天下网吧 >> 网吧天地 >> 网吧行业 >> 网络追踪 >> 正文

每经:360黑匣子之谜 奇虎360癌性基因大揭秘

解释被泄露的数据总量有多少,被下载了多少次。

然而,有关360如何“利用”用户的信任,如《全民公敌》影片中的卫星一样“间谍”式地监控着用户的电脑,这个谜团却依然没有办法破解,至今没有一家安全厂商拿出这个过程的有力证据。

独立调查员告诉记者,360安全卫士、360安全浏览器,其内部运作流程就像一个暗箱,外部人可以听到里面有动作,但却没有办法知道里面发生了什么,以及它如何阻止外部人破解它。

而独立调查员却偏执地选择了这条破解之路。他先制作了一张简单的图表,以揭示360拳头产品360安全卫士内部的操作模型(如图)。

从这个图中可以看出,360安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录,然后进行压缩后上传至云端服务器;过去,上传的过程为明文上传,这对用户的隐私带来非常严重的威胁,在经历过几次大的泄密事件后,目前上传文件已经加密。

文件上传到360云端存储后,文件会立即在本地被删除,这招防御术非常凶狠,即使有人破解其行为,并获得文件证据,但因为随时的删除,很难将证据做实,变成死无对证的孤证。

用户电脑中的360安全卫士这一套运行机制都是事先预设好的,可以独立操作完成;但实际上,360云端(360安全数据中心)对用户客户端的360安全卫士具备直接控制能力。360云端不仅可以下达专门的指令(后文还将详述),同时一旦360安全卫士发现有人在监视其通信操作等,会发出安全警告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。

据一名多年研究360产品的黑客告诉《每日经济新闻》记者,“设置如此高难度障碍的人一定是行业的高手。可以断定,360内部一定有国内顶尖级的黑客高手。他们才有可能做到既做暗事,又不留任何把柄。这就像是一个江洋大盗,来无影,去无踪,飘忽不定,作案后现场不留任何痕迹,实在是高精尖的设计。”

这名黑客发现,360安全卫士的暗箱操作行踪越来越没有规律可循,换句话说,其运作规律经过精心策划,非常不容易被外界掌握。同时,其获取信息的区域半径越来越由中心城市向二、三、四线城市延伸。这样的话,要想抓到证据就更为艰难。“中国拥有30多个省级行政区,336个二级行政区,还不包括数以千计的三级、四级行政区,这就相当于360安全卫士在中国网民的生活中布下了天罗地网。”

据《每日经济新闻》记者调查发现,国内不止一家公司准备投入大量人力来破获360的违法行为,但最终都偃旗息鼓。原因就在于,360收集用户信息的行为 “就像空中划过的彗星,茫茫夜空,布下天罗地网,时刻守候,才有可能有所斩获,这样的投入产出比太低了”。

黑匣子现身:对用户个人信息涉嫌暗箱操作/

“破解360安全卫士的非法操作,是一件很好玩的猫捉老鼠的事情。”上述黑客向《每日经济新闻》记者感叹说,360安全卫士的技术架构非常复杂,组件有很多程序,软件包有几十个可执行的程序,还有扩展库。如果要查清楚是否侵犯用户隐私,则需要对每个程序进行分析,就像分析病毒一样地分析每个文件,而这需要投入大量的时间和精力。

这名黑客给记者展示了许多“同行”间来往的邮件,此中展现出破解之后的喜悦,以及经验的交流。

而独立调查员宣称,他“已基本破解了360安全卫士的谜局,但离发布还为时尚早”,因为他要做“铁板钉钉的事情”。

在《每日经济新闻》记者保证不会将其操作思路披露的情况下,独立调查员将其操作的核心步骤进行了详尽的现场演示。在征得其允诺的情况下,记者可以告知的是:针对360的设置,进行反向操作,反向分析而破解。

