360黑匣子之謎 - 奇虎360“癌”性基因大揭秘
昨日(2 月 25 日),正是奇虎 360 所有 APP 產品被蘋果全面下架一個月的日子。
就在此前,360 的 CFO 親赴美國“負荊請罪”,但 360 相關產品并未重新上架。
知情人士向 《每日經濟新聞》記者透露,國家版權局內部已討論確定,360 搜索引擎嚴重違反 Robots 國際規則,目前正在擬定相關處罰決定,近期將在行政處罰會議上責令 360 停止侵權,進行整改。
據悉,有“兩會”代表委員正在草擬嚴懲不正當惡性競爭破壞產業,以及“3·15”應該將隱私保護列入重點的議案提案。
《信息方略》的一份調研結果顯示,回答“拒絕安裝 360”的企業比例高達 60%。
一家以聲稱安全起家的互聯網公司,正面臨“不安全”的聲討……
360 到底怎么了?這是一家什么樣的企業?帶著這樣的疑問,《每日經濟新聞》記者經過數月調查,并在微博名人“獨立調查員”等一批程序“猿”的幫助下,揭開了 360 的層層內幕。
360 創始人周鴻?一直對外宣稱,360 成功的秘訣是 “破壞性創新”。但記者調查發現,360 的成功,更重要的是在于其“創新型破壞”:破壞才是目標。通過破壞,打破既有規則,從中獲得市場與利益。
而這一破壞的基礎,便是對互聯網世界最基本的準則——最小特權原則的踐踏。
為全面還原 360 的真實面目,“獨立調查員”們以超人的技術能力與艱辛的勞動,剝繭抽絲般一層層揭開,將其內部機制破解成功。
360 發家于 “360 安全衛士”、“360 安全瀏覽器”,而這兩款產品甫一面世,便攜帶了這家公司的癌性基因:以違反“最小特權原則”為基石而構建。
《每日經濟新聞》記者第一次查清,360 是如何在其龐大的以安全著稱的“安全衛士”、“安全瀏覽器”軟件中,植入非法程序,并通過該非法程序中的“后門機制”與 360 云端配合,形成全球獨一無二的秘密內部機制。
最令人驚詫的,是即使在 360 內部也屬高度機密的 “V3 升級機制”。當 360 要發動一場討伐競品的戰爭時,其便啟動“V3 機制”——通過“安全衛士”、“安全瀏覽器”,在用戶電腦中私自卸載競爭對手的產品,私自安裝自己要推廣的產品,從而以最便捷的方式一舉占領市場,這就是 360 常勝不衰的真正秘訣。
在這場看不見的戰爭中,360 表現出兩個粗暴:粗暴侵犯網民的合法權益(隱私權、知情權、同意權)、粗暴侵犯同行的基本權益,肆無忌憚地破壞行業規則,從而實現其“一枝黃花”式的瘋狂成長。
360 現象,不僅對行業有巨大的破壞性,對互聯網秩序產生嚴重的破壞力,更是對整個社會產生“癌性浸潤”。
這種“癌性浸潤”,讓原本的市場競爭轉向了底層控制力的交戰。《每日經濟新聞》記者獲悉,百度即將砸重金投向安全領域,最快將于今年上半年正式推出,這與經歷“3Q 大戰”的騰訊進駐安全領域如出一轍。
更為可悲的是,為了防御 360 的“癌性浸潤”,從底層控制到應用層幾大巨頭均涉足其中,這樣帶來的直接后果就是,未來中國互聯網將變成一個騰訊、百度、阿里、360“四國頂立”的擎天 柱式體系。而這將讓一個個豐滿、豐富的熱帶雨林式生態環境變成巨無霸們為生存而生靈涂炭的地方。
360 會“立地成佛”么?這或許會是一場持久戰……
《每日經濟新聞》將持續關注。
(出于保護記者人身安全的考慮,本組稿件記者署名均為化名)
調查員獨白:我為什么反 360?
我先講一個故事吧。
在現實生活中,我們都知道一個最簡單的常識:小區的保安公司都是必須向業主收取服務費的。但是,某年某城市的一個小區,來了一個K保安公司,宣布他們將為小區提供免費服務。經過幾輪波折,最終K保安公司實現接管小區保安業務。
K 公司入駐后,當然全部換上K保安人員,并迅速換上K公司特產的小區監控系統——在小區的每一個視角都安裝了監視體系。業主們覺得,這真是天下難找的大好事啊,居然能夠免費獲得最好的安全保衛。
不久,K公司出于安全考慮,將物業公司辭了,換上K安全物業公司;再接著,小區園林服務公司也換成K安全園林公司;再接著,業主所有私家車都裝 上了K安全 GPS 導航;再接著,K安全物流、K安全農貿、K安全服飾、K安全電視、K安全電腦、K安全冰箱與熱水器、K安全門控與門鎖……小區業主的所有一切都被換上了K 安全的標志。
K 安全公司能將業主的這一切統統換掉,只有一個原因:那就是,這一切“安全”方面的服務,都是免費的。
但有一天,B業主夫婦在家中行房事時,黑暗中發現家中有異樣,打開燈一看,一個保安正在床前監控著這對夫婦的云雨過程。這對夫婦羞憤難當:你是怎么進來的?
保安說:我有鑰匙,出于對你們性生活安全的考慮,我有權保護你們。
B 業主夫婦找來安全方面的專家,來保護自己的安全隱私,結果卻發現,保安不僅在夫婦行房事時可以進來“免費觀賞”,他們在任何時候都可以自由進出業主的房間;他們不僅在小區的任何公共空間安裝了監控系統,同時在業主室內的任何一個視角,都秘密安裝了監控器。
這對夫婦決定召集全小區業主反對K保安公司的所有侵犯行為。
但讓小區所有業主異常驚訝的是:就在開庭前一天,網絡上突然出現大量B業主夫婦的信息,比如,B業主女臀部有三顆痣的圖片在網絡上大量流傳;B業主夫婦的工資單被曬;B業主男與前女友 10 年的情書來往從其前女友的電腦中被挖出來。
B 業主夫婦頓時陷入網絡漩渦
……
在中國互聯網領域,360 所充當的,就是這個K保安公司。
在中國,為什么 360 能夠獲得如此重要的市場地位,除了用戶在隱私權、知情權、網絡自主權方面的意識不強外,最大的問題還是中國網民對互聯網來說還是“小白”,他們沒有辦法看 清 360 干了什么,也沒有辦法辨清什么是可行的,什么是不可行的;也不清楚 360 的一些行為在今天意味著什么,在明天又將意味著什么。
我腦海中,一直在重復卡夫卡小說《城堡》中的場景,你不知為什么,你也不知是怎么了,然后,你就任人宰割了。
森白的月光下,那把霍霍磨著的長刀……
——來自獨立調查員的自白
技術篇
360:互聯網的癌細胞
每經記者秦俑
深圳,紅樹林,旁邊就是深圳灣公園,有蜿蜒的海堤風景帶;海的那端是云霧間的山巒以及錯落的建筑,那是香港特別行政區。
經過前期網上 100 多天艱苦的技術交流后,《每日經濟新聞》記者終于約到了“獨立調查員”。這是我們之間的第二次見面。這一次,我們相約只做一件事情:將 360(奇虎 360 科技有限公司,本文簡稱為 360) 在幕后所做的一些難以見光的行為,在網上重新演繹一遍。
這一過程漫長而復雜。幾天幾夜里,獨立調查員展開的網絡實證讓人觸目驚心,許多動態的過程無法通過平面文字呈現。事實上,獨立調查員曾經在網上披露的內容,絕大多數網民也不可能看懂。
2012 年 10 月,一個署名“獨立調查員”的微博開始向 360 發難,時至今日,《每日經濟新聞》記者已跟蹤此人整整 3 個月:初始時基本上通過網絡實現溝通,漸漸地,有了電話中的直接交流。
在思維碰撞中,記者發現,“獨立調查員”對 360 的反感是深切的;他對 360 的研究也是深刻的。令《每日經濟新聞》記者萬分好奇而且不解的是:他的動力來自何方?
