前日(2月25日),正是奇虎360所有APP產(chǎn)品被蘋果全面下架一個月的日子。
就在此前,360的CFO親赴美國“負荊請罪”,但360相關(guān)產(chǎn)品并未重新上架。
知情人士向記者透露,國家版權(quán)局內(nèi)部已討論確定,360搜索引擎嚴重違反Robots國際規(guī)則,目前正在擬定相關(guān)處罰決定,近期將在行政處罰會議上責令360停止侵權(quán),進行整改。
據(jù)悉,有“兩會”代表委員正在草擬嚴懲不正當惡性競爭破壞產(chǎn)業(yè),以及“3·15”應(yīng)該將隱私保護列入重點的議案提案。
《信息方略》的一份調(diào)研結(jié)果顯示,回答“拒絕安裝360”的企業(yè)比例高達60%。
一家以聲稱安全起家的互聯(lián)網(wǎng)公司,正面臨“不安全”的聲討……
360到底怎么了?這是一家什么樣的企業(yè)?帶著這樣的疑問,《每日經(jīng)濟新聞》記者經(jīng)過數(shù)月調(diào)查,并在微博名人“獨立調(diào)查員”等一批程序“猿”的幫助下,揭開了360的層層內(nèi)幕。
360創(chuàng)始人周鴻祎一直對外宣稱,360成功的秘訣是 “破壞性創(chuàng)新”。但記者調(diào)查發(fā)現(xiàn),360的成功,更重要的是在于其“創(chuàng)新型破壞”:破壞才是目標。通過破壞,打破既有規(guī)則,從中獲得市場與利益。
而這一破壞的基礎(chǔ),便是對互聯(lián)網(wǎng)世界最基本的準則——最小特權(quán)原則的踐踏。
為全面還原360的真實面目,“獨立調(diào)查員”們以超人的技術(shù)能力與艱辛的勞動,剝繭抽絲般一層層揭開,將其內(nèi)部機制破解成功。
360發(fā)家于 “360安全衛(wèi)士”、“360安全瀏覽器”,而這兩款產(chǎn)品甫一面世,便攜帶了這家公司的癌性基因:以違反“最小特權(quán)原則”為基石而構(gòu)建。
《每日經(jīng)濟新聞》記者第一次查清,360是如何在其龐大的以安全著稱的“安全衛(wèi)士”、“安全瀏覽器”軟件中,植入非法程序,并通過該非法程序中的“后門機制”與360云端配合,形成全球獨一無二的秘密內(nèi)部機制。
最令人驚詫的,是即使在360內(nèi)部也屬高度機密的 “V3升級機制”。當360要發(fā)動一場討伐競品的戰(zhàn)爭時,其便啟動“V3機制”——通過“安全衛(wèi)士”、“安全瀏覽器”,在用戶電腦中私自卸載競爭對手的產(chǎn)品,私自安裝自己要推廣的產(chǎn)品,從而以最便捷的方式一舉占領(lǐng)市場,這就是360常勝不衰的真正秘訣。
在這場看不見的戰(zhàn)爭中,360表現(xiàn)出兩個粗暴:粗暴侵犯網(wǎng)民的合法權(quán)益(隱私權(quán)、知情權(quán)、同意權(quán))、粗暴侵犯同行的基本權(quán)益,肆無忌憚地破壞行業(yè)規(guī)則,從而實現(xiàn)其“一枝黃花”式的瘋狂成長。
360現(xiàn)象,不僅對行業(yè)有巨大的破壞性,對互聯(lián)網(wǎng)秩序產(chǎn)生嚴重的破壞力,更是對整個社會產(chǎn)生“癌性浸潤”。
這種“癌性浸潤”,讓原本的市場競爭轉(zhuǎn)向了底層控制力的交戰(zhàn)。《每日經(jīng)濟新聞》記者獲悉,百度即將砸重金投向安全領(lǐng)域,最快將于今年上半年正式推出,這與經(jīng)歷“3Q大戰(zhàn)”的騰訊進駐安全領(lǐng)域如出一轍。
更為可悲的是,為了防御360的“癌性浸潤”,從底層控制到應(yīng)用層幾大巨頭均涉足其中,這樣帶來的直接后果就是,未來中國互聯(lián)網(wǎng)將變成一個騰訊、百度、阿里、360“四國頂立”的擎天柱式體系。而這將讓一個個豐滿、豐富的熱帶雨林式生態(tài)環(huán)境變成巨無霸們?yōu)樯娑`涂炭的地方。
360會“立地成佛”么?這或許會是一場持久戰(zhàn)……
調(diào)查員獨白:我為什么反360?
我先講一個故事吧。
在現(xiàn)實生活中,我們都知道一個最簡單的常識:小區(qū)的保安公司都是必須向業(yè)主收取服務(wù)費的。但是,某年某城市的一個小區(qū),來了一個K保安公司,宣布他們將為小區(qū)提供免費服務(wù)。經(jīng)過幾輪波折,最終K保安公司實現(xiàn)接管小區(qū)保安業(yè)務(wù)。
K公司入駐后,當然全部換上K保安人員,并迅速換上K公司特產(chǎn)的小區(qū)監(jiān)控系統(tǒng)——在小區(qū)的每一個視角都安裝了監(jiān)視體系。業(yè)主們覺得,這真是天下難找的大好事啊,居然能夠免費獲得最好的安全保衛(wèi)。
不久,K公司出于安全考慮,將物業(yè)公司辭了,換上K安全物業(yè)公司;再接著,小區(qū)園林服務(wù)公司也換成K安全園林公司;再接著,業(yè)主所有私家車都裝上了K安全GPS導(dǎo)航;再接著,K安全物流、K安全農(nóng)貿(mào)、K安全服飾、K安全電視、K安全電腦、K安全冰箱與熱水器、K安全門控與門鎖……小區(qū)業(yè)主的所有一切都被換上了K安全的標志。
K安全公司能將業(yè)主的這一切統(tǒng)統(tǒng)換掉,只有一個原因:那就是,這一切“安全”方面的服務(wù),都是免費的。
但有一天,B業(yè)主夫婦在家中行房事時,黑暗中發(fā)現(xiàn)家中有異樣,打開燈一看,一個保安正在床前監(jiān)控著這對夫婦的云雨過程。這對夫婦羞憤難當:你是怎么進來的?
保安說:我有鑰匙,出于對你們性生活安全的考慮,我有權(quán)保護你們。
B業(yè)主夫婦找來安全方面的專家,來保護自己的安全隱私,結(jié)果卻發(fā)現(xiàn),保安不僅在夫婦行房事時可以進來“免費觀賞”,他們在任何時候都可以自由進出業(yè)主的房間;他們不僅在小區(qū)的任何公共空間安裝了監(jiān)控系統(tǒng),同時在業(yè)主室內(nèi)的任何一個視角,都秘密安裝了監(jiān)控器。
這對夫婦決定召集全小區(qū)業(yè)主反對K保安公司的所有侵犯行為。
但讓小區(qū)所有業(yè)主異常驚訝的是:就在開庭前一天,網(wǎng)絡(luò)上突然出現(xiàn)大量B業(yè)主夫婦的信息,比如,B業(yè)主女臀部有三顆痣的圖片在網(wǎng)絡(luò)上大量流傳;B業(yè)主夫婦的工資單被曬;B業(yè)主男與前女友10年的情書來往從其前女友的電腦中被挖出來。
B業(yè)主夫婦頓時陷入網(wǎng)絡(luò)漩渦
……
在中國互聯(lián)網(wǎng)領(lǐng)域,360所充當?shù)模褪沁@個K保安公司。
在中國,為什么360能夠獲得如此重要的市場地位,除了用戶在隱私權(quán)、知情權(quán)、網(wǎng)絡(luò)自主權(quán)方面的意識不強外,最大的問題還是中國網(wǎng)民對互聯(lián)網(wǎng)來說還是“小白”,他們沒有辦法看清360干了什么,也沒有辦法辨清什么是可行的,什么是不可行的;也不清楚360的一些行為在今天意味著什么,在明天又將意味著什么。
我腦海中,一直在重復(fù)卡夫卡小說《城堡》中的場景,你不知為什么,你也不知是怎么了,然后,你就任人宰割了。
森白的月光下,那把霍霍磨著的長刀……
——來自獨立調(diào)查員的自白#p#副標題#e#
技術(shù)篇
360:互聯(lián)網(wǎng)的癌細胞
深圳,紅樹林,旁邊就是深圳灣公園,有蜿蜒的海堤風景帶;海的那端是云霧間的山巒以及錯落的建筑,那是香港特別行政區(qū)。
經(jīng)過前期網(wǎng)上100多天艱苦的技術(shù)交流后,《每日經(jīng)濟新聞》記者終于約到了“獨立調(diào)查員”。這是我們之間的第二次見面。這一次,我們相約只做一件事情:將360(奇虎360科技有限公司,本文簡稱為360)在幕后所做的一些難以見光的行為,在網(wǎng)上重新演繹一遍。
這一過程漫長而復(fù)雜。幾天幾夜里,獨立調(diào)查員展開的網(wǎng)絡(luò)實證讓人觸目驚心,許多動態(tài)的過程無法通過平面文字呈現(xiàn)。事實上,獨立調(diào)查員曾經(jīng)在網(wǎng)上披露的內(nèi)容,絕大多數(shù)網(wǎng)民也不可能看懂。
2012年10月,一個署名“獨立調(diào)查員”的微博開始向360發(fā)難,時至今日,《每日經(jīng)濟新聞》記者已跟蹤此人整整3個月:初始時基本上通過網(wǎng)絡(luò)實現(xiàn)溝通,漸漸地,有了電話中的直接交流。
在思維碰撞中,記者發(fā)現(xiàn),“獨立調(diào)查員”對360的反感是深切的;他對360的研究也是深刻的。令《每日經(jīng)濟新聞》記者萬分好奇而且不解的是:他的動力來自何方?
