◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇   安全行业举办沙龙控诉360不法行径 360未回应   作者:卢林嘉   DoNews 11月1日消息 近日,工信部宣布介入调查“方周大战”曝光的奇虎 360软件问题,安全业界普遍对此持高度关注态度。   10月30日,易观国际以“网络安全路在何方”为主题举办易士堂论坛,邀请 安全厂商代表、安全专家、软件开发商等业内人士展开集体会诊。   金山晒确凿证据 360闯过用户隐私红线   前不久,方舟子及众多网友接连质疑360涉嫌泄露用户隐私。通过技术手段 解析,金山软件得到了360超范围收集政府、企业、个人隐私信息的确凿证据。 在论坛现场,金山软件信息安全技术工程师、反病毒专家李铁军对部分证据进行 展示,并全程复现了360安全卫士操纵用户电脑,窃取用户隐私的操作场景。   从数据本身看,用户隐私泄露的严重程度远超网友想象。部分证据显示, 360收集包括用户名、登录密码、上网行为、联系方式、电脑标识码、淘宝购物 详情、浏览及搜索记录等大量个人隐私信息,可以精确定位网民的IP地址和职业 特征。不仅如此,360还收集了奇瑞汽车订单信息、某物流公司后台管理系统等 大量企业内部信息和经营数据,甚至连某些国家重要战略企业的内网密码及财务 数据都发生了泄露。   据悉,金山发现的此次泄露数据达到141万条,而这些数据还是被删除之后 剩余的,不过是冰山一角。至于数据总量有多少,被下载了多少次,只有当事人 才能做出解释。   据李铁军介绍,这些上传的用户信息由360软件内部设置抓取并上传,上传 后临时数据文件随即被自动删除,除非专业人士特别查看,普通用户对此毫无察 觉。面对此种行为,为了支持彻查真相,李铁军表示,如果政府、媒体等相关机 构需要,金山愿意提供完整证据版本以备查证。   瑞星、网秦、小红伞等安全厂商对此表示震惊,杀毒软件作为系统底层应用, 确实能够接触到大量用户信息,但这并不意味着软件厂商拥有随意采集、使用用 户隐私信息的特权,反而应当更加严谨地保护。网秦代表表示,按照国外的通行 标准,搜集的信息应该经过公立的第三方机构检验,以保证没有侵犯用户隐私。 小红伞代表对此表示赞同,认为用户隐私在欧洲本身就是一道“红线”,逾越就 意味着安全企业将无法生存。   由于隐私数据背后存在着巨大的利益,如何规范安全厂商的行为就是政府监 管部门必须要考虑的问题,而不能仅仅依靠厂商自律。在成熟市场上,安全软件 能够收集什么信息、拥有哪些特权都是受到法律严格限制的,而这一环节目前在 中国还处于缺失状态。   万涛质疑“云查杀” 透明开放才是出路   工信部介入调查后,360表示安全软件早已进行托管,其安全浏览器也将送 交评测部门检测,以示清白。然而,也有不少技术网友指出,360采用的是“云 查杀”技术,只将客户端程序送检其实毫无意义,通过联网,“产品在云端的行 为其实并不受用户控制,要想使坏实在太容易了”。   互联网威慑防御实验室创始人、安全专家万涛表示,网友的担心并非杞人忧 天。“云查杀”模式最早由360提出,它的出现解决了本地杀毒软件的盗版问题, 促使用户更多采用联网服务,这种模式本身是无可厚非的,但这也会同时带来隐 私和安全的新威胁,对黑客来说也意味着更大的机会。“云”代表了资源集中, 一旦保护不利,黑客就可以通过网络更容易地获取大量用户的隐私数据。由于 360的“云查杀“本身不透明,机理和上传数据都不为公众知晓,就难免有“瓜 田李下”的嫌疑,一旦被网络黑客利用,就有可能成为作恶的云。   安全软件本身的目的是让互联网更加可信,如果安全厂商自身要是越过底线, 为了利益而肆意妄为,就会损害用户信任、损害安全行业的利益。万涛认为,安 全厂商应该参与到桌面开源代码的行动中来,让第三方技术专家、程序员来进行 透明评测,让安全软件真正获得用户信任,避免陷入口水战之中。   不正当竞争战火蔓延 警惕新流氓软件抬头   在参会嘉宾看来,安全厂商不仅应当肃清那些可能威胁用户隐私安全、透支 用户信任的行为,有一些针对同行和应用厂商的不正当竞争行为也必须受到严格 约束。   会上,瑞星、金山列举了360软件的一系列不正当竞争行为。360凭借垄断地 位,以安全为名,通过拦截、误报等方法持续打击同行产品。   不正当竞争的战火从安全领域也同样蔓延到了客户端。搜狗产品经理黎志举 例认为,360不正当竞争的方式经常是“先封杀创新,再抄袭”的模式。当搜狗 浏览器推出创新功能“网速保护”后,360立即进行拦截封杀。四个月之后,360 相同功能的“360网速保护” 上线推广,在此之后,搜狗的这项功能才被放开。   用友软件公司代表也分享了经历:2010年初,用友软件发布了一个新版本, 被某公司安全软件将其动态库杀掉了一半,用户只要安装了该安全软件就无法安 装用友软件,最后用友软件只得主动联系,在接受了很多不公平条件后,问题才 得以解决。   与会嘉宾认为,中国互联网协会曾经公布了流氓软件的八大特征,而滥用特 权实施拦截行为其实也应该被定义为一大特征。需要引起警惕的是,新流氓软件 可能正在抬头。奇虎360的大量行为已经侵犯了用户利益,并严重干扰了整个行 业秩序。要真正实现网络安全,不仅需要安全厂商加强自律,努力保障用户利益, 也需要更多政府监管部门和行业组织力量介入,以调查为契机,加强完善法律法 规,采取有效措施,提高违法违规成本,让不法行为受到震慑,从而构建起良好 的市场秩序,避免伤害用户、扰乱行业秩序的行为再次发生。(完) (XYS20121101) ◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