“如果你得了癌癥,你的第一反應是什么?”獨立調查員反問道,“那一定得趕快把它切除掉!而 360 正是網絡社會的毒瘤。此瘤不除,不僅中國互聯網社會永無安寧之日,整個中國都永無安寧之日。”
獨立調查員分析說,不要小看了蘋果對 360 產品下架一事,這種下架的期限極有可能是“永久性”。為什么一個在中國能夠獲得如此巨大影響力的公司,會在一家全球性大公司處遭遇截然相反的待遇?“這只 能說明眼下的互聯網空間沒有能力排除自身的毒瘤。而蘋果下架 360,背后正體現出對腫瘤的自體免疫排斥性,這是一個網絡社會健康的標志。”
獨立調查員認為,他作為一名程序員,就是要從技術層面來理清 360 這個“DNA”的基因突變。“這個突變的基因,就是 360 安全衛士或 360 安全瀏覽器,一切都會發生改變。”
互聯網其實與人體一樣,本身具備著抗癌的免疫力。一旦發現癌細胞,自身會啟動自動識別與排斥機制,比如“最小特權原則”就是互聯網江湖防止自身“癌變”的免疫機制。
所謂最小特權 (LeastPrivilege),指的是“在完成某種操作時所賦予網絡中每個主體 (用戶或進程)必不可少的特權”;最小特權原則,則是指“應限定網絡中每個主體所必須的最小特權,確保可能的事故、錯誤、網絡部件的篡改等原因造成的損失最小”。
這一特權最通俗的說法就是:你不要代替用戶行使權力,你的特權越小越少越好。這樣,才是對用戶最大的保護。能不作為處,不作為。
“而奇虎 360 的‘基因變異’正體現在此處,表現為 ‘奇虎 360 原則’——以安全的名義,在用戶知情或不知情的情況下,直接代表網民行使權益。”獨立調查員說,“其實,最小特權原則非常簡單。比如一個電話檢查員,為了 檢查你家的電話是否正常好使,便在主人不在家時,直接打開你家的門,試用了一下電話;或者說,因為你家的狗在叫,物業打開你家的門,直接將狗殺了。這都是 違反了最小特權原則。而 360 最大的問題就是以安全的名義,踐踏了這一原則。”
360 是如何通過環環相扣的程序設計,就像本文開頭部分的K保安公司監控業主夫婦房事一樣,或就像電話檢查員徑直打開主人房門查線一樣,或就像物業工作人員直接 打開業主房門進去把主人的狗殺掉一樣,在用戶的電腦里橫沖直闖、恣意妄為?本文將為讀者揭開 360 相關產品背后的層層暗箱操作鏈條。
技術篇之一·黑匣子
360 產品內藏黑匣子:工蜂般盜取個人隱私信息
每經記者秦俑
這是一件真實的事情:多年前,業內一家知名 IT 公司一個產品將上線,但蹊蹺的是,該產品上線前一天,360 的同類產品突然上線。而且,360 上線產品的頁面與該公司準備上線的版本幾乎一模一樣。這家 IT 公司的此款產品不上線已不可能,而改版也已不可能。被逼無奈之下,該產品只能硬著頭皮上線。讓這家 IT 公司哭笑不得的是,由于此款產品上線時間比 360 同類產品晚一天,所以用戶普遍認為,該公司的產品抄襲了 360 產品。
此類詭異怪事,在業內已不止一次發生。
誰是泄密者?上述 IT 公司最終未能找到“臥底”,不過開始將質疑對象聚焦在 360 產品身上。因為實查結果發現,該公司不少員工電腦上安裝了 360 相關產品。
出于安全考慮,該公司要求所有員工的工作電腦中不得安裝 360 產品。與此同時,公司內網環境中,全面禁止 360 產品。從此,確實沒有再發生過類似的泄密情況。
據《每日經濟新聞》記者了解,國內最早全面禁用 360 產品的企業為騰訊、百度、金山等一批公司。在這些公司的辦公環境中,完全屏蔽 360 產品,如確因公司研究性工作需要,才可以安裝虛擬機使用 360 產品。
國內幾家互聯網巨頭公司,均以安全為由禁止使用一家以互聯網安全著稱的公司的相關產品,這在中國 IT 界構成了一道未解的謎團。
大型公司尚且對 360 產品避之不及,對于普通用戶來說,使用 360 相關“安全”產品,安全嗎?
在中國有“黑客教父”之稱的安全技術專家“黑客老鷹”,即 IDF 互聯網情報威懾防御實驗室創始人萬濤認為,從隱私保護和用戶權益的角度講,360 產品確實存在需要澄清的地方。但中國用戶目前在隱私保護方面的意識并不強,這是一個比較普遍的現象。因為對許多用戶來說,“我上網就是看看新聞,玩玩游 戲,我沒有隱私”。這一觀點非常流行。
萬濤表示,而在另一方面,多年來盡管民間在破獲 360 侵犯隱私等方面做了許多努力,并查獲了許多證據,但 360 在這方面的“反應”也非常“嚴密”。此外,獲得的一些突破性證據因為過于專業,也不易讓普通用戶看懂,因此也就缺乏相應的感知。
黑客揭秘:360 安全產品背后的“安全”陷阱/
在深圳紅樹林,獨立調查員為《每日經濟新聞》記者進行了現場演示。他特意在自己的電腦上安裝了 360 安全瀏覽器,并打開網絡通信監視工具,這時可以看到,360 安全瀏覽器在其電腦后臺上就像一只工蜂,始終不停地忙碌著。
然后,獨立調查員又打開 IE、騰訊、獵豹、chrome 等瀏覽器,每一個瀏覽器都很安靜,沒有任何動作。
“360 安全瀏覽器在干嘛呢?誰也不知道。為什么要這樣忙碌呢?作為瀏覽器,其作用就是可以顯示網頁服務器或者文件系統的 HTML 文件內容,并讓用戶與這些文件交互的一種軟件。根據最小特權原則,你是沒有理由在我的電腦里不停地‘工作’。你要問他在做什么,他就說,是為了你的安 全。”
“明明知道 360 在做不應該發生的事情,但不知道發生的是什么事情。這就是 360 留給中國所有安全專業人員最大的課題。”獨立調查員解釋說,這是因為 360 在這方面做了非常縝密的設計,其防御體系相當嚴密,要突破防線有所收獲,是件非常困難的事情。
而這,也正是許多從事安全的專家們感興趣的事情。
2010 年 2 月 6 日,360 多年的宿敵——瑞星拿出了一份 “證據”,其發布的《奇虎 360 利用“后門”拿走了用戶什么》一文,利用大量技術細節說明 360 安全衛士在安裝進用戶電腦時,會偷偷開設后門,并時刻監視用戶訪問網站,將相關信息上傳至 360 網站。
此事標志著 360 第一次露出“不安全”的真面目,從此一發而不可收拾。
據《每日經濟新聞》記者調查,國內有一大批黑客對破獲 360 的防線,以及搞明白 360 這個黑匣子內到底有什么非常感興趣,想通過攻擊 360 而獲得其侵犯用戶隱私信息的證據。他們之間甚至有一個松散型的組織,經常交換這方面的信息。但與此同時,也有些黑客最終被 360“招安”,成為其公司成員。
2010 年 12 月 31 日,在黑客狂轟濫炸 360 服務器后,360 防線被攻破,存儲于其服務器上的大量用戶隱私數據噴涌而出,被谷歌搜索爬蟲自動抓取,并公告天下。360 多年來宣稱的 “用戶隱私大于天”的謊言正式被揭穿。
上圖為某網民通過 360safe.com 泄露的數據登錄某政府機關的內部郵箱
這份意外泄露的文件詳細記錄了大量 360 用戶的全網訪問過程,包括瀏覽的網頁、下載過的應用、搜索的關鍵字等,并將這些訪問記錄與唯一用戶掛鉤。在這個服務器中,每個用戶對應一個字符串,通過查 詢字符串,可以了解用戶的所有個人信息、上網瀏覽記錄、賬號密碼,例如用戶在百度搜索關鍵字、淘寶購物記錄、金蝶、奇瑞等企業內部財務網絡數據、某政府機 構官方郵箱用戶名及密碼等鏈接數據。
《每日經濟新聞》獲得的一份對泄露日志文件分析統計的結果顯示,此次泄密事件涉及總條數 141 萬條,其中涉及用戶名信息的條目有 247326 個,既包含用戶名又包含密碼條目有 816 個。而這對于 360 收集的海量數據來說只是冰山一角,截至目前為止,360 從沒有公開解釋被泄露的數據總量有多少,被下載了多少次。
然而,有關 360 如何“利用”用戶的信任,如《全民公敵》影片中的衛星一樣“間諜”式地監控著用戶的電腦,這個謎團卻依然沒有辦法破解,至今沒有一家安全廠商拿出這個過程的有力證據。
獨立調查員告訴記者,360 安全衛士、360 安全瀏覽器,其內部運作流程就像一個暗箱,外部人可以聽到里面有動作,但卻沒有辦法知道里面發生了什么,以及它如何阻止外部人破解它。