“如果你得了癌癥,你的第一反應(yīng)是什么?”獨立調(diào)查員反問道,“那一定得趕快把它切除掉!而360正是網(wǎng)絡(luò)社會的毒瘤。此瘤不除,不僅中國互聯(lián)網(wǎng)社會永無安寧之日,整個中國都永無安寧之日。”
獨立調(diào)查員分析說,不要小看了蘋果對360產(chǎn)品下架一事,這種下架的期限極有可能是“永久性”。為什么一個在中國能夠獲得如此巨大影響力的公司,會在一家全球性大公司處遭遇截然相反的待遇?“這只能說明眼下的互聯(lián)網(wǎng)空間沒有能力排除自身的毒瘤。而蘋果下架360,背后正體現(xiàn)出對腫瘤的自體免疫排斥性,這是一個網(wǎng)絡(luò)社會健康的標志。”
獨立調(diào)查員認為,他作為一名程序員,就是要從技術(shù)層面來理清360這個“DNA”的基因突變。“這個突變的基因,就是360安全衛(wèi)士或360安全瀏覽器,一切都會發(fā)生改變。”
互聯(lián)網(wǎng)其實與人體一樣,本身具備著抗癌的免疫力。一旦發(fā)現(xiàn)癌細胞,自身會啟動自動識別與排斥機制,比如“最小特權(quán)原則”就是互聯(lián)網(wǎng)江湖防止自身“癌變”的免疫機制。
所 謂 最 小 特 權(quán) (LeastPrivilege),指的是“在完成某種操作時所賦予網(wǎng)絡(luò)中每個主體 (用戶或進程)必不可少的特權(quán)”;最小特權(quán)原則,則是指“應(yīng)限定網(wǎng)絡(luò)中每個主體所必須的最小特權(quán),確保可能的事故、錯誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小”。
這一特權(quán)最通俗的說法就是:你不要代替用戶行使權(quán)力,你的特權(quán)越小越少越好。這樣,才是對用戶最大的保護。能不作為處,不作為。
“而奇虎360的‘基因變異’正體現(xiàn)在此處,表現(xiàn)為 ‘奇虎360原則’——以安全的名義,在用戶知情或不知情的情況下,直接代表網(wǎng)民行使權(quán)益。”獨立調(diào)查員說,“其實,最小特權(quán)原則非常簡單。比如一個電話檢查員,為了檢查你家的電話是否正常好使,便在主人不在家時,直接打開你家的門,試用了一下電話;或者說,因為你家的狗在叫,物業(yè)打開你家的門,直接將狗殺了。這都是違反了最小特權(quán)原則。而360最大的問題就是以安全的名義,踐踏了這一原則。”
360是如何通過環(huán)環(huán)相扣的程序設(shè)計,就像本文開頭部分的K保安公司監(jiān)控業(yè)主夫婦房事一樣,或就像電話檢查員徑直打開主人房門查線一樣,或就像物業(yè)工作人員直接打開業(yè)主房門進去把主人的狗殺掉一樣,在用戶的電腦里橫沖直闖、恣意妄為?本文將為讀者揭開360相關(guān)產(chǎn)品背后的層層暗箱操作鏈條。
技術(shù)篇之一·黑匣子
360產(chǎn)品內(nèi)藏黑匣子:工蜂般盜取個人隱私信息
這是一件真實的事情:多年前,業(yè)內(nèi)一家知名IT公司一個產(chǎn)品將上線,但蹊蹺的是,該產(chǎn)品上線前一天,360的同類產(chǎn)品突然上線。而且,360上線產(chǎn)品的頁面與該公司準備上線的版本幾乎一模一樣。這家IT公司的此款產(chǎn)品不上線已不可能,而改版也已不可能。被逼無奈之下,該產(chǎn)品只能硬著頭皮上線。讓這家IT公司哭笑不得的是,由于此款產(chǎn)品上線時間比360同類產(chǎn)品晚一天,所以用戶普遍認為,該公司的產(chǎn)品抄襲了360產(chǎn)品。
此類詭異怪事,在業(yè)內(nèi)已不止一次發(fā)生。
誰是泄密者?上述IT公司最終未能找到“臥底”,不過開始將質(zhì)疑對象聚焦在360產(chǎn)品身上。因為實查結(jié)果發(fā)現(xiàn),該公司不少員工電腦上安裝了360相關(guān)產(chǎn)品。
出于安全考慮,該公司要求所有員工的工作電腦中不得安裝360產(chǎn)品。與此同時,公司內(nèi)網(wǎng)環(huán)境中,全面禁止360產(chǎn)品。從此,確實沒有再發(fā)生過類似的泄密情況。
據(jù)《每日經(jīng)濟新聞》記者了解,國內(nèi)最早全面禁用360產(chǎn)品的企業(yè)為騰訊、百度、金山等一批公司。在這些公司的辦公環(huán)境中,完全屏蔽360產(chǎn)品,如確因公司研究性工作需要,才可以安裝虛擬機使用360產(chǎn)品。
國內(nèi)幾家互聯(lián)網(wǎng)巨頭公司,均以安全為由禁止使用一家以互聯(lián)網(wǎng)安全著稱的公司的相關(guān)產(chǎn)品,這在中國IT界構(gòu)成了一道未解的謎團。
大型公司尚且對360產(chǎn)品避之不及,對于普通用戶來說,使用360相關(guān)“安全”產(chǎn)品,安全嗎?
在中國有“黑客教父”之稱的安全技術(shù)專家“黑客老鷹”,即IDF互聯(lián)網(wǎng)情報威懾防御實驗室創(chuàng)始人萬濤認為,從隱私保護和用戶權(quán)益的角度講,360產(chǎn)品確實存在需要澄清的地方。但中國用戶目前在隱私保護方面的意識并不強,這是一個比較普遍的現(xiàn)象。因為對許多用戶來說,“我上網(wǎng)就是看看新聞,玩玩游戲,我沒有隱私”。這一觀點非常流行。
萬濤表示,而在另一方面,多年來盡管民間在破獲360侵犯隱私等方面做了許多努力,并查獲了許多證據(jù),但360在這方面的“反應(yīng)”也非常“嚴密”。此外,獲得的一些突破性證據(jù)因為過于專業(yè),也不易讓普通用戶看懂,因此也就缺乏相應(yīng)的感知。#p#副標題#e#
黑客揭秘:360安全產(chǎn)品背后的“安全”陷阱/
在深圳紅樹林,獨立調(diào)查員為《每日經(jīng)濟新聞》記者進行了現(xiàn)場演示。他特意在自己的電腦上安裝了360安全瀏覽器,并打開網(wǎng)絡(luò)通信監(jiān)視工具,這時可以看到,360安全瀏覽器在其電腦后臺上就像一只工蜂,始終不停地忙碌著。
然后,獨立調(diào)查員又打開IE、騰訊、獵豹、chrome等瀏覽器,每一個瀏覽器都很安靜,沒有任何動作。
“360安全瀏覽器在干嘛呢?誰也不知道。為什么要這樣忙碌呢?作為瀏覽器,其作用就是可以顯示網(wǎng)頁服務(wù)器或者文件系統(tǒng)的HTML文件內(nèi)容,并讓用戶與這些文件交互的一種軟件。根據(jù)最小特權(quán)原則,你是沒有理由在我的電腦里不停地‘工作’。你要問他在做什么,他就說,是為了你的安全。”
“明明知道360在做不應(yīng)該發(fā)生的事情,但不知道發(fā)生的是什么事情。這就是360留給中國所有安全專業(yè)人員最大的課題。”獨立調(diào)查員解釋說,這是因為360在這方面做了非常縝密的設(shè)計,其防御體系相當嚴密,要突破防線有所收獲,是件非常困難的事情。
而這,也正是許多從事安全的專家們感興趣的事情。
2010年2月6日,360多年的宿敵——瑞星拿出了一份 “證據(jù)”,其發(fā)布的《奇虎360利用“后門”拿走了用戶什么》一文,利用大量技術(shù)細節(jié)說明360安全衛(wèi)士在安裝進用戶電腦時,會偷偷開設(shè)后門,并時刻監(jiān)視用戶訪問網(wǎng)站,將相關(guān)信息上傳至360網(wǎng)站。
此事標志著360第一次露出“不安全”的真面目,從此一發(fā)而不可收拾。
據(jù)《每日經(jīng)濟新聞》記者調(diào)查,國內(nèi)有一大批黑客對破獲360的防線,以及搞明白360這個黑匣子內(nèi)到底有什么非常感興趣,想通過攻擊360而獲得其侵犯用戶隱私信息的證據(jù)。他們之間甚至有一個松散型的組織,經(jīng)常交換這方面的信息。但與此同時,也有些黑客最終被360“招安”,成為其公司成員。
2010年12月31日,在黑客狂轟濫炸360服務(wù)器后,360防線被攻破,存儲于其服務(wù)器上的大量用戶隱私數(shù)據(jù)噴涌而出,被谷歌搜索爬蟲自動抓取,并公告天下。360多年來宣稱的 “用戶隱私大于天”的謊言正式被揭穿。
上圖為某網(wǎng)民通過360safe.com泄露的數(shù)據(jù)登錄某政府機關(guān)的內(nèi)部郵箱
這份意外泄露的文件詳細記錄了大量360用戶的全網(wǎng)訪問過程,包括瀏覽的網(wǎng)頁、下載過的應(yīng)用、搜索的關(guān)鍵字等,并將這些訪問記錄與唯一用戶掛鉤。在這個服務(wù)器中,每個用戶對應(yīng)一個字符串,通過查詢字符串,可以了解用戶的所有個人信息、上網(wǎng)瀏覽記錄、賬號密碼,例如用戶在百度搜索關(guān)鍵字、淘寶購物記錄、金蝶、奇瑞等企業(yè)內(nèi)部財務(wù)網(wǎng)絡(luò)數(shù)據(jù)、某政府機構(gòu)官方郵箱用戶名及密碼等鏈接數(shù)據(jù)。
《每日經(jīng)濟新聞》獲得的一份對泄露日志文件分析統(tǒng)計的結(jié)果顯示,此次泄密事件涉及總條數(shù)141萬條,其中涉及用戶名信息的條目有247326個,既包含用戶名又包含密碼條目有816個。而這對于360收集的海量數(shù)據(jù)來說只是冰山一角,截至目前為止,360從沒有公開解釋被泄露的數(shù)據(jù)總量有多少,被下載了多少次。
然而,有關(guān)360如何“利用”用戶的信任,如《全民公敵》影片中的衛(wèi)星一樣“間諜”式地監(jiān)控著用戶的電腦,這個謎團卻依然沒有辦法破解,至今沒有一家安全廠商拿出這個過程的有力證據(jù)。
