由于安全軟件存在于系統(tǒng)的最底層,因此,從技術上說,它想要收集什么信息就能收集到什么信息,關鍵取決于企業(yè)對于用戶隱私的態(tài)度。這些公司在獲取大量的信息之后,可以做很多數(shù)據(jù)分析、改進產品、發(fā)展新業(yè)務等,如果內控不嚴,就會造成信息泄露
由方舟子
最新消息 2012年11月5日 13:39
我好幾條回答都發(fā)不出去,大概是含有敏感詞。這搞的什么微訪談啊?
更多 質疑奇虎360竊取用戶隱私而引發(fā)的“方周大戰(zhàn)”在持續(xù)。近日,工信部明確表示,對360通過其瀏覽器竊取用戶的信息和隱私問題,“如果查實確有違法違規(guī)行為,我部將依法予以嚴肅處理。”
對于工信部的調查,奇虎360很自信,它在給記者發(fā)來的聲明中表示歡迎。不過,來自同行們的舉證對其似乎很不利。工信部表態(tài)后,金山、網秦、卡巴斯基等其他安全廠商紛紛表態(tài),堅決支持工信部對360的調查,以徹底肅清安全軟件行業(yè)中某些企業(yè)一直以來隱藏的隱私安全問題。其中,金山還出面提供360侵犯用戶隱私的切實證據(jù)。在第三方分析機構易觀國際舉辦的“安全沙龍”上,金山毒霸安全工程師、反病毒專家李鐵軍(微博)發(fā)布了360超范圍收集政府、機構、個人隱私信息的確鑿證據(jù),并全程展示了360安全衛(wèi)士操縱用戶電腦,竊取用戶隱私的全程視頻。
昨日,互聯(lián)網威懾防御(IDF)實驗室創(chuàng)始人、安全專家萬濤在接受《國際金融報》記者采訪時表示,目前,作為獨立第三方,IDF實驗室正在對金山提供的證據(jù)以及結合360給出的回應進行驗證核實,預計報告會在近幾日得出。
萬濤認為,此事的關鍵是由其引發(fā)的公眾對于安全軟件的信任危機。不過,從另一個方面講,工信部的出面調查某款軟件侵犯用戶隱私在國內尚屬首次,如能借此機會明確國內安全行業(yè)底線與規(guī)則,對促進行業(yè)自律和網民隱私保護都是利好。
金山舉證360
據(jù)李鐵軍介紹,2010年底,有網友曾發(fā)現(xiàn),在Google上可以搜索到大量中國網民使用互聯(lián)網的隱私記錄,信息包括個人瀏覽記錄、賬號密碼、聯(lián)系方式以及企業(yè)內網信息,據(jù)查證,這些數(shù)據(jù)來源恰是360公司。
記者看到,這些信息十分詳實。比如,在淘寶購物的羅小姐的信息是:她于2010年12月16日19∶01下單購買了一件韓版時尚外套,價格69元,聯(lián)系地址為上海市金山區(qū)某地,這一信息記錄中甚至包括羅小姐的電話、網絡訂單號等詳細信息。此外,一些用戶的QQ賬號、密碼、政府機關、企業(yè)內網信息及經營數(shù)據(jù)也被360收集和泄密。
據(jù)金山公司的統(tǒng)計發(fā)現(xiàn),此次泄露數(shù)據(jù)總條數(shù)141萬條,其中涉及用戶名信息的條目有247326個,包含用戶名又包含密碼的條目816個,郵件記錄數(shù)21444個,QQ空間記錄數(shù)229080個,淘寶信息90747個,內網記錄數(shù)2474個,文檔記錄數(shù)7576個。
“相對于360收集的海量數(shù)據(jù)來說,目前Google抓取揭露的信息僅是冰山一角。”李鐵軍在會上表示。
值得注意的是,此前網名為“獨立調查員”的網友曾舉證了360定期收集用戶隱私數(shù)據(jù)并上傳到360服務器的行為。而在此次會議上,李鐵軍首次通過視頻,復現(xiàn)了360安全衛(wèi)士(7.3版),偷傳用戶使用電腦等私密操作行為到自有服務器,竊取用戶隱私的全過程。