而獨立調查員卻偏執地選擇了這條破解之路。他先制作了一張簡單的圖表,以揭示 360 拳頭產品 360 安全衛士內部的操作模型(如圖)。
從這個圖中可以看出,360 安全衛士對用戶在電腦上進行軟件操作、文檔操作等所有操作舉動均秘密進行監視、記錄,然后進行壓縮后上傳至云端服務器;過去,上傳的過程為明文上傳,這對用戶的隱私帶來非常嚴重的威脅,在經歷過幾次大的泄密事件后,目前上傳文件已經加密。
文件上傳到 360 云端存儲后,文件會立即在本地被刪除,這招防御術非常兇狠,即使有人破解其行為,并獲得文件證據,但因為隨時的刪除,很難將證據做實,變成死無對證的孤證。
用戶電腦中的 360 安全衛士這一套運行機制都是事先預設好的,可以獨立操作完成;但實際上,360 云端(360 安全數據中心)對用戶客戶端的 360 安全衛士具備直接控制能力。360 云端不僅可以下達專門的指令(后文還將詳述),同時一旦 360 安全衛士發現有人在監視其通信操作等,會發出安全警告以阻止繼續操作并限時自行禁止。這也給破獲工作帶來相當程度的干擾。
據一名多年研究 360 產品的黑客告訴《每日經濟新聞》記者,“設置如此高難度障礙的人一定是行業的高手。可以斷定,360 內部一定有國內頂尖級的黑客高手。他們才有可能做到既做暗事,又不留任何把柄。這就像是一個江洋大盜,來無影,去無蹤,飄忽不定,作案后現場不留任何痕 跡,實在是高精尖的設計。”
這名黑客發現,360 安全衛士的暗箱操作行蹤越來越沒有規律可循,換句話說,其運作規律經過精心策劃,非常不容易被外界掌握。同時,其獲取信息的區域半徑越來越由中心城市向 二、三、四線城市延伸。這樣的話,要想抓到證據就更為艱難。“中國擁有 30 多個省級行政區,336 個二級行政區,還不包括數以千計的三級、四級行政區,這就相當于 360 安全衛士在中國網民的生活中布下了天羅地網。”
據《每日經濟新聞》記者調查發現,國內不止一家公司準備投入大量人力來破獲 360 的違法行為,但最終都偃旗息鼓。原因就在于,360 收集用戶信息的行為 “就像空中劃過的彗星,茫茫夜空,布下天羅地網,時刻守候,才有可能有所斬獲,這樣的投入產出比太低了”。
黑匣子現身:對用戶個人信息涉嫌暗箱操作/
“破解 360 安全衛士的非法操作,是一件很好玩的貓捉老鼠的事情。”上述黑客向《每日經濟新聞》記者感嘆說,360 安全衛士的技術架構非常復雜,組件有很多程序,軟件包有幾十個可執行的程序,還有擴展庫。如果要查清楚是否侵犯用戶隱私,則需要對每個程序進行分析,就像 分析病毒一樣地分析每個文件,而這需要投入大量的時間和精力。
這名黑客給記者展示了許多“同行”間來往的郵件,此中展現出破解之后的喜悅,以及經驗的交流。
而獨立調查員宣稱,他“已基本破解了 360 安全衛士的謎局,但離發布還為時尚早”,因為他要做“鐵板釘釘的事情”。
在《每日經濟新聞》記者保證不會將其操作思路披露的情況下,獨立調查員將其操作的核心步驟進行了詳盡的現場演示。在征得其允諾的情況下,記者可以告知的是:針對 360 的設置,進行反向操作,反向分析而破解。
到目前為止,已經披露的最重要證據為獨立調查員于 2012 年 12 月 6 日在其微博上發布的一個視頻(http:/weibo.com/2902756801/z8BUvfWqe)。這份視頻詳盡地破解了 360 安全衛士秘密獲取用戶信息的過程。
獨立調查員告訴記者,這份 13 分 36 秒的視頻以完整的手法記錄了破獲 360 竊取用戶隱私的證據。它證明了 360 在用戶電腦中收集、上傳用戶信息的“動作”,“猖狂到任何簡單的、常規的軟件操作行為都將被記錄,與安全問題完全無關,而這些信息都在用戶個人隱私范 疇”。
但據獨立調查員宣稱,這份視頻資料并非其采集、制作,“而是來自一名自稱是安全領域專家的匿名人士”,他通過微博私信向獨立調查員爆料:自己已經掌握了 360 安全衛士 7.3 竊取用戶隱私并上傳到 360 服務器的司法證據,現在可以無償將這段司法證據給他。
而關于這份證據,獨立調查員認為,將是未來給 360 的“一顆小小的炸彈”,在法庭上是有力的呈堂證供。
據記者了解,去年 11 月 28 日,在易觀國際主辦的“易士堂”網絡安全論壇(第二季)論壇上,這份視頻資料也曾分享給包括國家信息中心、中國信息安全測評中心等安全業界人士;而最初制 作這段視頻并進行司法公證的正是金山安全專家李鐵軍。不過李鐵軍否認自己就是給獨立調查員爆料的匿名人士。
據李鐵軍透露,2010 年 11 月,卡飯安全論壇有人爆料稱“360 安全衛士 7.3 的某個版本會竊取用戶隱私上傳到 360 服務器”,爆料的內容非常簡單,只提供了一個有趣的細節暗示:需要用戶在 360loginfo 目錄對刪除權限做一個修改才有可能捕捉到 360 的罪證,帖子不久就消失了。
李鐵軍首先嘗試重現帖子描述的問題,而不是對軟件進行逆向分析,經過數月才完成了這一個證據的抓取。
“反反復復不知道試了多少回。”李鐵軍對《每日經濟新聞》記者表示,憑借多年的經驗,他終于找到了關鍵所在,比如有竊取隱私問題的 360 安全衛士版本號為 7.3.0.2003l,數字簽名時間為 2010 年 11 月 8 日,要想重現必須將 360loginfo 訪問權限修改為“所有人不可刪除”;再比如安裝時修改系統時間與 2010 年 11 月 8 日不能相差太久,安裝前須斷開網絡(禁用網卡或拔網線)。
即使這樣,也有一些情況在李鐵軍“意料之外”。
“開始想到的是禁用網卡和改 360loginfo 目錄的訪問權限,但奇怪的是,有時能在安裝后幾分鐘內即可在 360loginfo 目錄看到日志生成,有時等幾小時都不能重現,于是嘗試將系統日期從單數修改為雙數或從雙數修改為單數,結果很快看到奇怪的日志文件出現了。”李鐵軍表示, 這幾條重現規則是反復多次嘗試之后才總結出來的。
而上述結果也在曝光之后第一時間得到 IDF 互聯網情報威懾防御實驗室的驗證。2012 年 11 月 25 日,該實驗室發布報告表示,360 安全衛士 v7.3.0.2003l 所搜集用戶軟件操作信息,對用戶隱私造成風險,若用戶運行某一程序 ,360 安全衛士 v7.3.0.2003l 會把程序所在路徑搜集并未經加密上傳至 360 服務器。若 360 公司所存放信息的數據庫泄露或傳輸數據被黑客截取進行社工分析, 可造成用戶的信息泄露。
萬濤對《每日經濟新聞》表示,根據之前的評測報告,360 安全衛士 v7.3.0.2003l 對用戶信息的處理涉嫌未遵守其中的用戶知情權、選擇權及禁止權,并在未獲得個人信息主體的明確同意下記錄和上傳用戶行為數據。
值得注意的是,已于 2 月 1 日正式生效的我國首個個人信息保護國家標準 《信息安全技術公共及商用服務信息系統個人信息保護指南》明確規定,個人信息獲得者在收集個人信息時,需“具有特定、明確、合法的目的”。基于此,在收集 前要采用個人信息主體易知悉的方式,向個人信息主體明確告知和警示如下事項:處理個人信息的目的;個人信息的收集方式和手段、收集的具體內容和留存時限; 個人信息的使用范圍、被收集后的個人信息保護措施、個人信息主體的投訴渠道;同時提醒個人信息主體提供個人信息后可能存在的風險和個人信息主體不提供個人 信息可能出現的后果。且“只收集能夠達到已告知目的的最少信息”。而信息獲得者如需將個人信息轉移或委托于其他組織和機構時,也需要向個人信息主體明確告 知轉移或委托的目的、轉移或委托個人信息的具體內容和使用范圍、接受委托的個人信息獲得者的名稱、地址、聯系方式等。
很明顯,360 公司在個人信息的收集、加工、轉移、刪除等環節,明顯將行業的游戲規則拋諸腦后,一意孤行地進行著暗箱操作。
技術篇之二·后門
360 后門秘道:“上帝之手”,抑或“惡魔之手”?