獨立調(diào)查員告訴記者,360安全衛(wèi)士、360安全瀏覽器,其內(nèi)部運作流程就像一個暗箱,外部人可以聽到里面有動作,但卻沒有辦法知道里面發(fā)生了什么,以及它如何阻止外部人破解它。
而獨立調(diào)查員卻偏執(zhí)地選擇了這條破解之路。他先制作了一張簡單的圖表,以揭示360拳頭產(chǎn)品360安全衛(wèi)士內(nèi)部的操作模型(如圖)。
從這個圖中可以看出,360安全衛(wèi)士對用戶在電腦上進行軟件操作、文檔操作等所有操作舉動均秘密進行監(jiān)視、記錄,然后進行壓縮后上傳至云端服務(wù)器;過去,上傳的過程為明文上傳,這對用戶的隱私帶來非常嚴重的威脅,在經(jīng)歷過幾次大的泄密事件后,目前上傳文件已經(jīng)加密。
文件上傳到360云端存儲后,文件會立即在本地被刪除,這招防御術(shù)非常兇狠,即使有人破解其行為,并獲得文件證據(jù),但因為隨時的刪除,很難將證據(jù)做實,變成死無對證的孤證。
用戶電腦中的360安全衛(wèi)士這一套運行機制都是事先預(yù)設(shè)好的,可以獨立操作完成;但實際上,360云端(360安全數(shù)據(jù)中心)對用戶客戶端的360安全衛(wèi)士具備直接控制能力。360云端不僅可以下達專門的指令(后文還將詳述),同時一旦360安全衛(wèi)士發(fā)現(xiàn)有人在監(jiān)視其通信操作等,會發(fā)出安全警告以阻止繼續(xù)操作并限時自行禁止。這也給破獲工作帶來相當程度的干擾。
據(jù)一名多年研究360產(chǎn)品的黑客告訴《每日經(jīng)濟新聞》記者,“設(shè)置如此高難度障礙的人一定是行業(yè)的高手。可以斷定,360內(nèi)部一定有國內(nèi)頂尖級的黑客高手。他們才有可能做到既做暗事,又不留任何把柄。這就像是一個江洋大盜,來無影,去無蹤,飄忽不定,作案后現(xiàn)場不留任何痕跡,實在是高精尖的設(shè)計。”
這名黑客發(fā)現(xiàn),360安全衛(wèi)士的暗箱操作行蹤越來越?jīng)]有規(guī)律可循,換句話說,其運作規(guī)律經(jīng)過精心策劃,非常不容易被外界掌握。同時,其獲取信息的區(qū)域半徑越來越由中心城市向二、三、四線城市延伸。這樣的話,要想抓到證據(jù)就更為艱難。“中國擁有30多個省級行政區(qū),336個二級行政區(qū),還不包括數(shù)以千計的三級、四級行政區(qū),這就相當于360安全衛(wèi)士在中國網(wǎng)民的生活中布下了天羅地網(wǎng)。”
據(jù)《每日經(jīng)濟新聞》記者調(diào)查發(fā)現(xiàn),國內(nèi)不止一家公司準備投入大量人力來破獲360的違法行為,但最終都偃旗息鼓。原因就在于,360收集用戶信息的行為 “就像空中劃過的彗星,茫茫夜空,布下天羅地網(wǎng),時刻守候,才有可能有所斬獲,這樣的投入產(chǎn)出比太低了”。#p#副標題#e#
黑匣子現(xiàn)身:對用戶個人信息涉嫌暗箱操作/
“破解360安全衛(wèi)士的非法操作,是一件很好玩的貓捉老鼠的事情。”上述黑客向《每日經(jīng)濟新聞》記者感嘆說,360安全衛(wèi)士的技術(shù)架構(gòu)非常復(fù)雜,組件有很多程序,軟件包有幾十個可執(zhí)行的程序,還有擴展庫。如果要查清楚是否侵犯用戶隱私,則需要對每個程序進行分析,就像分析病毒一樣地分析每個文件,而這需要投入大量的時間和精力。
這名黑客給記者展示了許多“同行”間來往的郵件,此中展現(xiàn)出破解之后的喜悅,以及經(jīng)驗的交流。
而獨立調(diào)查員宣稱,他“已基本破解了360安全衛(wèi)士的謎局,但離發(fā)布還為時尚早”,因為他要做“鐵板釘釘?shù)氖虑?rdquo;。
在《每日經(jīng)濟新聞》記者保證不會將其操作思路披露的情況下,獨立調(diào)查員將其操作的核心步驟進行了詳盡的現(xiàn)場演示。在征得其允諾的情況下,記者可以告知的是:針對360的設(shè)置,進行反向操作,反向分析而破解。
到目前為止,已經(jīng)披露的最重要證據(jù)為獨立調(diào)查員于2012年12月6日在其微博上發(fā)布的一個視頻(http:/weibo.com/2902756801/z8BUvfWqe)。這份視頻詳盡地破解了360安全衛(wèi)士秘密獲取用戶信息的過程。
獨立調(diào)查員告訴記者,這份13分36秒的視頻以完整的手法記錄了破獲360竊取用戶隱私的證據(jù)。它證明了360在用戶電腦中收集、上傳用戶信息的“動作”,“猖狂到任何簡單的、常規(guī)的軟件操作行為都將被記錄,與安全問題完全無關(guān),而這些信息都在用戶個人隱私范疇”。
但據(jù)獨立調(diào)查員宣稱,這份視頻資料并非其采集、制作,“而是來自一名自稱是安全領(lǐng)域?qū)<业哪涿耸?rdquo;,他通過微博私信向獨立調(diào)查員爆料:自己已經(jīng)掌握了360安全衛(wèi)士7.3竊取用戶隱私并上傳到360服務(wù)器的司法證據(jù),現(xiàn)在可以無償將這段司法證據(jù)給他。
而關(guān)于這份證據(jù),獨立調(diào)查員認為,將是未來給360的“一顆小小的炸彈”,在法庭上是有力的呈堂證供。
據(jù)記者了解,去年11月28日,在易觀國際主辦的“易士堂”網(wǎng)絡(luò)安全論壇(第二季)論壇上,這份視頻資料也曾分享給包括國家信息中心、中國信息安全測評中心等安全業(yè)界人士;而最初制作這段視頻并進行司法公證的正是金山安全專家李鐵軍。不過李鐵軍否認自己就是給獨立調(diào)查員爆料的匿名人士。
據(jù)李鐵軍透露,2010年11月,卡飯安全論壇有人爆料稱“360安全衛(wèi)士7.3的某個版本會竊取用戶隱私上傳到360服務(wù)器”,爆料的內(nèi)容非常簡單,只提供了一個有趣的細節(jié)暗示:需要用戶在360loginfo目錄對刪除權(quán)限做一個修改才有可能捕捉到360的罪證,帖子不久就消失了。
李鐵軍首先嘗試重現(xiàn)帖子描述的問題,而不是對軟件進行逆向分析,經(jīng)過數(shù)月才完成了這一個證據(jù)的抓取。
“反反復(fù)復(fù)不知道試了多少回。”李鐵軍對《每日經(jīng)濟新聞》記者表示,憑借多年的經(jīng)驗,他終于找到了關(guān)鍵所在,比如有竊取隱私問題的360安全衛(wèi)士版本號為7.3.0.2003l,數(shù)字簽名時間為2010年11月8日,要想重現(xiàn)必須將360loginfo訪問權(quán)限修改為“所有人不可刪除”;再比如安裝時修改系統(tǒng)時間與2010年11月8日不能相差太久,安裝前須斷開網(wǎng)絡(luò)(禁用網(wǎng)卡或拔網(wǎng)線)。
即使這樣,也有一些情況在李鐵軍“意料之外”。
“開始想到的是禁用網(wǎng)卡和改360loginfo目錄的訪問權(quán)限,但奇怪的是,有時能在安裝后幾分鐘內(nèi)即可在360loginfo目錄看到日志生成,有時等幾小時都不能重現(xiàn),于是嘗試將系統(tǒng)日期從單數(shù)修改為雙數(shù)或從雙數(shù)修改為單數(shù),結(jié)果很快看到奇怪的日志文件出現(xiàn)了。”李鐵軍表示,這幾條重現(xiàn)規(guī)則是反復(fù)多次嘗試之后才總結(jié)出來的。
而上述結(jié)果也在曝光之后第一時間得到IDF互聯(lián)網(wǎng)情報威懾防御實驗室的驗證。2012年11月25日,該實驗室發(fā)布報告表示,360安全衛(wèi)士v7.3.0.2003l所搜集用戶軟件操作信息,對用戶隱私造成風險,若用戶運行 某 一 程 序 ,360安 全 衛(wèi) 士v7.3.0.2003l會把程序所在路徑搜集并未經(jīng)加密上傳至360服務(wù)器。若360公司所存放信息的數(shù)據(jù)庫泄露或傳輸數(shù)據(jù)被黑客截取進行社工分析,可造成用戶的信息泄露。
萬濤對《每日經(jīng)濟新聞》表示,根據(jù)之前的評測報告,360安全衛(wèi)士v7.3.0.2003l對用戶信息的處理涉嫌未遵守其中的用戶知情權(quán)、選擇權(quán)及禁止權(quán),并在未獲得個人信息主體的明確同意下記錄和上傳用戶行為數(shù)據(jù)。
值得注意的是,已于2月1日正式生效的我國首個個人信息保護國家標準 《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》明確規(guī)定,個人信息獲得者在收集個人信息時,需“具有特定、明確、合法的目的”。基于此,在收集前要采用個人信息主體易知悉的方式,向個人信息主體明確告知和警示如下事項:處理個人信息的目的;個人信息的收集方式和手段、收集的具體內(nèi)容和留存時限;個人信息的使用范圍、被收集后的個人信息保護措施、個人信息主體的投訴渠道;同時提醒個人信息主體提供個人信息后可能存在的風險和個人信息主體不提供個人信息可能出現(xiàn)的后果。且“只收集能夠達到已告知目的的最少信息”。而信息獲得者如需將個人信息轉(zhuǎn)移或委托于其他組織和機構(gòu)時,也需要向個人信息主體明確告知轉(zhuǎn)移或委托的目的、轉(zhuǎn)移或委托個人信息的具體內(nèi)容和使用范圍、接受委托的個人信息獲得者的名稱、地址、聯(lián)系方式等。
很明顯,360公司在個人信息的收集、加工、轉(zhuǎn)移、刪除等環(huán)節(jié),明顯將行業(yè)的游戲規(guī)則拋諸腦后,一意孤行地進行著暗箱操作。#p#副標題#e#
技術(shù)篇之二·后門
360后門秘道:“上帝之手”,抑或“惡魔之手”?