到目前为止,已经披露的最重要证据为独立调查员于2012年12月6日在其微博上发布的一个视频(http:/weibo.com/2902756801/z8BUvfWqe)。这份视频详尽地破解了360安全卫士秘密获取用户信息的过程。

独立调查员告诉记者,这份13分36秒的视频以完整的手法记录了破获360窃取用户隐私的证据。它证明了360在用户电脑中收集、上传用户信息的“动作”,“猖狂到任何简单的、常规的软件操作行为都将被记录,与安全问题完全无关,而这些信息都在用户个人隐私范畴”。

但据独立调查员宣称,这份视频资料并非其采集、制作,“而是来自一名自称是安全领域专家的匿名人士”,他通过微博私信向独立调查员爆料:自己已经掌握了360安全卫士7.3窃取用户隐私并上传到360服务器的司法证据,现在可以无偿将这段司法证据给他。

而关于这份证据,独立调查员认为,将是未来给360的“一颗小小的炸弹”,在法庭上是有力的呈堂证供。

据记者了解,去年11月28日,在易观国际主办的“易士堂”网络安全论坛(第二季)论坛上,这份视频资料也曾分享给包括国家信息中心、中国信息安全测评中心等安全业界人士;而最初制作这段视频并进行司法公证的正是金山安全专家李铁军。不过李铁军否认自己就是给独立调查员爆料的匿名人士。

据李铁军透露,2010年11月,卡饭安全论坛有人爆料称“360安全卫士7.3的某个版本会窃取用户隐私上传到360服务器”,爆料的内容非常简单,只提供了一个有趣的细节暗示:需要用户在360loginfo目录对删除权限做一个修改才有可能捕捉到360的罪证,帖子不久就消失了。

李铁军首先尝试重现帖子描述的问题,而不是对软件进行逆向分析,经过数月才完成了这一个证据的抓取。

“反反复复不知道试了多少回。”李铁军对《每日经济新闻》记者表示,凭借多年的经验,他终于找到了关键所在,比如有窃取隐私问题的360安全卫士版本号为7.3.0.2003l,数字签名时间为2010年11月8日,要想重现必须将360loginfo访问权限修改为“所有人不可删除”;再比如安装时修改系统时间与2010年11月8日不能相差太久,安装前须断开网络(禁用网卡或拔网线)。

即使这样,也有一些情况在李铁军“意料之外”。

“开始想到的是禁用网卡和改360loginfo目录的访问权限,但奇怪的是,有时能在安装后几分钟内即可在360loginfo目录看到日志生成,有时等几小时都不能重现,于是尝试将系统日期从单数修改为双数或从双数修改为单数,结果很快看到奇怪的日志文件出现了。”李铁军表示,这几条重现规则是反复多次尝试之后才总结出来的。

而上述结果也在曝光之后第一时间得到IDF互联网情报威慑防御实验室的验证。2012年11月25日,该实验室发布报告表示,360安全卫士v7.3.0.2003l所搜集用户软件操作信息,对用户隐私造成风险,若用户运行 某 一 程 序 ,360安 全 卫 士v7.3.0.2003l会把程序所在路径搜集并未经加密上传至360服务器。若360公司所存放信息的数据库泄露或传输数据被黑客截取进行社工分析,可造成用户的信息泄露。

万涛对《每日经济新闻》表示,根据之前的评测报告,360安全卫士v7.3.0.2003l对用户信息的处理涉嫌未遵守其中的用户知情权、选择权及禁止权,并在未获得个人信息主体的明确同意下记录和上传用户行为数据。

值得注意的是,已于2月1日正式生效的我国首个个人信息保护国家标准 《信息安全技术公共及商用服务信息系统个人信息保护指南》明确规定,个人信息获得者在收集个人信息时,需“具有特定、明确、合法的目的”。基于此,在收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:处理个人信息的目

本文来源:每日经济新闻 作者:记者秦俑

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行