每經記者秦俑
“作為宣稱‘最安全的瀏覽器’的 360 安全瀏覽器,被發現存在極大潛在安全威脅的‘后門’。毫無疑問,‘獨立調查員’是第一人。即使給他頒發一個國家級的科技發現獎也不為過。而且,多少年后, 人們一定會感謝這位幕后的英雄,為了廣大用戶的上網安全,做出了卓越的貢獻。”百度安全部門的相關負責人如此評價 360 安全瀏覽器“后門”發現者。
按照獨立調查員的理解,所謂 360 的后門,不僅存在于 360 安全瀏覽器,也存在于 360 安全衛士。他說,“你這樣來看,在你的小區,保安說,因為安全的需要,你們要將房門的鑰匙放一把在我身上,我可以隨時來檢查你家庭的安全。這本身已經非常 大的不安全了,但你更不知道的是,這個保安公司,還在地下挖有一條通道,可以直接從地下通過地道悄悄進入你的房間。而這個地道,就是后門。”
360 后門秘道浮出水面/
2012 年 10 月,當時“方周大戰”正酣,獨立調查員才注意到了 360 安全產品,因為他一直是裸機,從未想過要關注 360。但這一關注,他敏銳地發現,360“非常異類”——許多行為不僅是反安全的,甚至是“反人類的”。
獨立調查員特意在用于測試的虛擬機中安裝了全套 360 產品,并由此發現 360 產品的許多 “不規矩行為”,他隨手將這些發現發布在微博上,立即引起許多關注,但也遭到一些人的攻擊。“有些人明顯就是 360 的人在挑釁,這激怒了我,我這人不喜歡耍嘴皮子,我是軟件專業人員,我只講證據”,獨立調查員如此說。
獨立調查員發現,360 瀏覽器網絡通信有非常異常的情況,“最開始只是發現其時間周期性:每隔 5 分鐘,瀏覽器就主動發起一次與服務器之間的通信過程,雖然不知道在干嘛,但其短周期性非常可疑。”
為什么不打開任何網頁、不動鍵盤和鼠標,360 瀏覽器依然忙個不停呢?“國內外所有的知名瀏覽器都不會存在這樣的行為模式。可以肯定,此中必有蹊蹺”。
于是,他繼續追查,雖然下載的文件名是文本文件(ini),但當他把數據包拼接成文件后一看 (當時尚不知道服務器 IP 地址對應域名,受服務器限制未能通過網址直接下載文件,也尚未注意到文件被暫存于臨時文件夾),實際是個 DLL (可動態加載的程序模塊)。“以我的知識和經驗,很快意識到問題的嚴重性——以更新配置文件為耳目、周期性下載并加載執行小程序——這是一個后門。至于 360 利用它做什么、曾做過什么并非重點,重點是他們可以做任何事而不為人知、不留痕跡。”
于是,他于去年 10 月 29 日通過微博對外公布了 360 瀏覽器有后門的事實,同時公開向工信部、公安部發出了一封名為《公開舉報奇虎 360 公司——致工信部、公安部公開信》的舉報信。
《每日經濟新聞》記者注意到,在這封舉報信中,獨立調查員直接斥責道:“奇虎 360 公司的 ‘360 安全瀏覽器’暗藏‘后門’,是用戶系統安全和信息安全的嚴重潛在威脅”。
他舉證說,360 安全瀏覽器實為C/S架構木馬系統的客戶端,服務器群是 se.# (云架構,IP 地址不定)。瀏覽器每隔 5 分鐘即向服務器請求新的“指示”。新的指示偽裝成 Ini (純文本文件類型)發出,實際上是 DII 文件(Windows 可執行程序庫或資料庫)等。
此事一石激起千層浪。不過,具有挑戰的是,獨立調查員的分析結果僅僅是網絡分析,是“后門”機制的初步證據和技術推斷,而非直接的鐵證。正是因為這樣,360 開始在網絡上對其進行質疑、攻擊,甚至嘲諷。
“他們以為我只會網絡抓包呢!”獨立調查員表示。于是,為了做實 360 的后門機制,他決定反向分析瀏覽器本身的程序庫,并詳細分析出“后門”機制的內部執行流程。
然而,這并非一件容易的事情。“因為沒有軟件源程序、更沒有設計文檔,所以分析難度相當大。給你個軟件,只能進行其公開可見的操作,而內部運作卻完全是個黑洞。”獨立調查員表示。
源程序(源代碼)自然沒有。而要通過反向工程來破解,難度相對較高,也非常浪費時間。何況 360 瀏覽器軟件規模不小,而且還有很多內置的擴展程序。
“我首先用排除法把擴展組件挨個干掉,我刪掉一個擴展組件,如果后門機制還在,說明與這個擴展組件無關。”獨立調查員最開始的直覺是后門應該在 擴展程序里面,因為主程序要送檢,但是當獨立調查員把可見的擴展程序全部刪掉后,后門還在,于是他開始刪(對普通用戶)不可見的擴展組件。
“通過排除法,最后確認是擴展組件 SmartWiz 在搞鬼。刪掉它以后,瀏覽器就安靜了,那個 5 分鐘一輪的上傳下達活動消失了。”
不過,還沒有結束。為了進一步查明 360 后門真相,獨立調查員還需要反向編譯出匯編代碼并跟蹤測試。
通過一系列技術過程,獨立調查員掌握了 360 瀏覽器在 SmartWiz 整個組件里與 360 服務器間建立通信、下載、臨時存儲、加載執行、刪除(銷毀證據)的流程,同時也知道了其時鐘控制調度機制(5 分鐘間隔定時器)。
360 后門的安全之殤/
360 安全瀏覽器設計出來的后門,恰恰給用戶帶來了極大的不安全。
為了讓用戶知道這個后門的惡劣程度,一直涉足互聯網安全工作的騰訊集團副總裁曾宇,對沒有后門的瀏覽器的重要性做了解答(如左圖)。
一般個人用戶的電腦中,90% 以上為 windows 系統,這套系統與互聯網之間的聯系,是需要瀏覽器來實現的,同時,因為瀏覽器的閉環作用
(可以理解為沒有縫的雞蛋殼,除非用戶特別授權),其也是 windows 系統與互聯網之間的天然屏障,任何來自于其他云端的指令等,都不會穿透這層保護而到達 windows 系統。這樣,用戶電腦中的 windows 系統得到最好的保護,所有執行的指令,都是來自于用戶自己。
而 IDF 互聯網情報威懾防御實驗室創始人萬濤則對瀏覽器后門做了解讀。他說,被稱作 360“安全”的瀏覽器,卻有一個特殊的資源文件,這個資源文件硬生生地將這個蛋殼打開了一條縫,而且是一條用戶看不到的縫。
通過這個后門,360 瀏覽器可以根據監視用戶電腦操作過程中出現的情況,向 360 云安全中心發出請求,360 云端的后門服務體系根據請求,給出相應的 DLL,即 windows 可執行程序庫。這個 DLL 通過 360 瀏覽器的后門,直接進入用戶的 windows 系統。
此時,這個 DLL 好生了得,它甚至已不受瀏覽器的控制,它在用戶 windows 系統中可做的事情包括但不限于:
獲取用戶的文件,并上傳到云端;
讀寫、增刪用戶的文件;
監聽用戶通訊;
更改 windows 系統的注冊表或重要的設置參數;
悄悄卸載競爭對手的產品,等等。
同時,這個 DLL 還可以通過這個后門,直接對互聯網發出指令,包括但不限于:
自動從 360 服務器下載軟件來安裝或運行;
代替用戶直接進行電子商務操作;
釋放木馬或病毒、創建常駐系統的服務,等等。
360 是否做了這些呢?如果做了,對其自身又會有怎樣的價值呢?會對行業、用戶帶來怎樣的傷害呢?沒有人知道答案。
“搞清楚這些細節后,我就著手重現后門機制的運作,讓本來不可見的過程變得可見,以做可視化演示,讓大家不僅能感知而且能 ‘看到’360 暗設的這道‘后門’。”獨立調查員表示。
在他看來,360 那個后門每 5 分鐘都會找 360 服務器下載一個 DLL 并加載執行,但它是個后門,隱蔽性第一,因此 DLL 無論如何不會現身,不存在彈出對話窗口或消息框,因此需要給它模擬一個測試環境。
“通過在本地架設 DNS 服務,劫持 # 的域名解析,把我的機器偽裝成 360 的服務器,然后那個注入瀏覽器的 DLL 不就由我自由控制了么?”獨立調查員表示,通過編一個只要被加載執行就馬上彈出消息框的 DLL,拿自己寫的 DLL 注入給 360 瀏覽器,這就讓 360 瀏覽器的后門機制的運行完全可見了。
就這樣,瀏覽器果然如預期的那樣,把獨立調查員在 DLL 里面寫的消息框給彈出來了。
“被活捉啊!”從去年 10 月 29 日的公開信到 11 月 5 日的反向工程分析研究,前后僅為六天(僅利用業余時間)。
一個細微的細節是,獨立調查員為了讓更多的用戶知道 360 暗藏后門的事實,還將其調查結果通過 65 分鐘不間斷的視頻進行全網絡直播。由于要保證視頻內容真正做到 65 分鐘不間斷、不剪接,而實際上他花費了 4 個多小時一次次現實演示,直至實現一次性完成,才算真正完成這一取證工作。
獨立調查員指出,可執行文件 DLL 絕非軟件的自動更新(軟件更新是持久性的),360 安全瀏覽器自動更新僅在啟動時執行一次,與此行為無關;而它也不是瀏覽器的一部分,下載、暫存、加載調用后將立即被刪除,完成使命后,不留任何痕跡。
360 后門:綁架用戶的遙控器/
獨立調查員的這一發現發布后,立即在業內引起巨大震動。
以電子取證為主業的獨立第三方 IDF 互聯網情報威懾防御實驗室立即跟進,對獨立調查員的舉報結論進行重復性認證,結論為:360 安全瀏覽器 v5.0.8.7 的 ExtSmartWiz.dll 文件的屬性、行為及反編譯內容與獨立調查員描述完全一致。
萬濤表示,在當時的檢測中,即使在關閉 360 安全中心可以關閉的功能,包括網址云安全、廣告云攔截、第二代防假死、沙箱保護,在未進行任何瀏覽器操作情況下,仍然可以抓取到 ExtSmartWiz.dll 請求服務器文件及下載服務器文件記錄,而這些并未包含在《360 用戶隱私保護白皮書》有關 “360 安全瀏覽器的隱私保護說明”中。
業內一位安全專家認為,360 瀏覽器利用后門通過秘密手段,每 5 分鐘操作一次程序性動作,究竟做了什么?現在不易獲知,相信終有一天,360 內部的程序員等知情人士會將此完整地披露給大眾。但可以認定,360 這一行為有不可告人的目的,最為正面的理解是:如果全國要抓貪腐,可能不再需要小三、二奶們自告奮勇地獻身了,只要打開 360 瀏覽器,貪腐只要是上網的,基本上其丑行就可以通過 360 安全瀏覽器、360 安全衛士這個后門機制暴露無遺了。
針對獨立調查員的證據,360 方面至今也無正面回應。
據獨立調查員的最新消息,360 安全瀏覽器 5.0 版的“后門”機制仍在運作,但 360 服務器已不再通過“后門”下發任何 DLL,僅下發空文件(文件大小為 0 的文件)。
對 360 安全瀏覽器最新版(6.0.2.202) 的網絡通信監測表明,在未打開和瀏覽任何網站的情況下,瀏覽器仍然在與 360 云服務器密集通信,但與 5.0 版的情況明顯不同。這里是否藏了什么新的秘密?