“作為宣稱‘最安全的瀏覽器’的360安全瀏覽器,被發(fā)現(xiàn)存在極大潛在安全威脅的‘后門’。毫無疑問,‘獨立調(diào)查員’是第一人。即使給他頒發(fā)一個國家級的科技發(fā)現(xiàn)獎也不為過。而且,多少年后,人們一定會感謝這位幕后的英雄,為了廣大用戶的上網(wǎng)安全,做出了卓越的貢獻。”百度安全部門的相關(guān)負責人如此評價360安全瀏覽器“后門”發(fā)現(xiàn)者。
按照獨立調(diào)查員的理解,所謂360的后門,不僅存在于360安全瀏覽器,也存在于360安全衛(wèi)士。他說,“你這樣來看,在你的小區(qū),保安說,因為安全的需要,你們要將房門的鑰匙放一把在我身上,我可以隨時來檢查你家庭的安全。這本身已經(jīng)非常大的不安全了,但你更不知道的是,這個保安公司,還在地下挖有一條通道,可以直接從地下通過地道悄悄進入你的房間。而這個地道,就是后門。”
360后門秘道浮出水面/
2012年10月,當時“方周大戰(zhàn)”正酣,獨立調(diào)查員才注意到了360安全產(chǎn)品,因為他一直是裸機,從未想過要關(guān)注360。但這一關(guān)注,他敏銳地發(fā)現(xiàn),360“非常異類”——許多行為不僅是反安全的,甚至是“反人類的”。
獨立調(diào)查員特意在用于測試的虛擬機中安裝了全套360產(chǎn)品,并由此發(fā)現(xiàn)360產(chǎn)品的許多 “不規(guī)矩行為”,他隨手將這些發(fā)現(xiàn)發(fā)布在微博上,立即引起許多關(guān)注,但也遭到一些人的攻擊。“有些人明顯就是360的人在挑釁,這激怒了我,我這人不喜歡耍嘴皮子,我是軟件專業(yè)人員,我只講證據(jù)”,獨立調(diào)查員如此說。
獨立調(diào)查員發(fā)現(xiàn),360瀏覽器網(wǎng)絡(luò)通信有非常異常的情況,“最開始只是發(fā)現(xiàn)其時間周期性:每隔5分鐘,瀏覽器就主動發(fā)起一次與服務(wù)器之間的通信過程,雖然不知道在干嘛,但其短周期性非常可疑。”
為什么不打開任何網(wǎng)頁、不動鍵盤和鼠標,360瀏覽器依然忙個不停呢?“國內(nèi)外所有的知名瀏覽器都不會存在這樣的行為模式。可以肯定,此中必有蹊蹺”。
于是,他繼續(xù)追查,雖然下載的文件名是文本文件(ini),但當他把數(shù)據(jù)包拼接成文件后一看 (當時尚不知道服務(wù)器IP地址對應(yīng)域名,受服務(wù)器限制未能通過網(wǎng)址直接下載文件,也尚未注意到文件被暫存于臨時文件夾),實際是個DLL(可動態(tài)加載的程序模塊)。“以我的知識和經(jīng)驗,很快意識到問題的嚴重性——以更新配置文件為耳目、周期性下載并加載執(zhí)行小程序——這是一個后門。至于360利用它做什么、曾做過什么并非重點,重點是他們可以做任何事而不為人知、不留痕跡。”
于是,他于去年10月29日通過微博對外公布了360瀏覽器有后門的事實,同時公開向工信部、公安部發(fā)出了一封名為《公開舉報奇虎360公司——致工信部、公安部公開信》的舉報信。
《每日經(jīng)濟新聞》記者注意到,在這封舉報信中,獨立調(diào)查員直接斥責道:“奇虎360公司的 ‘360安全瀏覽器’暗藏‘后門’,是用戶系統(tǒng)安全和信息安全的嚴重潛在威脅”。
他舉證說,360安全瀏覽器實為C/S架構(gòu)木馬系統(tǒng)的客戶端,服務(wù)器群是se.360.cn(云架構(gòu),IP地址不定)。瀏覽器每隔5分鐘即向服務(wù)器請求新的“指示”。新的指示偽裝成Ini(純文本文件類型)發(fā)出,實際上是DII文件(Windows可執(zhí)行程序庫或資料庫)等。
此事一石激起千層浪。不過,具有挑戰(zhàn)的是,獨立調(diào)查員的分析結(jié)果僅僅是網(wǎng)絡(luò)分析,是“后門”機制的初步證據(jù)和技術(shù)推斷,而非直接的鐵證。正是因為這樣,360開始在網(wǎng)絡(luò)上對其進行質(zhì)疑、攻擊,甚至嘲諷。
“他們以為我只會網(wǎng)絡(luò)抓包呢!”獨立調(diào)查員表示。于是,為了做實360的后門機制,他決定反向分析瀏覽器本身的程序庫,并詳細分析出“后門”機制的內(nèi)部執(zhí)行流程。
然而,這并非一件容易的事情。“因為沒有軟件源程序、更沒有設(shè)計文檔,所以分析難度相當大。給你個軟件,只能進行其公開可見的操作,而內(nèi)部運作卻完全是個黑洞。”獨立調(diào)查員表示。
源程序(源代碼)自然沒有。而要通過反向工程來破解,難度相對較高,也非常浪費時間。何況360瀏覽器軟件規(guī)模不小,而且還有很多內(nèi)置的擴展程序。
“我首先用排除法把擴展組件挨個干掉,我刪掉一個擴展組件,如果后門機制還在,說明與這個擴展組件無關(guān)。”獨立調(diào)查員最開始的直覺是后門應(yīng)該在擴展程序里面,因為主程序要送檢,但是當獨立調(diào)查員把可見的擴展程序全部刪掉后,后門還在,于是他開始刪(對普通用戶)不可見的擴展組件。
“通過排除法,最后確認是擴展組件SmartWiz在搞鬼。刪掉它以后,瀏覽器就安靜了,那個5分鐘一輪的上傳下達活動消失了。”
不過,還沒有結(jié)束。為了進一步查明360后門真相,獨立調(diào)查員還需要反向編譯出匯編代碼并跟蹤測試。
通過一系列技術(shù)過程,獨立調(diào)查員掌握了360瀏覽器在SmartWiz整個組件里與360服務(wù)器間建立通信、下載、臨時存儲、加載執(zhí)行、刪除(銷毀證據(jù))的流程,同時也知道了其時鐘控制調(diào)度機制(5分鐘間隔定時器)。#p#副標題#e#
360后門的安全之殤/
360安全瀏覽器設(shè)計出來的后門,恰恰給用戶帶來了極大的不安全。
為了讓用戶知道這個后門的惡劣程度,一直涉足互聯(lián)網(wǎng)安全工作的騰訊集團副總裁曾宇,對沒有后門的瀏覽器的重要性做了解答(如下圖)。
一般個人用戶的電腦中,90%以上為windows系統(tǒng),這套系統(tǒng)與互聯(lián)網(wǎng)之間的聯(lián)系,是需要瀏覽器來實現(xiàn)的,同時,因為瀏覽器的閉環(huán)作用
(可以理解為沒有縫的雞蛋殼,除非用戶特別授權(quán)),其也是windows系統(tǒng)與互聯(lián)網(wǎng)之間的天然屏障,任何來自于其他云端的指令等,都不會穿透這層保護而到達windows系統(tǒng)。這樣,用戶電腦中的windows系統(tǒng)得到最好的保護,所有執(zhí)行的指令,都是來自于用戶自己。
而IDF互聯(lián)網(wǎng)情報威懾防御實驗室創(chuàng)始人萬濤則對瀏覽器后門做了解讀。他說,被稱作360“安全”的瀏覽器,卻有一個特殊的資源文件,這個資源文件硬生生地將這個蛋殼打開了一條縫,而且是一條用戶看不到的縫。
通過這個后門,360瀏覽器可以根據(jù)監(jiān)視用戶電腦操作過程中出現(xiàn)的情況,向360云安全中心發(fā)出請求,360云端的后門服務(wù)體系根據(jù)請求,給出相應(yīng)的DLL,即windows可執(zhí)行程序庫。這個DLL通過360瀏覽器的后門,直接進入用戶的windows系統(tǒng)。
此時,這個DLL好生了得,它甚至已不受瀏覽器的控制,它在用戶windows系統(tǒng)中可做的事情包括但不限于:
獲取用戶的文件,并上傳到云端;
讀寫、增刪用戶的文件;
監(jiān)聽用戶通訊;
更改windows系統(tǒng)的注冊表或重要的設(shè)置參數(shù);
悄悄卸載競爭對手的產(chǎn)品,等等。
同時,這個DLL還可以通過這個后門,直接對互聯(lián)網(wǎng)發(fā)出指令,包括但不限于:
自動從360服務(wù)器下載軟件來安裝或運行;
代替用戶直接進行電子商務(wù)操作;
釋放木馬或病毒、創(chuàng)建常駐系統(tǒng)的服務(wù),等等。
360是否做了這些呢?如果做了,對其自身又會有怎樣的價值呢?會對行業(yè)、用戶帶來怎樣的傷害呢?沒有人知道答案。
