记者:史燕君
2012年11月05日国际金融报
由于安全软件存在于系统的最底层,因此,从技术上说,它想要收集什么信息就能收集到什么信息,关键取决于企业对于用户隐私的态度。这些公司在获取大量的信息之后,可以做很多数据分析、改进产品、发展新业务等,如果内控不严,就会造成信息泄露
由方舟子质疑奇虎360窃取用户隐私而引发的“方周大战”在持续。近日,工信部明确表示,对360通过其浏览器窃取用户的信息和隐私问题,“如果查实确有违法违规行为,我部将依法予以严肃处理。”
对于工信部的调查,奇虎360很自信,它在给记者发来的声明中表示欢迎。不过,来自同行们的举证对其似乎很不利。工信部表态后,金山、网秦、卡巴斯基等其他安全厂商纷纷表态,坚决支持工信部对360的调查,以彻底肃清安全软件行业中某些企业一直以来隐藏的隐私安全问题。其中,金山还出面提供360侵犯用户隐私的切实证据。在第三方分析机构易观国际举办的“安全沙龙”上,金山毒霸安全工程师、反病毒专家李铁军发布了360超范围收集政府、机构、个人隐私信息的确凿证据,并全程展示了360安全卫士操纵用户电脑,窃取用户隐私的全程视频。
昨日,互联网威慑防御(IDF)实验室创始人、安全专家万涛在接受《国际金融报》记者采访时表示,目前,作为独立第三方,IDF实验室正在对金山提供的证据以及结合360给出的回应进行验证核实,预计报告会在近几日得出。
万涛认为,此事的关键是由其引发的公众对于安全软件的信任危机。不过,从另一个方面讲,工信部的出面调查某款软件侵犯用户隐私在国内尚属首次,如能借此机会明确国内安全行业底线与规则,对促进行业自律和网民隐私保护都是利好。
金山举证360
据李铁军介绍,2010年底,有网友曾发现,在Google上可以搜索到大量中国网民使用互联网的隐私记录,信息包括个人浏览记录、账号密码、联系方式以及企业内网信息,据查证,这些数据来源恰是360公司。
记者看到,这些信息十分详实。比如,在淘宝购物的罗小姐的信息是:她于2010年12月16日19∶01下单购买了一件韩版时尚外套,价格69元,联系地址为上海市金山区某地,这一信息记录中甚至包括罗小姐的电话、网络订单号等详细信息。此外,一些用户的QQ账号、密码、政府机关、企业内网信息及经营数据也被360收集和泄密。
据金山公司的统计发现,此次泄露数据总条数141万条,其中涉及用户名信息的条目有247326个,包含用户名又包含密码的条目816个,邮件记录数21444个,QQ空间记录数229080个,淘宝信息90747个,内网记录数2474个,文档记录数7576个。
“相对于360收集的海量数据来说,目前Google抓取揭露的信息仅是冰山一角。”李铁军在会上表示。
值得注意的是,此前网名为“独立调查员”的网友曾举证了360定期收集用户隐私数据并上传到360服务器的行为。而在此次会议上,李铁军首次通过视频,复现了360安全卫士(7.3版),偷传用户使用电脑等私密操作行为到自有服务器,窃取用户隐私的全过程。
现场显示,电脑在已经关闭360“云安全计划”(云计划具有信息上传功能)并断网的条件下,360安全卫士仍会自动记录用户对电脑的操作信息。例如,测试人员在电脑中打开记事本、玩纸牌等操作行为,均被360安全卫士记录下来,而在该软件目录中,还可以找到记录了程序名称、运行时间及程序详细信息的文档。联网后,360安全卫士迅速将该文档信息上传到360服务器。随后,360立即删除在信息收集过程中产生的文件夹,使用户完全不会发觉360的这一行为。
技术成犯罪保护伞
“如果金山曝出的问题属实,那么360此举已经造成比较严重的超范围采集用户隐私。”对于金山的举证,万涛表示,作为独立第三方,IDF实验室正在对金山提供的证据进行检测,同时也会结合360方面的说法。
万涛表示,这一报告将会在近期出结果。不过,他透露,从目前来看,金山举证的问题有些确实存在。
一位不愿具名的安全领域人士对《国际金融报》记者表示,由于安全软件存在于系统的最底层,因此,从技术上说,它想要收集什么信息就能收集到什么信息,关键取决于企业对于用户隐私的态度。“这些公司在获取大量的信息之后,可以做很多数据分析、改进产品、发展新业务等,如果内控不严,就会造成信息泄露。”
事实上,近年来,网络信息安全事件频发,从2010年11月3日爆发的“3Q大战”到2011年12月下旬的程序员网站密码泄露事件,再到近日爆发的“方舟子和360大战”,用户隐私屡屡在网络上“裸奔”。
对此,上述不愿具名的安全领域人士表示,这种情况由多方面因素造成的。一方面,国内在用户隐私方面的监管不健全,基本处于草莽时代;另一方面,企业窃取用户隐私只是一瞬间的事,之后往往会删除,这就导致事后取证困难。“这些都会助长企业的窃取之心。”
中国互联网协会政策与资源委员会专家成员于国富在接受媒体采访时也表示,随着技术的日新月异,政府部门对互联网公司的监管也越来越难。尤其是一些网络公司实际都是在境外注册,而我国政府部门所管的只是这些互联网公司在中国国内的一个牌子而已,管理权限有限,力不从心。
透明评测是上策
尽管工信部表示要调查360公司,但于国富对此并不乐观。在他看来,检测的样本具有太强的主观性和随机性,所以,要求某一个鉴定机构给某一款软件发放“清白”的许可证,本身就是不靠谱的。
万涛认为,要减少这种安全软件企业的安全问题,开放源代码,增加透明度可能是改变当前现状的可行性办法。“广遭质疑的360云查杀症结就在于目前的‘不透明’,运营机理和如何上传数据以及相关标准、流程都不为公众知晓,这种不透明没有规范的行为的确很难让用户不担心,一旦自身暴露安全缺陷也容易为黑客大开方便之门。”
万涛建议:“安全厂商可以把特别核心的技术内容予以保护,比如引擎和病毒库,但涉及用户桌面端的系统控制权限机制和检测标准等这部分可以开源,组织安全爱好者一起来查找BUG,检测产品自身安全可靠性。”
值得注意的是,面对质疑,360此前在声明中也表示,已经将产品代码提交有关部门检测。不过,360此举在万涛看来,有忽悠的成分。360软件提交的代表只是客户端代码,而其使用的是云端控制技术,单单检测桌面软件很难检测到问题,对整个过程与环境进行检测评估才能更好地说明问题。“把问题集中呈现在阳光下解决,推动行业自律,这是国内安全产业健康发展的正途。”