獨立調查員對此已作了嘗試調研,他告訴 《每日經濟新聞》記者,“有關結果,在合適的時候會披露出來。”
“此中有一個不易注意的細節,”獨立調查員告訴記者,“當時,360 安全瀏覽器產品經理陶偉華在回應我的微博時,就把我指出的 ExtSmartWiz.dll 文件名篡改成 SmartWizRes.dll,而現在其 6.0 版本恰恰就是現在的‘SmartWizRes.dll’,可見其早已有想通過偷梁換柱的方式掩蓋其惡行。”
據多位安全專家表示,“后門”并非 360 獨創,原來,其作用為“方便之門”。最著名的“后門”軟件為灰鴿子(Hack.Huigezi)。其誕生于 2001 年,原本是一款優秀的遠程控制軟件,其后門機制作用為方便實施遠程控制。但正是這“后門”機制,又使其成為集多種控制方法于一體的木馬病毒。 一旦用戶電腦不幸感染,可以說用戶的一舉一動都在黑客的監控之下,要竊取賬號、密碼、照片、重要文件等皆手到擒來。因此,自其誕生之日起,就被反病毒專業 人士判定為最具危險性的后門程序,并引發了安全領域的高度關注,同時成為全球公認的“毒王”。
360 安全瀏覽器比“灰鴿子”更為危險的是,它的市場占有量很高。根據艾瑞咨詢此前發布的數據顯示,360 最主要的產品 360 安全衛士的市場份額已經高達 84.41%,同時 360 也擁有國內最大的瀏覽器和網址導航份額,所占市場份額大致為 30%。這也意味著數億量級 360 瀏覽器安裝于用戶的電腦中,如果有人破解 360 安全瀏覽器,從而控制這個后門的話,那將是災難性事件,它導致一個國家的癱瘓都是完全可能的。因為 360 安全衛士、360 安全瀏覽器早已進入了中國大多數用戶的電腦。
萬濤進一步指出,更為令人擔憂的是,360 的“后門”控制屬于云端,至今仍秘而不宣。“凡安裝 360 安全瀏覽器或 360 安全衛士的電腦,都已客觀上成了 360 可以任意支配的‘肉雞’。而 360 目前在許多領域中的不正當行為,都是基于其安全入口的裁判員機制而實施成功的。”
而來自金山的反病毒專家李鐵軍認為,360 瀏覽器的后門機制,實際上已綁架了用戶,成為 360 通過用戶的瀏覽器來直接攻擊競爭對手的工具,包括阻止或殺死競爭對手的各類客戶端軟件,阻止其中的重要程序,破壞競爭對手軟件的功能等等。“這樣的丑行只 有中國才有,是世界上惟一的先例。”
商業篇
360:互聯網的“一枝黃花”
每經記者秦俑
自由評論人、技術經濟觀察家瞬雨給《每日經濟新聞》記者講述了一個歷史故事:
1935 年,上海從北美引進“加拿大一枝黃花”作為觀賞植物,因其艷麗多姿,多用于插花配花。然而上世紀 80 年代,因其具有極強的繁殖和快速侵占力,同時,其根系會釋放乙炔氣體抑制其他物種生長,從而導致“加拿大一枝黃花”扎根之處,所有植物均迅速死亡,甚至使 上海 30 多種植物物種消亡,從而被列為惡性雜草。幾十年來,許多地區一直在進行剿滅“加拿大一枝黃花”行動。
瞬雨認為,360 很像中國互聯網界的 “一枝黃花”。360 董事長周鴻?一直強調“破壞性創新”,這正是“一枝黃花”的最好注解。
對于 360 及周鴻?,外界基本上分為兩個陣營:愛之者為之歡呼,恨之者為之切齒。而歡呼者,正是出于對其破壞性快感的獲得,以及對其破壞過程中所呈現的“流氓特性” 的認可;而切齒者,則不僅因其對整個互聯網社會的強大破壞力,更緣于其不斷地突破底線,以及對人們價值觀的不斷挑戰。
“破壞是一件容易的事,而建設才是根本。創新不能總是以破壞為代價。”瞬雨向《每日經濟新聞》記者表示,“釀制出一只青花瓷瓶,或許需要數月甚至數年的精到功夫與時間,但破壞它,一錘子砸它,只需要一秒鐘。”
瞬雨認為,360 更大的危害,在于其還有許多人們所不能見的潛在威脅:360 安全衛士、360 瀏覽器的“癌性基因”。
作為互聯網安全廠商,最重要的特性,就是恪守“第三方安全”準則:不得隨意代替用戶作決定或處理;不得以安全的名義,為廠商自己牟利;不得在安全領域,既當運動員,又是裁判員。
但 360 恰恰就在這些方面,完全違背了安全廠商的基本準則。當 360 安全衛士、360 安全瀏覽器植入用戶電腦的時候,360 便通過它們在用戶知情或不知情的情況下,直接代替用戶做決定,完成各種動作。
“這樣的產品在市場上將是無敵的。”瞬雨舉例說,“一場拳擊賽,A方只可以以拳擊打對方的有效部位,但B方卻可以手腳并用,并可以攻擊你的下三路,那A方必輸無疑。”
這是 360 致勝的法寶。
而在掠奪市場的過程中,360 安全衛士、360 瀏覽器恰是一對并蒂的“惡之花”。
商業篇之一·生意經
360 生意經:圈地運動與癌性擴張
每經記者秦俑
近日,百度要求鳳巢(百度搜索營銷管理平臺)用戶安裝安全插件,以檢驗瀏覽器的安全性。而 360 以用戶名義,給予這個插件以 “網友差評”標簽,并通過其系統,認定該插件為“偷拍插件”。然后,在 360 安全衛士的“清理插件”功能下,直接誘導和恐嚇用戶卸載該插件。
360 憑什么將百度這個插件定義為“偷拍插件”?憑什么要用戶卸載?事實上,全球其他所有瀏覽器均對上述插件無異議。
獨立調查員向《每日經濟新聞》記者分析說,360 軟件 (含互聯網服務)產品,涵蓋安全防護(安全衛士、手機衛士、殺毒等)、操作環境(瀏覽器、桌面、軟件管家等)、工具軟件(五花八門)、游戲平臺、導航搜索 和電商網站等,“如果把電腦系統比作軟件產品的運動場,從安全角度看,安全防護產品是裁判員,其他產品則是運動員”。
很顯然,360 兼具裁判員、運動員雙重身份。
做為裁判員,360 能否公平對待同場競爭的運動員(競爭對手)和看臺觀眾(用戶),是人們判斷其價值最關鍵、也是最重要的因素。
“我們無法想象,微軟會通過 Windows 產品不斷提示用戶 IE 才是安全的瀏覽器、借網民的名義指控 Google 搜索是釣魚網銀的幫兇、騰訊電腦管家是最差的安全防護產品;我們無法想象,微軟通過 Windows 產品把用戶安裝的所有瀏覽器的默認首頁都強行設定為自身的官方網站;我們無法想象,微軟會通過 Windows 產品向全球電腦秘密下達卸載 Chrome 瀏覽器的指令;我們無法想象,微軟 Bing 搜索引擎盜用 Google 搜索引擎的結果數據。”獨立調查員說,“是的,善良的人們無法想象,更無法接受這一切,有社會責任感的企業公民對此都會嗤之以鼻——‘我們絕不這么 干!’”