“搞清楚這些細節(jié)后,我就著手重現(xiàn)后門機制的運作,讓本來不可見的過程變得可見,以做可視化演示,讓大家不僅能感知而且能 ‘看到’360暗設(shè)的這道‘后門’。”獨立調(diào)查員表示。
在他看來,360那個后門每5分鐘都會找360服務(wù)器下載一個DLL并加載執(zhí)行,但它是個后門,隱蔽性第一,因此DLL無論如何不會現(xiàn)身,不存在彈出對話窗口或消息框,因此需要給它模擬一個測試環(huán)境。
“通過在本地架設(shè)DNS服務(wù),劫持360.cn的域名解析,把我的機器偽裝成360的服務(wù)器,然后那個注入瀏覽器的DLL不就由我自由控制了么?”獨立調(diào)查員表示,通過編一個只要被加載執(zhí)行就馬上彈出消息框的DLL,拿自己寫的DLL注入給360瀏覽器,這就讓360瀏覽器的后門機制的運行完全可見了。
就這樣,瀏覽器果然如預(yù)期的那樣,把獨立調(diào)查員在DLL里面寫的消息框給彈出來了。
“被活捉啊!”從去年10月29日的公開信到11月5日的反向工程分析研究,前后僅為六天(僅利用業(yè)余時間)。
一個細微的細節(jié)是,獨立調(diào)查員為了讓更多的用戶知道360暗藏后門的事實,還將其調(diào)查結(jié)果通過65分鐘不間斷的視頻進行全網(wǎng)絡(luò)直播。由于要保證視頻內(nèi)容真正做到65分鐘不間斷、不剪接,而實際上他花費了4個多小時一次次現(xiàn)實演示,直至實現(xiàn)一次性完成,才算真正完成這一取證工作。
獨立調(diào)查員指出,可執(zhí)行文件DLL絕非軟件的自動更新(軟件更新是持久性的),360安全瀏覽器自動更新僅在啟動時執(zhí)行一次,與此行為無關(guān);而它也不是瀏覽器的一部分,下載、暫存、加載調(diào)用后將立即被刪除,完成使命后,不留任何痕跡。#p#副標題#e#
360后門:綁架用戶的遙控器/
獨立調(diào)查員的這一發(fā)現(xiàn)發(fā)布后,立即在業(yè)內(nèi)引起巨大震動。
以電子取證為主業(yè)的獨立第三方IDF互聯(lián)網(wǎng)情報威懾防御實驗室立即跟進,對獨立調(diào)查員的舉報結(jié)論進行重復(fù)性認證,結(jié)論為:360安全瀏覽器v5.0.8.7的ExtSmartWiz.dll文件的屬性、行為及反編譯內(nèi)容與獨立調(diào)查員描述完全一致。
萬濤表示,在當時的檢測中,即使在關(guān)閉360安全中心可以關(guān)閉的功能,包括網(wǎng)址云安全、廣告云攔截、第二代防假死、沙箱保護,在未進行任何瀏覽器操作情況下,仍然可以抓取到ExtSmartWiz.dll請求服務(wù)器文件及下載服務(wù)器文件記錄,而這些并未包含在《360用戶隱私保護白皮書》有關(guān)“360安全瀏覽器的隱私保護說明”中。
業(yè)內(nèi)一位安全專家認為,360瀏覽器利用后門通過秘密手段,每5分鐘操作一次程序性動作,究竟做了什么?現(xiàn)在不易獲知,相信終有一天,360內(nèi)部的程序員等知情人士會將此完整地披露給大眾。但可以認定,360這一行為有不可告人的目的,最為正面的理解是:如果全國要抓貪腐,可能不再需要小三、二奶們自告奮勇地獻身了,只要打開360瀏覽器,貪腐只要是上網(wǎng)的,基本上其丑行就可以通過360安全瀏覽器、360安全衛(wèi)士這個后門機制暴露無遺了。
針對獨立調(diào)查員的證據(jù),360方面至今也無正面回應(yīng)。
據(jù)獨立調(diào)查員的最新消息,360安全瀏覽器5.0版的“后門”機制仍在運作,但360服務(wù)器已不再通過“后門”下發(fā)任何DLL,僅下發(fā)空文件(文件大小為0的文件)。
對360安全瀏覽器最新版(6.0.2.202)的網(wǎng)絡(luò)通信監(jiān)測表明,在未打開和瀏覽任何網(wǎng)站的情況下,瀏覽器仍然在與360云服務(wù)器密集通信,但與5.0版的情況明顯不同。這里是否藏了什么新的秘密?
獨立調(diào)查員對此已作了嘗試調(diào)研,他告訴 《每日經(jīng)濟新聞》記者,“有關(guān)結(jié)果,在合適的時候會披露出來。”
“此中有一個不易注意的細節(jié),”獨立調(diào)查員告訴記者,“當時,360安全瀏覽器產(chǎn)品經(jīng)理陶偉華在回應(yīng)我的微博時,就把我指出的ExtSmartWiz.dll文件名篡改成SmartWizRes.dll,而現(xiàn)在其6.0版本恰恰就是現(xiàn)在的‘SmartWizRes.dll’,可見其早已有想通過偷梁換柱的方式掩蓋其惡行。”
據(jù)多位安全專家表示,“后門”并非360獨創(chuàng),原來,其作用為“方便之門”。最著名的“后門”軟件為灰鴿子(Hack.Huigezi)。其誕生于2001年,原本是一款優(yōu)秀的遠程控制軟件,其后門機制作用為方便實施遠程控制。但正是這“后門”機制,又使其成為集多種控制方法于一體的木馬病毒。一旦用戶電腦不幸感染,可以說用戶的一舉一動都在黑客的監(jiān)控之下,要竊取賬號、密碼、照片、重要文件等皆手到擒來。因此,自其誕生之日起,就被反病毒專業(yè)人士判定為最具危險性的后門程序,并引發(fā)了安全領(lǐng)域的高度關(guān)注,同時成為全球公認的“毒王”。
360安全瀏覽器比“灰鴿子”更為危險的是,它的市場占有量很高。根據(jù)艾瑞咨詢此前發(fā)布的數(shù)據(jù)顯示,360最主要的產(chǎn)品360安全衛(wèi)士的市場份額已經(jīng)高達84.41%,同時360也擁有國內(nèi)最大的瀏覽器和網(wǎng)址導(dǎo)航份額,所占市場份額大致為30%。這也意味著數(shù)億量級360瀏覽器安裝于用戶的電腦中,如果有人破解360安全瀏覽器,從而控制這個后門的話,那將是災(zāi)難性事件,它導(dǎo)致一個國家的癱瘓都是完全可能的。因為360安全衛(wèi)士、360安全瀏覽器早已進入了中國大多數(shù)用戶的電腦。
萬濤進一步指出,更為令人擔憂的是,360的“后門”控制屬于云端,至今仍秘而不宣。“凡安裝360安全瀏覽器或360安全衛(wèi)士的電腦,都已客觀上成了360可以任意支配的‘肉雞’。而360目前在許多領(lǐng)域中的不正當行為,都是基于其安全入口的裁判員機制而實施成功的。”
而來自金山的反病毒專家李鐵軍認為,360瀏覽器的后門機制,實際上已綁架了用戶,成為360通過用戶的瀏覽器來直接攻擊競爭對手的工具,包括阻止或殺死競爭對手的各類客戶端軟件,阻止其中的重要程序,破壞競爭對手軟件的功能等等。“這樣的丑行只有中國才有,是世界上惟一的先例。”
商業(yè)篇
360:互聯(lián)網(wǎng)的“一枝黃花”
自由評論人、技術(shù)經(jīng)濟觀察家瞬雨給《每日經(jīng)濟新聞》記者講述了一個歷史故事:
1935年,上海從北美引進“加拿大一枝黃花”作為觀賞植物,因其艷麗多姿,多用于插花配花。然而上世紀80年代,因其具有極強的繁殖和快速侵占力,同時,其根系會釋放乙炔氣體抑制其他物種生長,從而導(dǎo)致“加拿大一枝黃花”扎根之處,所有植物均迅速死亡,甚至使上海30多種植物物種消亡,從而被列為惡性雜草。幾十年來,許多地區(qū)一直在進行剿滅“加拿大一枝黃花”行動。
瞬雨認為,360很像中國互聯(lián)網(wǎng)界的 “一枝黃花”。360董事長周鴻祎一直強調(diào)“破壞性創(chuàng)新”,這正是“一枝黃花”的最好注解。
對于360及周鴻祎,外界基本上分為兩個陣營:愛之者為之歡呼,恨之者為之切齒。而歡呼者,正是出于對其破壞性快感的獲得,以及對其破壞過程中所呈現(xiàn)的“流氓特性”的認可;而切齒者,則不僅因其對整個互聯(lián)網(wǎng)社會的強大破壞力,更緣于其不斷地突破底線,以及對人們價值觀的不斷挑戰(zhàn)。
“破壞是一件容易的事,而建設(shè)才是根本。創(chuàng)新不能總是以破壞為代價。”瞬雨向《每日經(jīng)濟新聞》記者表示,“釀制出一只青花瓷瓶,或許需要數(shù)月甚至數(shù)年的精到功夫與時間,但破壞它,一錘子砸它,只需要一秒鐘。”