現(xiàn)場顯示,電腦在已經關閉360“云安全計劃”(云計劃具有信息上傳功能)并斷網的條件下,360安全衛(wèi)士仍會自動記錄用戶對電腦的操作信息。例如,測試人員在電腦中打開記事本、玩紙牌等操作行為,均被360安全衛(wèi)士記錄下來,而在該軟件目錄中,還可以找到記錄了程序名稱、運行時間及程序詳細信息的文檔。聯(lián)網后,360安全衛(wèi)士迅速將該文檔信息上傳到360服務器。隨后,360立即刪除在信息收集過程中產生的文件夾,使用戶完全不會發(fā)覺360的這一行為。
技術成犯罪保護傘
“如果金山曝出的問題屬實,那么360此舉已經造成比較嚴重的超范圍采集用戶隱私。”對于金山的舉證,萬濤表示,作為獨立第三方,IDF實驗室正在對金山提供的證據(jù)進行檢測,同時也會結合360方面的說法。
萬濤表示,這一報告將會在近期出結果。不過,他透露,從目前來看,金山舉證的問題有些確實存在。
一位不愿具名的安全領域人士對《國際金融報》記者表示,由于安全軟件存在于系統(tǒng)的最底層,因此,從技術上說,它想要收集什么信息就能收集到什么信息,關鍵取決于企業(yè)對于用戶隱私的態(tài)度。“這些公司在獲取大量的信息之后,可以做很多數(shù)據(jù)分析、改進產品、發(fā)展新業(yè)務等,如果內控不嚴,就會造成信息泄露。”
事實上,近年來,網絡信息安全事件頻發(fā),從2010年11月3日爆發(fā)的“3Q大戰(zhàn)”到2011年12月下旬的程序員網站密碼泄露事件,再到近日爆發(fā)的“方舟子和360大戰(zhàn)”,用戶隱私屢屢在網絡上“裸奔”。
對此,上述不愿具名的安全領域人士表示,這種情況由多方面因素造成的。一方面,國內在用戶隱私方面的監(jiān)管不健全,基本處于草莽時代;另一方面,企業(yè)竊取用戶隱私只是一瞬間的事,之后往往會刪除,這就導致事后取證困難。“這些都會助長企業(yè)的竊取之心。”
中國互聯(lián)網協(xié)會政策與資源委員會專家成員于國富(微博)在接受媒體采訪時也表示,隨著技術的日新月異,政府部門對互聯(lián)網公司的監(jiān)管也越來越難。尤其是一些網絡公司實際都是在境外注冊,而我國政府部門所管的只是這些互聯(lián)網公司在中國國內的一個牌子而已,管理權限有限,力不從心。
透明評測是上策
盡管工信部表示要調查360公司,但于國富對此并不樂觀。在他看來,檢測的樣本具有太強的主觀性和隨機性,所以,要求某一個鑒定機構給某一款軟件發(fā)放“清白”的許可證,本身就是不靠譜的。
萬濤認為,要減少這種安全軟件企業(yè)的安全問題,開放源代碼,增加透明度可能是改變當前現(xiàn)狀的可行性辦法。“廣遭質疑的360云查殺癥結就在于目前的‘不透明’,運營機理和如何上傳數(shù)據(jù)以及相關標準、流程都不為公眾知曉,這種不透明沒有規(guī)范的行為的確很難讓用戶不擔心,一旦自身暴露安全缺陷也容易為黑客大開方便之門。”
萬濤建議:“安全廠商可以把特別核心的技術內容予以保護,比如引擎和病毒庫,但涉及用戶桌面端的系統(tǒng)控制權限機制和檢測標準等這部分可以開源,組織安全愛好者一起來查找BUG,檢測產品自身安全可靠性。”
值得注意的是,面對質疑,360此前在聲明中也表示,已經將產品代碼提交有關部門檢測。不過,360此舉在萬濤看來,有忽悠的成分。360軟件提交的代表只是客戶端代碼,而其使用的是云端控制技術,單單檢測桌面軟件很難檢測到問題,對整個過程與環(huán)境進行檢測評估才能更好地說明問題。“把問題集中呈現(xiàn)在陽光下解決,推動行業(yè)自律,這是國內安全產業(yè)健康發(fā)展的正途。”
浙公網安備 33038102330897號