獨立調查員認為,360 有兩條“成功密鑰”,第一,是以“民事訴訟 8 連敗”為代表的發展模式:先踩法律底線,以求先發展——在中國,360 鉆了品牌與道德成本太低的空子;第二,就是以安全和免費名義 “綁架”用戶,然后以安全裁判員的身份,展開“競爭”。
以“永久免費”為口號,360 安全衛士及其關聯產品很快占據較高市場份額。
“電腦安全性評分”是 360 安全衛士最重要的基礎性功能。360 安全衛士會自動掃描客戶端所在系統的“安全隱患”,不符合 360“安全標準”要求的就扣分,但評分標準和權重并不公開。
比如全新安裝的 Windows 7,在開啟自動更新、尚未安裝任何第三方軟件前,360 安全衛士對其安全評估結果竟是 0 分 (滿分 100 分)。這個 0 分意味著什么?Windows 真的很不安全?實際測試發現,根據其安全警示清單一項一項 “優化或修復”后,評分逐步增加,但始終處于低位、不到 60 分,直到“優化瀏覽器”并“鎖定首頁”后,安全性評分迅速接近滿分!事實上,所謂“優化瀏覽器”就是“安裝 360 瀏覽器并設定為默認瀏覽器”,“鎖定首頁”就是“修改首頁為 360 導航”。
需要修復的項目還有 (不限于):卸載“差評插件”百度瀏覽器工具欄、優化 IE (實為篡改 IE 的首頁、標簽頁、默認搜索引擎為 360 的有關服務)、刪除收藏夾中對手的項目(百度、騰訊、谷歌等)等等。
360 安全衛士甚至曾偽裝成微軟 Windows 補丁安裝程序 KB360018,以“IE6 內核升級”的名義欺騙用戶安裝 360 瀏覽器。國外權威技術網站 SystemExplorer 已將 360 的這個假冒微軟系統補丁文件定為“100% 安全威脅”,從而使后者遭遇微軟調查。
尤其是 360 安全衛士在評分后的“一鍵修復”功能,更是其占領市場的利器。其借助傻瓜式的“一鍵修復”,導致用戶在電腦上用什么、不用什么,都由 360 安全衛士說了算,至于是否都與安全性有關,一般用戶自然看不出門道,相反還會對 360 的這些“強奸”行為“感恩戴德”——這些用戶原本連安裝或卸載軟件的操作都不熟練,而 360 安全衛士就是一臺“傻瓜相機”。
事實上,360 安全衛士不只是一臺“傻瓜相機”,其云安全數據中心動態控制著一切,可以根據 360 自身需要更改其軟件資料庫、評分標準和權重,隨時準備向對手發起“云查殺”以保護自身利益。
獨立調查員向 《每日經濟新聞》記者分析說,360 的發展路徑,即從 360 軟件產品底層技術構架開始,埋下不同于所有互聯網公司發展的“癌變基因”,然后,此“癌變基因”通過浸潤,向操作環境領域發展,再向工具軟件、游戲平臺發 展,最終進入真正的互聯網領域——導航、搜索、電商網站,以及電商網銀體系等。
360 綠色網站的安全謊言:“偷梁換柱”浸潤電商網銀安全體系/
2 月 6 日,360 官網上一條 “網購首選,3 億用戶的共同選擇”的廣告悄然上線。打開這條廣告鏈接,以“網購安全”為主題的新款“360 安全瀏覽器”赫然在目。
據《每日經濟新聞》記者獲得的 360 內部信息,360 將借今年的“3·15”活動,大力推動與國內電商企業的合作,以將 360 安全瀏覽器植入電商領域。這則推廣廣告,正是這一步驟的前奏曲。
據記者調查,360 兩年前開始布局電子商務安全領域,其最先打出的 “安全產品”是 “網銀無憂”、“地址欄銘牌”,即 360 瀏覽器主推的“綠色網站認證”。
360 向人們傳遞的信息是,“360 綠色網站認證”可以確保用戶使用網銀以及電子商務交易安全。
眾所周知,電子商務的交易安全,尤其是網銀,一直是網民、乃至整個社會焦點關注的問題之一。歐美、日本等國家的網銀安全體系非常復雜與發達,而國內的網銀體系,也是在小心設想、小心求證的前提下,一步步地展開。
那么,360 是否真的具備這個能力——取代網銀服務提供者身份驗證體系,由自身來充當網銀“保鏢”呢?
獨立調查員懷疑 360 公司是否具備這個能力。于是,他進行了如下實驗,以了解 360 綠色網站認證機制:
在本機模擬,將招行網銀域名劫持到 IP 為 50.63.127.126(xliar.com)的網站,并在目標服務器上構建相應目錄體系和登錄頁文件,然后使用 360 安全瀏覽器訪問招行大眾版登錄頁,從而進入偽裝的招行網銀頁面。
360 網購保鏢自動檢測招行運行環境,幾秒鐘后完成檢測,報告“本次檢測未發現風險,現在可以放心網購了!”
此時瀏覽器地址欄銘牌顯示為“招商銀行”,點擊后彈出“通過綠色網站認證”,披著“招行網銀”外衣的劫持網址,即被 360 認證為招行官方網站。
而同樣的操作,使用 IE 瀏覽器訪問時,IE 瀏覽器地址欄則會以非常顯眼的方式告知用戶“(網站數字)證書錯誤”,點擊錯誤信息可知,該網站證書不屬于招商銀行網站。
事實上,用國際主流的瀏覽器均會彈出類似的錯誤提醒警示,用戶收到信息后自然會停止交易、避免損失。
這意味著,如果一家詐騙網站通過域名劫持招商銀行網站,所謂的“360 綠色網站認證”并不能有效執行網銀保鏢的辨識功能,進行安全認證。
360 安全瀏覽器的安全檢查能力為什么會如此之低呢?
據 《每日經濟新聞》記者了解,目前國際主流的認證機構為 VeriSign,包括中國工商銀行、中國建設銀行、中國銀行、中國農業銀行均采用該機構認證。招商銀行網頁所顯示的,也正是該機構的認證,這也作為網上銀行安全的基本保證而得到公認。
而獨立調查員演示的證據顯示,360 瀏覽器直接屏蔽認證機構 VeriSign 基于加密體系的可信認證,將其替換成了 360 綠色網站認證。
獨立調查員提醒網購者,應信任銀行網站自身的安全證書,并在整個交易過程中關注地址欄域名和安全證書中的域名是否一致,以及其根域名是否與官方域名一致,切勿輕易信任和依賴 360 的“綠色網站認證”。
獨立調查員認為,這又是另一起 360“破壞性創新”的典型案例:“一點技術含量也沒有的網站身份認證,竟然可以公然取代國際上通行的網上銀行安全認證體系。這就是 360 的非創新型破壞。”
然而,對于類似公然挑釁國際準則的行為,為什么監管部門可以坐視不管呢?
可以預想的是,一旦 360 大規模啟動“各大電商推薦安全購物使用 360 瀏覽器”活動,人們的網上購物均要依賴于 “360 綠色網站認證”,360 收獲的將是又一次 360 式“癌性擴張”,而中國的網銀體系又將會面臨怎樣的可怕變局?
移動圈地:“非創新型”破壞或止步于蘋果?/
在 360 的 2012 年年會上,360 董事長周鴻?對員工指出:“我認為未來兩年將決定整個無線互聯網的市場格局……在過去的一年,360 手機衛士用戶量突破 2 億,360 手機助手的用戶量也突破了 1 億,成為 360 在無線互聯網上的兩個支柱。但兩根柱子支撐不了一個房子,我希望各個團隊在 2013 年會有新的產品能夠脫穎而出,包括很多 PC 的產品也可以尋找在無線上的發展機會。很簡單,未來不會再有無線互聯網公司了,因為每個公司都必須是基于無線互聯網的;也不會有 PC 產品部、無線產品部的區分,因為以后所有產品都會在 PC 和移動終端上打通,而沒有無線互聯網策略和產品的公司將會被淘汰。”
這段講話基本上代表了 360 近期在移動端發展與布局的方向。
在移動端,360 是否會重復使用“癌性擴張”的方式來圈地呢?
《每日經濟新聞》記者在調查中發現,無論是微博還是公開的論壇,皆有不少用戶曝光了 360 的一些“作惡”行為,大多包括以下內容:在智能手機通過 USB 接入電腦充電或同步數據時,360 彈出手機助手的提示,不經意中安裝 360 的其他產品,甚至裝上 360 的產品之后,其他非 360 的應用會莫名其妙地“被卸載”。
這也意味著,在移動端的圈地運動中,360 依然在復制其 PC 領域的“癌式擴張”做法:除了做安全產品外,自身同時開發了全系列的手機軟件,然后重新演繹一遍其在 PC 端的玩法。
據《每日經濟新聞》記者掌握的一份來自某互聯網工程師的爆料,包括 360 手機衛士、360 手機通訊錄、360 手機瀏覽器等系列產品存在明文上傳用戶隱私數據。上述爆料人提供的證據指出,在機場、咖啡廳,手機用戶使用 WiFi 上網時,只要登錄 360 手機衛士及 360 手機通訊錄,或者進行云備份或云恢復,用戶名(手機號)、手機 IMEI 碼和密碼等高度敏感信息就會通過請求網址明文傳輸,有了這些身份鑒別信息,可以使用任何瀏覽器從 360 通訊錄服務器 tongxunlu.# 的非安全通道直接下載用戶云備份的通訊錄等隱私。
這也意味著第三方可以輕松竊取 360 用戶登錄各個網站的密碼 MD5 信息和手機號,進而可以獲取用戶包括短信、彩信、通訊錄、通訊記錄等所有相關隱私數據,而且還可以篡改并進行釣魚。
對此,獨立調查員進行了相應復檢,發現含高度敏感信息的請求網址的參數部分,僅以 BASE64 編碼(可簡單解碼,與明文無異),而用戶密碼雖然經過 MD5 加密、但是可直接用于登錄,且對客戶端合法性沒有任何校驗。獨立調查員向《每日經濟新聞》記者說,請求網址極易被非法攔截,在網址中明文夾帶傳輸高度敏感 信息,以及使用非安全通道下載用戶隱私數據,等于把手機用戶隱私暴露在陽光下。
這一現狀,與當年 360 安全衛士起家時如出一轍。
據《每日經濟新聞》記者所掌握的證據,國內有多家公司與個人,對 360 這方面的“不規距”行為進行了技術論證與法律取證。但這一切,似乎并不能動搖 360 在此領域的擴張。
不過目前,似乎有了一些改變。
1 月 25 日,iOS 平臺上,360 旗下 360 手機衛士、360 瀏覽器等一些應用突然被蘋果應用商店下架,一時在國內引起巨大反響。
360 產品被蘋果下架,這已不是第一次。2012 年 2 月 6 日,360 旗下包括 360 手機衛士、360 口信、360 瀏覽器 HD、360 電池醫生、360 安全備份、360 團購 HD 等系列產品均被蘋果應用商店下架。
隨后,有專業分析師就曾公開表示,通過研究 360 相關應用的代碼發現,至少 360 手機衛士和電池醫生兩款應用存在各種侵犯用戶隱私的行為,主要包括:非法讀取用戶 iPhone 上的應用信息、非法閱覽用戶的照片和音樂文件夾,而 iOS 版 360 手機衛士部分代碼還顯示,360 正在獲取系統進程資源信息,而上述行為均為蘋果應用商店嚴禁的違規行為。
而這一次下架的原因又是什么呢?