瞬雨認為,360更大的危害,在于其還有許多人們所不能見的潛在威脅:360安全衛(wèi)士、360瀏覽器的“癌性基因”。
作為互聯(lián)網(wǎng)安全廠商,最重要的特性,就是恪守“第三方安全”準則:不得隨意代替用戶作決定或處理;不得以安全的名義,為廠商自己牟利;不得在安全領(lǐng)域,既當運動員,又是裁判員。
但360恰恰就在這些方面,完全違背了安全廠商的基本準則。當360安全衛(wèi)士、360安全瀏覽器植入用戶電腦的時候,360便通過它們在用戶知情或不知情的情況下,直接代替用戶做決定,完成各種動作。
“這樣的產(chǎn)品在市場上將是無敵的。”瞬雨舉例說,“一場拳擊賽,A方只可以以拳擊打?qū)Ψ降挠行Р课唬獴方卻可以手腳并用,并可以攻擊你的下三路,那A方必輸無疑。”
這是360致勝的法寶。
而在掠奪市場的過程中,360安全衛(wèi)士、360瀏覽器恰是一對并蒂的“惡之花”。#p#副標題#e#
商業(yè)篇之一·生意經(jīng)
360生意經(jīng):圈地運動與癌性擴張
近日,百度要求鳳巢(百度搜索營銷管理平臺)用戶安裝安全插件,以檢驗瀏覽器的安全性。而360以用戶名義,給予這個插件以 “網(wǎng)友差評”標簽,并通過其系統(tǒng),認定該插件為“偷拍插件”。然后,在360安全衛(wèi)士的“清理插件”功能下,直接誘導(dǎo)和恐嚇用戶卸載該插件。
360憑什么將百度這個插件定義為“偷拍插件”?憑什么要用戶卸載?事實上,全球其他所有瀏覽器均對上述插件無異議。
獨立調(diào)查員向《每日經(jīng)濟新聞》記者分析說,360軟件 (含互聯(lián)網(wǎng)服務(wù))產(chǎn)品,涵蓋安全防護(安全衛(wèi)士、手機衛(wèi)士、殺毒等)、操作環(huán)境(瀏覽器、桌面、軟件管家等)、工具軟件(五花八門)、游戲平臺、導(dǎo)航搜索和電商網(wǎng)站等,“如果把電腦系統(tǒng)比作軟件產(chǎn)品的運動場,從安全角度看,安全防護產(chǎn)品是裁判員,其他產(chǎn)品則是運動員”。
很顯然,360兼具裁判員、運動員雙重身份。
做為裁判員,360能否公平對待同場競爭的運動員(競爭對手)和看臺觀眾(用戶),是人們判斷其價值最關(guān)鍵、也是最重要的因素。
“我們無法想象,微軟會通過Windows產(chǎn)品不斷提示用戶IE才是安全的瀏覽器、借網(wǎng)民的名義指控Google搜索是釣魚網(wǎng)銀的幫兇、騰訊電腦管家是最差的安全防護產(chǎn)品;我們無法想象,微軟通過Windows產(chǎn)品把用戶安裝的所有瀏覽器的默認首頁都強行設(shè)定為自身的官方網(wǎng)站;我們無法想象,微軟會通過Windows產(chǎn)品向全球電腦秘密下達卸載Chrome瀏覽器的指令;我們無法想象,微軟Bing搜索引擎盜用Google搜索引擎的結(jié)果數(shù)據(jù)。”獨立調(diào)查員說,“是的,善良的人們無法想象,更無法接受這一切,有社會責任感的企業(yè)公民對此都會嗤之以鼻——‘我們絕不這么干!’”
獨立調(diào)查員認為,360有兩條“成功密鑰”,第一,是以“民事訴訟8連敗”為代表的發(fā)展模式:先踩法律底線,以求先發(fā)展——在中國,360鉆了品牌與道德成本太低的空子;第二,就是以安全和免費名義 “綁架”用戶,然后以安全裁判員的身份,展開“競爭”。
以“永久免費”為口號,360安全衛(wèi)士及其關(guān)聯(lián)產(chǎn)品很快占據(jù)較高市場份額。
“電腦安全性評分”是360安全衛(wèi)士最重要的基礎(chǔ)性功能。360安全衛(wèi)士會自動掃描客戶端所在系統(tǒng)的“安全隱患”,不符合360“安全標準”要求的就扣分,但評分標準和權(quán)重并不公開。
比如全新安裝的Windows7,在開啟自動更新、尚未安裝任何第三方軟件前,360安全衛(wèi)士對其安全評估結(jié)果竟是0分 (滿分100分)。這個0分意味著什么?Windows真的很不安全?實際測試發(fā)現(xiàn),根據(jù)其安全警示清單一項一項 “優(yōu)化或修復(fù)”后,評分逐步增加,但始終處于低位、不到60分,直到“優(yōu)化瀏覽器”并“鎖定首頁”后,安全性評分迅速接近滿分!事實上,所謂“優(yōu)化瀏覽器”就是“安裝360瀏覽器并設(shè)定為默認瀏覽器”,“鎖定首頁”就是“修改首頁為360導(dǎo)航”。
需要修復(fù)的項目還有 (不限于):卸載“差評插件”百度瀏覽器工具欄、優(yōu)化IE(實為篡改IE的首頁、標簽頁、默認搜索引擎為360的有關(guān)服務(wù))、刪除收藏夾中對手的項目(百度、騰訊、谷歌等)等等。
360安全衛(wèi)士甚至曾偽裝成微軟 Windows補 丁 安 裝 程 序KB360018,以“IE6內(nèi)核升級”的名義欺騙用戶安裝360瀏覽器。國外權(quán)威技術(shù)網(wǎng)站SystemExplorer已將360的這個假冒微軟系統(tǒng)補丁文件定為“100%安全威脅”,從而使后者遭遇微軟調(diào)查。
尤其是360安全衛(wèi)士在評分后的“一鍵修復(fù)”功能,更是其占領(lǐng)市場的利器。其借助傻瓜式的“一鍵修復(fù)”,導(dǎo)致用戶在電腦上用什么、不用什么,都由360安全衛(wèi)士說了算,至于是否都與安全性有關(guān),一般用戶自然看不出門道,相反還會對360的這些“強奸”行為“感恩戴德”——這些用戶原本連安裝或卸載軟件的操作都不熟練,而360安全衛(wèi)士就是一臺“傻瓜相機”。
事實上,360安全衛(wèi)士不只是一臺“傻瓜相機”,其云安全數(shù)據(jù)中心動態(tài)控制著一切,可以根據(jù)360自身需要更改其軟件資料庫、評分標準和權(quán)重,隨時準備向?qū)κ职l(fā)起“云查殺”以保護自身利益。
獨立調(diào)查員向 《每日經(jīng)濟新聞》記者分析說,360的發(fā)展路徑,即從360軟件產(chǎn)品底層技術(shù)構(gòu)架開始,埋下不同于所有互聯(lián)網(wǎng)公司發(fā)展的“癌變基因”,然后,此“癌變基因”通過浸潤,向操作環(huán)境領(lǐng)域發(fā)展,再向工具軟件、游戲平臺發(fā)展,最終進入真正的互聯(lián)網(wǎng)領(lǐng)域——導(dǎo)航、搜索、電商網(wǎng)站,以及電商網(wǎng)銀體系等。
#p#副標題#e#
360綠色網(wǎng)站的安全謊言:“偷梁換柱”浸潤電商網(wǎng)銀安全體系/
2月6日,360官網(wǎng)上一條 “網(wǎng)購首選,3億用戶的共同選擇”的廣告悄然上線。打開這條廣告鏈接,以“網(wǎng)購安全”為主題的新款“360安全瀏覽器”赫然在目。
據(jù)《每日經(jīng)濟新聞》記者獲得的360內(nèi)部信息,360將借今年的“3·15”活動,大力推動與國內(nèi)電商企業(yè)的合作,以將360安全瀏覽器植入電商領(lǐng)域。這則推廣廣告,正是這一步驟的前奏曲。
據(jù)記者調(diào)查,360兩年前開始布局電子商務(wù)安全領(lǐng)域,其最先打出的 “安全產(chǎn)品”是 “網(wǎng)銀無憂”、“地址欄銘牌”,即360瀏覽器主推的“綠色網(wǎng)站認證”。
360向人們傳遞的信息是,“360綠色網(wǎng)站認證”可以確保用戶使用網(wǎng)銀以及電子商務(wù)交易安全。
眾所周知,電子商務(wù)的交易安全,尤其是網(wǎng)銀,一直是網(wǎng)民、乃至整個社會焦點關(guān)注的問題之一。歐美、日本等國家的網(wǎng)銀安全體系非常復(fù)雜與發(fā)達,而國內(nèi)的網(wǎng)銀體系,也是在小心設(shè)想、小心求證的前提下,一步步地展開。
那么,360是否真的具備這個能力——取代網(wǎng)銀服務(wù)提供者身份驗證體系,由自身來充當網(wǎng)銀“保鏢”呢?
