本身,不涉及其产品运营体系。而旗下囊括服务器(云安全中心)和客户端(安全卫士、杀毒、浏览器等)在内的360相关产品之下,360并非传统的独立软件提供商,而是同时兼具其产品的提供商和超级用户的角色,因此其一般用户的系统安全和信息安全风险并非目前的测评标准或规范所能涵盖,这是公共云计算时代在安全领域的崭新课题。这些都是其所谓“权威认证”无可辩驳的硬伤。

【对“360“棱镜门”:互联网信息安全 “问题样本””发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·谁在互联网上出卖我们:监守自盗?选择被遗忘 ?
·5G时代的万物互联 安全挑战远超消费互联网
·到2020年底工业互联网安全保障体系初步建立
·广东移动联合广东省公安厅上线互联网报警功能
·手机浏览器安全引重视 360立足安全角逐头部市场
·中国网络安全智能制造大会:树根互联助力中国智
·腾讯安全“天府杯”实战练兵助力产业互联网
·腾讯安全发布《2018年Q3季度互联网安全报告》
头条
微博数据疑似大规模泄露,用户手机号等信息外流 微博数据疑似大规模泄露,用户手机号等信息外
3月19日上午,有微博名为安全_云舒的用户转发微博时称:很多人的手机号码泄露了,根据……
·微博数据疑似大规模泄露,用户手机号等信息外
·博通Wi-Fi芯片存在安全漏洞 数十亿部iPhone遭
·三星手机推送奇怪1通知 该通知源于三星数据泄
·中国计算机病毒应急处理中心监测发现24款违法
· AI入法 首个“AI面试法案”在美国伊利诺斯州
图文
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时
区块链骗局都有哪些?区块链下有人暴富有人破产!
区块链骗局都有哪些?区块链下有人暴富有人
2019年网络安全生态峰会举行 智慧共享互信共治
2019年网络安全生态峰会举行 智慧共享互信
最新
·华为智能安防的“神兽”来了 请重新认识智能安防
·发现“好望”角:安防分销迎来“小精智”时代
·微博数据疑似大规模泄露,用户手机号等信息外流
·报告称美国超过八成联网医疗成像设备易受黑客攻击
·Sensor Tower推出20余款App秘密收集数百万用户数
热点
·全国多所高校电脑遭病毒绑架 需要关闭445端口
·区块链骗局都有哪些?区块链下有人暴富有人破
·2019年网络安全生态峰会举行 智慧共享互信共
·苏宁京东接连中招,双十一在即这个套路要小心
·没了乌云谁还敢随便使用那些不安全的网络平台
旧闻
·智能手机信息安全隐患 百度知道为网友支招
·从共享单车被“黑” 看一直被忽视的APP安全
·30余省市社保系统有漏洞 网络安全如何攻防?
·租车有风险如何能避免 cocar打造安全共享租车
·腾讯安全半年报揭秘区块链“三大安全威胁”
广告
硅谷影像
华为智能安防的“神兽”来了 请重新认识智能安防
华为智能安防的“神兽”来了 请重新认识智能安防
发现“好望”角:安防分销迎来“小精智”时代
发现“好望”角:安防分销迎来“小精智”时代
微博数据疑似大规模泄露,用户手机号等信息外流
微博数据疑似大规模泄露,用户手机号等信息外流
Sensor Tower推出20余款App秘密收集数百万用户数据
Sensor Tower推出20余款App秘密收集数百万用户数
DDoS攻击离你有多近?华为未然来揭秘!
DDoS攻击离你有多近?华为未然来揭秘!
英特尔芯片新安全漏洞能够导致设备加密功能失效
英特尔芯片新安全漏洞能够导致设备加密功能失效
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>