據 360 的官方說法,此次下架,與 360 手機衛士企業版測試時違反了蘋果相應規則有關——360 嘗試為中國境內企業用戶提供 “騷擾電話攔截”和“來電歸屬地顯示”等功能。
外界對此也猜測不一:第一,猜測認為,360 的多個應用涉嫌調用蘋果私有 API,以獲取更高權限,而蘋果明令禁止這一點;第二,涉嫌刷榜,影響在蘋果應用商店的排名;第三,360 多次使用企業證書對外發布公測版本;第四,多款應用涉嫌自建下載渠道,為用戶提供越獄版本。而 360 的這一切動作,都是對現行互聯網游戲規則的明顯侵犯。
IDF 互聯網情報威懾防御實驗室創始人萬濤對此認為,最大的可能是,360 在將其代替用戶直接進行操作的“非創新型破壞”,從底層數據向上延展,最終到達應用層時遭到蘋果的阻擊,比如蘋果嚴厲禁止調用私有 API,但 360 手機衛士企業版測試卻對外開放了私有 API 的下載鏈接。又如,蘋果對用戶隱私信息的保護非常嚴厲,而 360 在這方面觸及規則,這非常容易觸怒蘋果;
《每日經濟新聞》記者調查發現,去年 iOS 版 360 手機助手上線時,其產品分為手機客戶端版和 PC 客戶端版,其 PC 客戶端版可以直接繞過蘋果應用商店為用戶提供下載鏈接,這也意味著 360 利用用戶數量進行平臺化,蠶食蘋果市場收益。
業內專業人士管鵬則透露了另一個細節,前段時間傳“快用”與 360 合作,將快用的技術接入 360 手機瀏覽器中。“快用”有一項核心技術 “ipa2exe”,這一技術允許 iOS 開發者把自己的應用與快用的仿 iTunes 程序打包在一起,使用戶可以像下載普通的 PC 軟件一樣下載 iOS 應用, 并在 PC 上一鍵安裝進自己的蘋果設備——這已經和越獄市場沒有區別了,“或許,這也是 360 下架的重要原因”。
商業篇之二·V3 升級機制
360 制勝“秘籍”:神秘的 V3 升級機制
每經記者秦俑
據掌握 360 核心機密的一位 360 前員工披露,360 正在謀劃遞歸 DNS 的推出,而要大面積推廣遞歸 DNS,將走 360 特殊的通道:V3 升級機制通道。
這位前員工解釋說,DNS 是域名系統 (DomainNameSystem)的縮寫,是因特網的一項核心服務。簡單地說,人們一般記不住 IP 地址,但人們能夠記住域名,DNS 就是將人們能夠記住的域名轉化成機器使用的 IP 地址的服務。
DNS 又有授權 DNS 與遞歸 DNS 之分。授權 DNS,是指域名所有者(或其指定的管理者)指定的域名解析服務器,該服務器存儲該域名的原始 IP 設置,并提供查詢服務。而遞歸 DNS 則復雜些:為客戶機提供域名查詢的 DNS 服務器——如果該服務器本身不能解析客戶請求查詢的域名,則根據一定規則轉發查詢請求給其他服務器,直到獲得 IP 為止。360 要做遞歸 DNS,即是說:客戶機不要請求運營商或企業的 DNS 服務器解析了,都交給 360 的 DNS 服務器解析好了。
接下來的問題在于,在遞歸過程中,360 最終給的 IP 地址是否就是用戶請求的呢?為什么 360 就不會劫持 IP 地址呢?去年,獨立調查員就在微博上就此提出質疑。他的理由是:DNS 劫持現象嚴重,從小運營商到大運營商都在公開或私下干這種事。獨立調查員舉例說,如用戶提出百度搜索請求,但 360 遞歸 DNS 給的是 so.360.com 的 IP 地址,為什么不會呢?
《每日經濟新聞》記者掌握的進一步情況是:360 在技術上已完全做好了準備,至于推廣方式,目前還不能披露,但其核心手段就是“瞞天過海,暗度陳倉”。而整體實施,正是通過 360 的 V3 升級機制。
《每日經濟新聞》記者通過數月的調查,終于揭開了所謂的 V3 機制的神秘面紗。
任何一個公司的軟件,在下載時,都必須基于用戶的意愿。程序不能代替用戶自動下載軟件。即使是微軟的 Windows 軟件,其升級或上線時,也是在微軟公司的提示下,用戶同意后,方可升級或上線。
在這方面,用戶具有知情權、同意權。任何剝奪或變相剝奪用戶這兩個權利的下載,都是違法的。對一些特別清晰而簡單的下載或升級或優化,也可以通過“一鍵優化”或“一鍵修復”等來實施。
但 360 多年來并非依此執行。一方面,360 通過“一鍵優化”或“一鍵修復”,繞過用戶的一步步審核,要么將競爭對手的軟件給優化掉,要么就是在下載中夾帶“私貨”,將其最想推廣的軟件悄悄直接代替用戶下載了。
另一方面,360 甚至不需要用戶的“一鍵優化”等,在暗中直接給用戶的電腦(或手機)下載其推廣的軟件。這也就是業內人最為痛恨的“靜默安裝”,“靜默升級”等。
據《每日經濟新聞》記者調查,一鍵優化,是通過 360 安全衛士,即通過客戶端執行;“靜默安裝”,則是直接通過云服務器發布指令執行的。而“V3 升級”即是 360 產品線最重要的捆綁安裝渠道。
V3 機制,最主要的推廣“母體”是 360 安全衛士與 360 瀏覽器,而這兩者間,又有分工與交叉,相互配合,其中的關系非常復雜。為遮人耳目,V3 通道并不是常規的路徑,而是在重要的“必須產品”推廣中才會實施。通過這一路徑,可以一下子將產品全面鋪開,實現最大的安裝量。而當 360 的主體產品擁有的用戶基數越來越高的時候,這樣的推廣作用也變得更有成效。
從關系示意圖(如圖)可以看到,V3 由 360 高層決策層下達指令,360 安全數據中心啟動,并通過后門機制,將指令性信息傳達給用戶電腦中安裝的 360 安全衛士,主要指令為產品推廣、刪除競爭對手產品、新配置數據等;360 安全衛士在用戶 Windows 系統中,直接執行安裝、更改、卸載;然后, 通過后門機制,將信息反饋給 360 云安全數據中心,該中心再將信息收集、匯總統計后,上傳給決策層。
在 360,除產品、技術之外的員工,對 V3 機制知之甚少。即使是核心員工,也并非知道其中的全部路徑。而要申請使用這一通道,更是需要非常復雜的申請手續,甚至據稱,最終的拍板決定權,也僅在周 鴻?一人手中。即使在總裁齊向東已批準同意的情況下,最終仍需經過周鴻?的批準。
業內一位著名互聯網專家稱,“多年來,360 幾乎就是戰無不勝,其中,人們過多地放大了 360 產品的能力,以及 360 的流氓特性能力。V3 才是 360 戰無不勝的法寶。如果工信部要管,就把 360 的 V3 升級禁止了,360 就立刻死定了。”
商業篇之三·用戶自衛
360 產品頻遭卸載令背后:個人隱私自衛意識在覺醒
每經記者秦俑
《每日經濟新聞》記者通過調查發現,360 相關產品被蘋果下架事件,絕非偶然,背后既有特殊的原因,也有必然的結果,更有不斷成為常態的趨勢。
有越來越多的人意識到,粗暴侵犯用戶權益,粗暴破壞行業規則,損害企業基本權益,會給整個行業帶來“生,還是死”的危害。而這兩個粗暴的“癌性基因”之變的核心,就是違背了全球公認的互聯網江湖的基本準則。
長此以往,“創新型破壞”這一癌變會益發嚴重,最終,中國互聯網會因此死亡。這才是最可怕的。
來自官方的“SayNo”
其實,最早對 360 說“NO”的是人民法院,在 360 歷時八年的發展過程中,與企業間有八場民事訴訟,法院給予的回答是:“八連敗!”在法律上,360 的行為被嚴厲拒絕。
最近以來,政府相關部門也對 360 接連亮起“黃牌”:國家版權局在去年 12 月 28 日首次表態,稱 360 搜索要抓取百度內容需要獲得百度授權,提供百度網頁快照不適用“避風港原則”,要求 360 進行整改,將視 360 的整改情況再采取進一步的管理措施。
根據《每日經濟新聞》記者了解,介入 360 安全問題管理的政府部門范圍還將進一步擴大。據知情人士透露,國家版權局近期將在其行政處罰會議上責令 360 停止侵權,并進行整改。