獨立調(diào)查員懷疑360公司是否具備這個能力。于是,他進行了如下實驗,以了解360綠色網(wǎng)站認證機制:
在本機模擬,將招行網(wǎng)銀域名劫持到IP為50.63.127.126(xliar.com)的網(wǎng)站,并在目標服務(wù)器上構(gòu)建相應(yīng)目錄體系和登錄頁文件,然后使用360安全瀏覽器訪問招行大眾版登錄頁,從而進入偽裝的招行網(wǎng)銀頁面。
360網(wǎng)購保鏢自動檢測招行運行環(huán)境,幾秒鐘后完成檢測,報告“本次檢測未發(fā)現(xiàn)風險,現(xiàn)在可以放心網(wǎng)購了!”
此時瀏覽器地址欄銘牌顯示為“招商銀行”,點擊后彈出“通過綠色網(wǎng)站認證”,披著“招行網(wǎng)銀”外衣的劫持網(wǎng)址,即被360認證為招行官方網(wǎng)站。
圖片1
而同樣的操作,使用IE瀏覽器訪問時,IE瀏覽器地址欄則會以非常顯眼的方式告知用戶“(網(wǎng)站數(shù)字)證書錯誤”,點擊錯誤信息可知,該網(wǎng)站證書不屬于招商銀行網(wǎng)站。
事實上,用國際主流的瀏覽器均會彈出類似的錯誤提醒警示,用戶收到信息后自然會停止交易、避免損失。
這意味著,如果一家詐騙網(wǎng)站通過域名劫持招商銀行網(wǎng)站,所謂的“360綠色網(wǎng)站認證”并不能有效執(zhí)行網(wǎng)銀保鏢的辨識功能,進行安全認證。
360安全瀏覽器的安全檢查能力為什么會如此之低呢?
據(jù) 《每日經(jīng)濟新聞》記者了解,目前國際主流的認證機構(gòu)為VeriSign,包括中國工商銀行、中國建設(shè)銀行、中國銀行、中國農(nóng)業(yè)銀行均采用該機構(gòu)認證。招商銀行網(wǎng)頁所顯示的,也正是該機構(gòu)的認證,這也作為網(wǎng)上銀行安全的基本保證而得到公認。
而獨立調(diào)查員演示的證據(jù)顯示,360瀏覽器直接屏蔽認證機構(gòu)VeriSign基于加密體系的可信認證,將其替換成了360綠色網(wǎng)站認證。
獨立調(diào)查員提醒網(wǎng)購者,應(yīng)信任銀行網(wǎng)站自身的安全證書,并在整個交易過程中關(guān)注地址欄域名和安全證書中的域名是否一致,以及其根域名是否與官方域名一致,切勿輕易信任和依賴360的“綠色網(wǎng)站認證”。
獨立調(diào)查員認為,這又是另一起360“破壞性創(chuàng)新”的典型案例:“一點技術(shù)含量也沒有的網(wǎng)站身份認證,竟然可以公然取代國際上通行的網(wǎng)上銀行安全認證體系。這就是360的非創(chuàng)新型破壞。”
然而,對于類似公然挑釁國際準則的行為,為什么監(jiān)管部門可以坐視不管呢?
可以預(yù)想的是,一旦360大規(guī)模啟動“各大電商推薦安全購物使用360瀏覽器”活動,人們的網(wǎng)上購物均要依賴于 “360綠色網(wǎng)站認證”,360收獲的將是又一次360式“癌性擴張”,而中國的網(wǎng)銀體系又將會面臨怎樣的可怕變局?#p#副標題#e#
移動圈地:“非創(chuàng)新型”破壞或止步于蘋果?/
在360的2012年年會上,360董事長周鴻祎對員工指出:“我認為未來兩年將決定整個無線互聯(lián)網(wǎng)的市場格局……在過去的一年,360手機衛(wèi)士用戶量突破2億,360手機助手的用戶量也突破了1億,成為360在無線互聯(lián)網(wǎng)上的兩個支柱。但兩根柱子支撐不了一個房子,我希望各個團隊在2013年會有新的產(chǎn)品能夠脫穎而出,包括很多PC的產(chǎn)品也可以尋找在無線上的發(fā)展機會。很簡單,未來不會再有無線互聯(lián)網(wǎng)公司了,因為每個公司都必須是基于無線互聯(lián)網(wǎng)的;也不會有PC產(chǎn)品部、無線產(chǎn)品部的區(qū)分,因為以后所有產(chǎn)品都會在PC和移動終端上打通,而沒有無線互聯(lián)網(wǎng)策略和產(chǎn)品的公司將會被淘汰。”
這段講話基本上代表了360近期在移動端發(fā)展與布局的方向。
在移動端,360是否會重復(fù)使用“癌性擴張”的方式來圈地呢?
《每日經(jīng)濟新聞》記者在調(diào)查中發(fā)現(xiàn),無論是微博還是公開的論壇,皆有不少用戶曝光了360的一些“作惡”行為,大多包括以下內(nèi)容:在智能手機通過USB接入電腦充電或同步數(shù)據(jù)時,360彈出手機助手的提示,不經(jīng)意中安裝360的其他產(chǎn)品,甚至裝上360的產(chǎn)品之后,其他非360的應(yīng)用會莫名其妙地“被卸載”。
這也意味著,在移動端的圈地運動中,360依然在復(fù)制其PC領(lǐng)域的“癌式擴張”做法:除了做安全產(chǎn)品外,自身同時開發(fā)了全系列的手機軟件,然后重新演繹一遍其在PC端的玩法。
據(jù)《每日經(jīng)濟新聞》記者掌握的一份來自某互聯(lián)網(wǎng)工程師的爆料,包括360手機衛(wèi)士、360手機通訊錄、360手機瀏覽器等系列產(chǎn)品存在明文上傳用戶隱私數(shù)據(jù)。上述爆料人提供的證據(jù)指出,在機場、咖啡廳,手機用戶使用WiFi上網(wǎng)時,只要登錄360手機衛(wèi)士及360手機通訊錄,或者進行云備份或云恢復(fù),用戶名(手機號)、手機IMEI碼和密碼等高度敏感信息就會通過請求網(wǎng)址明文傳輸,有了這些身份鑒別信息,可以使用任何瀏覽器從360通訊錄服務(wù)器tongxunlu.360.cn的非安全通道直接下載用戶云備份的通訊錄等隱私。
這也意味著第三方可以輕松竊取360用戶登錄各個網(wǎng)站的密碼MD5信息和手機號,進而可以獲取用戶包括短信、彩信、通訊錄、通訊記錄等所有相關(guān)隱私數(shù)據(jù),而且還可以篡改并進行釣魚。
對此,獨立調(diào)查員進行了相應(yīng)復(fù)檢,發(fā)現(xiàn)含高度敏感信息的請求網(wǎng)址的參數(shù)部分,僅以BASE64編碼(可簡單解碼,與明文無異),而用戶密碼雖然經(jīng)過MD5加密、但是可直接用于登錄,且對客戶端合法性沒有任何校驗。獨立調(diào)查員向《每日經(jīng)濟新聞》記者說,請求網(wǎng)址極易被非法攔截,在網(wǎng)址中明文夾帶傳輸高度敏感信息,以及使用非安全通道下載用戶隱私數(shù)據(jù),等于把手機用戶隱私暴露在陽光下。
這一現(xiàn)狀,與當年360安全衛(wèi)士起家時如出一轍。
據(jù)《每日經(jīng)濟新聞》記者所掌握的證據(jù),國內(nèi)有多家公司與個人,對360這方面的“不規(guī)距”行為進行了技術(shù)論證與法律取證。但這一切,似乎并不能動搖360在此領(lǐng)域的擴張。
不過目前,似乎有了一些改變。
1月25日,iOS平臺上,360旗下360手機衛(wèi)士、360瀏覽器等一些應(yīng)用突然被蘋果應(yīng)用商店下架,一時在國內(nèi)引起巨大反響。
360產(chǎn)品被蘋果下架,這已不是第一次。2012年2月6日,360旗下包括360手機衛(wèi)士、360口信、360瀏覽器HD、360電池醫(yī)生、360安全備份、360團購HD等系列產(chǎn)品均被蘋果應(yīng)用商店下架。
隨后,有專業(yè)分析師就曾公開表示,通過研究360相關(guān)應(yīng)用的代碼發(fā)現(xiàn),至少360手機衛(wèi)士和電池醫(yī)生兩款應(yīng)用存在各種侵犯用戶隱私的行為,主要包括:非法讀取用戶iPhone上的應(yīng)用信息、非法閱覽用戶的照片和音樂文件夾,而iOS版360手機衛(wèi)士部分代碼還顯示,360正在獲取系統(tǒng)進程資源信息,而上述行為均為蘋果應(yīng)用商店嚴禁的違規(guī)行為。
而這一次下架的原因又是什么呢?
