由于安全軟件存在于系統的最底層,因此,從技術上說,它想要收集什么信息就能收集到什么信息,關鍵取決于企業對于用戶隱私的態度。這些公司在獲取大量的信息之后,可以做很多數據分析、改進產品、發展新業務等,如果內控不嚴,就會造成信息泄露
由方舟子
最新消息 2012年11月5日 13:39
我好幾條回答都發不出去,大概是含有敏感詞。這搞的什么微訪談啊?
更多 質疑奇虎360竊取用戶隱私而引發的“方周大戰”在持續。近日,工信部明確表示,對360通過其瀏覽器竊取用戶的信息和隱私問題,“如果查實確有違法違規行為,我部將依法予以嚴肅處理。”
對于工信部的調查,奇虎360很自信,它在給記者發來的聲明中表示歡迎。不過,來自同行們的舉證對其似乎很不利。工信部表態后,金山、網秦、卡巴斯基等其他安全廠商紛紛表態,堅決支持工信部對360的調查,以徹底肅清安全軟件行業中某些企業一直以來隱藏的隱私安全問題。其中,金山還出面提供360侵犯用戶隱私的切實證據。在第三方分析機構易觀國際舉辦的“安全沙龍”上,金山毒霸安全工程師、反病毒專家李鐵軍(微博)發布了360超范圍收集政府、機構、個人隱私信息的確鑿證據,并全程展示了360安全衛士操縱用戶電腦,竊取用戶隱私的全程視頻。
昨日,互聯網威懾防御(IDF)實驗室創始人、安全專家萬濤在接受《國際金融報》記者采訪時表示,目前,作為獨立第三方,IDF實驗室正在對金山提供的證據以及結合360給出的回應進行驗證核實,預計報告會在近幾日得出。
萬濤認為,此事的關鍵是由其引發的公眾對于安全軟件的信任危機。不過,從另一個方面講,工信部的出面調查某款軟件侵犯用戶隱私在國內尚屬首次,如能借此機會明確國內安全行業底線與規則,對促進行業自律和網民隱私保護都是利好。
金山舉證360
據李鐵軍介紹,2010年底,有網友曾發現,在Google上可以搜索到大量中國網民使用互聯網的隱私記錄,信息包括個人瀏覽記錄、賬號密碼、聯系方式以及企業內網信息,據查證,這些數據來源恰是360公司。
記者看到,這些信息十分詳實。比如,在淘寶購物的羅小姐的信息是:她于2010年12月16日19∶01下單購買了一件韓版時尚外套,價格69元,聯系地址為上海市金山區某地,這一信息記錄中甚至包括羅小姐的電話、網絡訂單號等詳細信息。此外,一些用戶的QQ賬號、密碼、政府機關、企業內網信息及經營數據也被360收集和泄密。
據金山公司的統計發現,此次泄露數據總條數141萬條,其中涉及用戶名信息的條目有247326個,包含用戶名又包含密碼的條目816個,郵件記錄數21444個,QQ空間記錄數229080個,淘寶信息90747個,內網記錄數2474個,文檔記錄數7576個。
“相對于360收集的海量數據來說,目前Google抓取揭露的信息僅是冰山一角。”李鐵軍在會上表示。
值得注意的是,此前網名為“獨立調查員”的網友曾舉證了360定期收集用戶隱私數據并上傳到360服務器的行為。而在此次會議上,李鐵軍首次通過視頻,復現了360安全衛士(7.3版),偷傳用戶使用電腦等私密操作行為到自有服務器,竊取用戶隱私的全過程。
現場顯示,電腦在已經關閉360“云安全計劃”(云計劃具有信息上傳功能)并斷網的條件下,360安全衛士仍會自動記錄用戶對電腦的操作信息。例如,測試人員在電腦中打開記事本、玩紙牌等操作行為,均被360安全衛士記錄下來,而在該軟件目錄中,還可以找到記錄了程序名稱、運行時間及程序詳細信息的文檔。聯網后,360安全衛士迅速將該文檔信息上傳到360服務器。隨后,360立即刪除在信息收集過程中產生的文件夾,使用戶完全不會發覺360的這一行為。
技術成犯罪保護傘
“如果金山曝出的問題屬實,那么360此舉已經造成比較嚴重的超范圍采集用戶隱私。”對于金山的舉證,萬濤表示,作為獨立第三方,IDF實驗室正在對金山提供的證據進行檢測,同時也會結合360方面的說法。
萬濤表示,這一報告將會在近期出結果。不過,他透露,從目前來看,金山舉證的問題有些確實存在。
一位不愿具名的安全領域人士對《國際金融報》記者表示,由于安全軟件存在于系統的最底層,因此,從技術上說,它想要收集什么信息就能收集到什么信息,關鍵取決于企業對于用戶隱私的態度。“這些公司在獲取大量的信息之后,可以做很多數據分析、改進產品、發展新業務等,如果內控不嚴,就會造成信息泄露。”
事實上,近年來,網絡信息安全事件頻發,從2010年11月3日爆發的“3Q大戰”到2011年12月下旬的程序員網站密碼泄露事件,再到近日爆發的“方舟子和360大戰”,用戶隱私屢屢在網絡上“裸奔”。
對此,上述不愿具名的安全領域人士表示,這種情況由多方面因素造成的。一方面,國內在用戶隱私方面的監管不健全,基本處于草莽時代;另一方面,企業竊取用戶隱私只是一瞬間的事,之后往往會刪除,這就導致事后取證困難。“這些都會助長企業的竊取之心。”
中國互聯網協會政策與資源委員會專家成員于國富(微博)在接受媒體采訪時也表示,隨著技術的日新月異,政府部門對互聯網公司的監管也越來越難。尤其是一些網絡公司實際都是在境外注冊,而我國政府部門所管的只是這些互聯網公司在中國國內的一個牌子而已,管理權限有限,力不從心。
透明評測是上策
盡管工信部表示要調查360公司,但于國富對此并不樂觀。在他看來,檢測的樣本具有太強的主觀性和隨機性,所以,要求某一個鑒定機構給某一款軟件發放“清白”的許可證,本身就是不靠譜的。
萬濤認為,要減少這種安全軟件企業的安全問題,開放源代碼,增加透明度可能是改變當前現狀的可行性辦法。“廣遭質疑的360云查殺癥結就在于目前的‘不透明’,運營機理和如何上傳數據以及相關標準、流程都不為公眾知曉,這種不透明沒有規范的行為的確很難讓用戶不擔心,一旦自身暴露安全缺陷也容易為黑客大開方便之門。”
萬濤建議:“安全廠商可以把特別核心的技術內容予以保護,比如引擎和病毒庫,但涉及用戶桌面端的系統控制權限機制和檢測標準等這部分可以開源,組織安全愛好者一起來查找BUG,檢測產品自身安全可靠性。”
值得注意的是,面對質疑,360此前在聲明中也表示,已經將產品代碼提交有關部門檢測。不過,360此舉在萬濤看來,有忽悠的成分。360軟件提交的代表只是客戶端代碼,而其使用的是云端控制技術,單單檢測桌面軟件很難檢測到問題,對整個過程與環境進行檢測評估才能更好地說明問題。“把問題集中呈現在陽光下解決,推動行業自律,這是國內安全產業健康發展的正途。”
浙公網安備 33038102330897號