1 月 24 日,北京市工商局對外發布消息:北京市工商局、北京市工商局西城分局共同約見了北京奇虎科技有限公司(以下簡稱奇虎公司)負責人,對其利用“360 安全衛士”在瀏覽器領域實施不正當競爭行為予以行政告誡。
1 月 30 日,國家工商行政管理總局在其官方網站首次披露了對 360 給予行政告誡的具體原因:奇虎 360 利用壟斷市場優勢,通過不兼容、難卸載等方式阻止網民安裝其他軟件;還用推薦誘導、默認同步安裝甚至偽裝成微軟官方補丁等方式,將其旗下的 360 瀏覽器、360 網址導航等產品強行安裝至網民電腦中,通過默認設置、強制升級等方式修改用戶瀏覽器和主頁設置。
拒絕“360 瀏覽器”:一場“斯大林格勒保衛戰”/
2 月 17 日晚間,百度通過官方特服對所有的鳳巢客戶發了一條短信:“為保障客戶的賬號與資金安全,基于試運行的良好效果,百度安全控件將于 18 日起正式推廣使用。”這意味著,百度“鳳巢”系統自 18 日開始,將在百度客戶體系中,直接、全面封殺 360 瀏覽器。
此事還需回溯至今年 1 月 28 日,當時百度鳳巢開始試運行封殺 360 瀏覽器,遭到 360 強烈反擊,但百度認為,“‘鳳巢’系統安全升級后提示用戶棄用 360 瀏覽器,是因為之前多次接到過客戶反映,使用 360 瀏覽器時會出現數據及信息丟失的情況”,即表示 360 瀏覽器不安全。
業內專家認為,瀏覽器是網站的運行環境,基于兼容性、用戶體驗或安全性等因素,網站并無義務保證或允許用戶使用所有瀏覽器,用戶需遵守網站的有 關使用規定(包括但不限于瀏覽器種類、操作系統平臺、顯示器分辨率等限制),“正如某些網上銀行系統不支持 FireFox 一樣,FireFox 產品提供者無權指責銀行。”
在百度宣布打擊正式實施的前一天,有“黑客教父”之稱的安全技術專家萬濤評論說:“從企業權益上來說,百度對于一個相對的內部業務系統限定瀏覽 器并沒有特別大的問題,正如銀行網銀大多只支持 IE 瀏覽器一樣。這是度娘的‘斯大林格勒’保衛戰!也說明雙方的博弈從普通網友延伸到了百萬站長社群。”
據來自百度內部的絕密消息:“這僅是一個開始,百度將會有更嚴厲的手段。”而另一位百度高層更是向《每日經濟新聞》記者透露,百度未來的主要戰略為一靜一動,動靜結合,以靜制動。具體的策略則不便對外透露。
“從整體上說,360 會陷入一場持久而消耗性的戰爭。”互聯網知名評論家管鵬認為,“這場戰爭最重要的意義在于,從 360 誕生以來的所有戰爭, 都是 360 主動性進攻,且結果都是以被進攻者被動或失敗而告終。而鳳巢的反擊,則是被攻擊者的有序、主動性的反擊。其意義特別深遠。”
作為自主行為,企業直接拒絕 360 的聲音,已越來越多。網易是其中一家引起較大反響的公司,該公司去年內部要求禁用 360 產品;同樣在去年的 12 月 6 日,中國最大鋼鐵巨頭寶鋼警告:12 萬員工必須卸載 360。此前亦有媒體報道稱,招商銀行總行大廈系統管理員在 2010 年 12 月 9 日就通過內部郵件的形式要求各部門卸載 360 安全衛士以及系列軟件。
另一件值得關注的,是被披露的 360 瀏覽器偷賺網購傭金事件。
據媒體披露,其主要方式是用戶在 360 瀏覽器中購買商品時,即便不是從淘寶客的鏈接點擊進入,也可能產生傭金并流入一些 ID 的口袋中,這些 ID 號均指向了“上海奇泰”淘寶客。
360 上市時的招股說明書顯示,“上海奇泰網絡科技有限公司”與奇虎 360 公司存在關聯關系,奇泰還與 360 的 100% 控股公司奇智軟件 (北京)有限公司存在著合約協議關系。
事實上,劫持淘寶客傭金一事,并不是外界首次對 360 非法獲取收入提出質疑,金山網絡 CEO 傅盛就曾在微博爆料,直指 360 財報中 10 億收入來自電商,其實是用戶通過 360 瀏覽器購買 100 元商品抽成 10 元。
堂吉訶德:那些走在最前端的程序“猿”們/
對許多黑客的采訪,不能亮出他們的身份,而網絡上公開的“獨立調查員”,其實只見其人,不知其真名。他不想公開自己的身份影響平靜生活,只想做一些正確的事情。
《每日經濟新聞》記者約其采訪,幾乎周旋了一個月;為確定采訪地點,周旋了兩天。第一次采訪,訪談了 6 個小時。而后來的工作中,最辛苦的是連續 4 天 4 夜,獨立調查員加起來只睡了大約 12 個小時。
從整個調查來看,“獨立調查員”是典型的程序員思維,比較“軸”,一根筋。但思維極其敏捷。
為什么要花這么長時間研究 360?為什么對 360 有如此深厚的“隔閡”。《每日經濟新聞》記者的提問,拋給了許多堂吉訶德式的程序“猿”們。
他們的回答,卻是驚人地一致:360 的“兩個粗暴”,是中國互聯網的“毒瘤”,不除“毒瘤”,中國互聯網必死。而這個“除”,并非就是消滅 360,而是希望 360 能夠“立地成佛”。
雖然,他們知道,他們的努力,就是堂吉訶德式的,但必須有人去做。
1 月 13 日,獨立調查員發出微博,“360 瀏覽器識別方法與程序設計”。
由于害怕對手封殺,360 的瀏覽器產品都刪除了身份標識(UserAgent),一直冒充其內核對應的瀏覽器 (InternetExplorer 或 Chrome)。同時,360 瀏覽器卻向特定網站提供準確的身份標識信息,包括 CNZZ (瀏覽器使用統計)、HTML5Test (HTML5 兼容性評分) 等網站,其他網站使用常規方法都無法準確識別。
發現這一秘密后,他經過研究,找到了破解的方法,做了一個 JS 網頁腳本程序,并將代碼在網上公開分享。據不完全統計,到 2 月 22 日,已有近 1000 個網站在使用這個程序。“其中,有相當一部分是淘寶客網站”。
值得關注的,還有萬濤,其創立的 IDF 實驗室,在多個地方就以安全的反復實驗數據,論證了獨立調查員的多項調查結果;人大計算機系主任石文昌公開以專家的身份證明獨立調查員的一些重要的調查結 果;北大電子政務研究院副院長楊明剛(網名“楊明剛 PKU”)也公開支持獨立調查員。更有一大批網民直接出面聲援獨立調查員。
另一位程序“猿”為瞬雨,其寫過許多解剖 360 的文字,成為這一領域的前行者。
最終結果會怎樣?獨立調查員淡然一笑:念念不忘,必有回響。
相關鏈接
尋找已模糊了的良心
——兩位神秘人物的對話節選(因可以理解的原因,以A、B為代號):
A:你知道你的電腦里有一根來自 360 的泄污管嗎?V3 通道!
B:不知道這事。
A:什么叫強奸?違背意志,強行插入,并且排射污物!這就是 360 的一貫行為。
B:“泄污管”有具體所指嗎?
A:我就是指這個 V3 升級模塊。說來話長,最早這個 V3 升級代碼還是從外面買來的,分為服務器端,客戶端兩部分。
B:大概估得到,但沒具體研究。
A:360 一般程序員都沒有 V3 代碼的可讀權限,出了問題不能用查代碼的方式解決,只能 HOOK 自己的程序跟蹤。NB 吧,對自己人都防守得如此嚴密。
B:心想反正他們流氓推廣不是一兩樁。
A:這個代碼只有衛士的人有。
B:還能這樣?公司內部還玩黑匣子啊。
A:是啊,你就可想而知,這個代碼對 360 有多重要了。而且,V3 升級這個 360 內部的名詞一旦被曝光出來,將極大地震撼 360 的內部員工。
B:內部就叫“V3 升級”?
A:是的,內部就叫 V3 升級模塊。比如,說這個版本通過 V3 下去。對付這個流氓公司,需要有無數無名英雄的付出,也需要有沖鋒陷陣的先鋒。
B:你、我,都是無名戰士。說白了就是替天行道。
A:是啊,我覺得中國社會,怎么就沒有俠客了呢。以前對付貪官惡霸,多少俠義之士出手啊。一個人的能力都是微小的,但能結成聯盟,取長補短,那就會威力大增。
B:我們一做什么,就會有人說,是收了什么好處……
A:我們是收了好處,就是收到了自己的良心。這是天大的好處。沒有良心的人,我看就是鬼。
B:Y。