據(jù)360的官方說法,此次下架,與360手機衛(wèi)士企業(yè)版測試時違反了蘋果相應(yīng)規(guī)則有關(guān)——360嘗試為中國境內(nèi)企業(yè)用戶提供 “騷擾電話攔截”和“來電歸屬地顯示”等功能。
外界對此也猜測不一:第一,猜測認為,360的多個應(yīng)用涉嫌調(diào)用蘋果私有API,以獲取更高權(quán)限,而蘋果明令禁止這一點;第二,涉嫌刷榜,影響在蘋果應(yīng)用商店的排名;第三,360多次使用企業(yè)證書對外發(fā)布公測版本;第四,多款應(yīng)用涉嫌自建下載渠道,為用戶提供越獄版本。而360的這一切動作,都是對現(xiàn)行互聯(lián)網(wǎng)游戲規(guī)則的明顯侵犯。
IDF互聯(lián)網(wǎng)情報威懾防御實驗室創(chuàng)始人萬濤對此認為,最大的可能是,360在將其代替用戶直接進行操作的“非創(chuàng)新型破壞”,從底層數(shù)據(jù)向上延展,最終到達應(yīng)用層時遭到蘋果的阻擊,比如蘋果嚴厲禁止調(diào)用私有API,但360手機衛(wèi)士企業(yè)版測試卻對外開放了私有API的下載鏈接。又如,蘋果對用戶隱私信息的保護非常嚴厲,而360在這方面觸及規(guī)則,這非常容易觸怒蘋果;
《每日經(jīng)濟新聞》記者調(diào)查發(fā)現(xiàn),去年iOS版360手機助手上線時,其產(chǎn)品分為手機客戶端版和PC客戶端版,其PC客戶端版可以直接繞過蘋果應(yīng)用商店為用戶提供下載鏈接,這也意味著360利用用戶數(shù)量進行平臺化,蠶食蘋果市場收益。
業(yè)內(nèi)專業(yè)人士管鵬則透露了另一個細節(jié),前段時間傳“快用”與360合作,將快用的技術(shù)接入360手機瀏覽器中。“快用”有一項核心技術(shù)“ipa2exe”,這一技術(shù)允許iOS開發(fā)者把自己的應(yīng)用與快用的仿iTunes程序打包在一起,使用戶可以像下載普通的PC軟件一樣下載iOS應(yīng)用,并在PC上一鍵安裝進自己的蘋果設(shè)備——這已經(jīng)和越獄市場沒有區(qū)別了,“或許,這也是360下架的重要原因”。#p#副標題#e#
商業(yè)篇之二·V3升級機制
360制勝“秘籍”:神秘的V3升級機制
據(jù)掌握360核心機密的一位360前員工披露,360正在謀劃遞歸DNS的推出,而要大面積推廣遞歸DNS,將走360特殊的通道:V3升級機制通道。
這位前員工解釋說,DNS是域名系統(tǒng) (DomainNameSystem)的縮寫,是因特網(wǎng)的一項核心服務(wù)。簡單地說,人們一般記不住IP地址,但人們能夠記住域名,DNS就是將人們能夠記住的域名轉(zhuǎn)化成機器使用的IP地址的服務(wù)。
DNS又有授權(quán)DNS與遞歸DNS之分。授權(quán)DNS,是指域名所有者(或其指定的管理者)指定的域名解析服務(wù)器,該服務(wù)器存儲該域名的原始IP設(shè)置,并提供查詢服務(wù)。而遞歸DNS則復(fù)雜些:為客戶機提供域名查詢的DNS服務(wù)器——如果該服務(wù)器本身不能解析客戶請求查詢的域名,則根據(jù)一定規(guī)則轉(zhuǎn)發(fā)查詢請求給其他服務(wù)器,直到獲得IP為止。360要做遞歸DNS,即是說:客戶機不要請求運營商或企業(yè)的DNS服務(wù)器解析了,都交給360的DNS服務(wù)器解析好了。
接下來的問題在于,在遞歸過程中,360最終給的IP地址是否就是用戶請求的呢?為什么360就不會劫持IP地址呢?去年,獨立調(diào)查員就在微博上就此提出質(zhì)疑。他的理由是:DNS劫持現(xiàn)象嚴重,從小運營商到大運營商都在公開或私下干這種事。獨立調(diào)查員舉例說,如用戶提出百度搜索請求,但360遞歸DNS給的是so.360.com的IP地址,為什么不會呢?
《每日經(jīng)濟新聞》記者掌握的進一步情況是:360在技術(shù)上已完全做好了準備,至于推廣方式,目前還不能披露,但其核心手段就是“瞞天過海,暗度陳倉”。而整體實施,正是通過360的V3升級機制。
《每日經(jīng)濟新聞》記者通過數(shù)月的調(diào)查,終于揭開了所謂的V3機制的神秘面紗。
任何一個公司的軟件,在下載時,都必須基于用戶的意愿。程序不能代替用戶自動下載軟件。即使是微軟的Windows軟件,其升級或上線時,也是在微軟公司的提示下,用戶同意后,方可升級或上線。
在這方面,用戶具有知情權(quán)、同意權(quán)。任何剝奪或變相剝奪用戶這兩個權(quán)利的下載,都是違法的。對一些特別清晰而簡單的下載或升級或優(yōu)化,也可以通過“一鍵優(yōu)化”或“一鍵修復(fù)”等來實施。
但360多年來并非依此執(zhí)行。一方面,360通過“一鍵優(yōu)化”或“一鍵修復(fù)”,繞過用戶的一步步審核,要么將競爭對手的軟件給優(yōu)化掉,要么就是在下載中夾帶“私貨”,將其最想推廣的軟件悄悄直接代替用戶下載了。
另一方面,360甚至不需要用戶的“一鍵優(yōu)化”等,在暗中直接給用戶的電腦(或手機)下載其推廣的軟件。這也就是業(yè)內(nèi)人最為痛恨的“靜默安裝”,“靜默升級”等。
據(jù)《每日經(jīng)濟新聞》記者調(diào)查,一鍵優(yōu)化,是通過360安全衛(wèi)士,即通過客戶端執(zhí)行;“靜默安裝”,則是直接通過云服務(wù)器發(fā)布指令執(zhí)行的。而“V3升級”即是360產(chǎn)品線最重要的捆綁安裝渠道。
V3機制,最主要的推廣“母體”是360安全衛(wèi)士與360瀏覽器,而這兩者間,又有分工與交叉,相互配合,其中的關(guān)系非常復(fù)雜。為遮人耳目,V3通道并不是常規(guī)的路徑,而是在重要的“必須產(chǎn)品”推廣中才會實施。通過這一路徑,可以一下子將產(chǎn)品全面鋪開,實現(xiàn)最大的安裝量。而當360的主體產(chǎn)品擁有的用戶基數(shù)越來越高的時候,這樣的推廣作用也變得更有成效。
從關(guān)系示意圖(如圖)可以看到,V3由360高層決策層下達指令,360安全數(shù)據(jù)中心啟動,并通過后門機制,將指令性信息傳達給用戶電腦中安裝的360安全衛(wèi)士,主要指令為產(chǎn)品推廣、刪除競爭對手產(chǎn)品、新配置數(shù)據(jù)等;360安全衛(wèi)士在用戶Windows系統(tǒng)中,直接執(zhí)行安裝、更改、卸載;然后,通過后門機制,將信息反饋給360云安全數(shù)據(jù)中心,該中心再將信息收集、匯總統(tǒng)計后,上傳給決策層。
在360,除產(chǎn)品、技術(shù)之外的員工,對V3機制知之甚少。即使是核心員工,也并非知道其中的全部路徑。而要申請使用這一通道,更是需要非常復(fù)雜的申請手續(xù),甚至據(jù)稱,最終的拍板決定權(quán),也僅在周鴻祎一人手中。即使在總裁齊向東已批準同意的情況下,最終仍需經(jīng)過周鴻祎的批準。
業(yè)內(nèi)一位著名互聯(lián)網(wǎng)專家稱,“多年來,360幾乎就是戰(zhàn)無不勝,其中,人們過多地放大了360產(chǎn)品的能力,以及360的流氓特性能力。V3才是360戰(zhàn)無不勝的法寶。如果工信部要管,就把360的V3升級禁止了,360就立刻死定了。”
尋找已模糊了的良心
——兩位神秘人物的對話節(jié)選(因可以理解的原因,以A、B為代號):
A:你知道你的電腦里有一根來自360的泄污管嗎?V3通道!
B:不知道這事。
A:什么叫強奸?違背意志,強行插入,并且排射污物!這就是360的一貫行為。
B:“泄污管”有具體所指嗎?
A:我就是指這個V3升級模塊。說來話長,最早這個V3升級代碼還是從外面買來的,分為服務(wù)器端,客戶端兩部分。
B:大概估得到,但沒具體研究。
A:360一般程序員都沒有V3代碼的可讀權(quán)限,出了問題不能用查代碼的方式解決,只能HOOK自己的程序跟蹤。NB吧,對自己人都防守得如此嚴密。
B:心想反正他們流氓推廣不是一兩樁。
A:這個代碼只有衛(wèi)士的人有。
B:還能這樣?公司內(nèi)部還玩黑匣子啊。
A:是啊,你就可想而知,這個代碼對360有多重要了。而且,V3升級這個360內(nèi)部的名詞一旦被曝光出來,將極大地震撼360的內(nèi)部員工。
B:內(nèi)部就叫“V3升級”?
A:是的,內(nèi)部就叫V3升級模塊。比如,說這個版本通過V3下去。對付這個流氓公司,需要有無數(shù)無名英雄的付出,也需要有沖鋒陷陣的先鋒。
B:你、我,都是無名戰(zhàn)士。說白了就是替天行道。
A:是啊,我覺得中國社會,怎么就沒有俠客了呢。以前對付貪官惡霸,多少俠義之士出手啊。一個人的能力都是微小的,但能結(jié)成聯(lián)盟,取長補短,那就會威力大增。
B:我們一做什么,就會有人說,是收了什么好處……
A:我們是收了好處,就是收到了自己的良心。這是天大的好處。沒有良心的人,我看就是鬼。
B:Y。#p#副標題#e#
商業(yè)篇之三·用戶自衛(wèi)
360產(chǎn)品頻遭卸載令背后:個人隱私自衛(wèi)意識在覺醒
《每日經(jīng)濟新聞》記者通過調(diào)查發(fā)現(xiàn),360相關(guān)產(chǎn)品被蘋果下架事件,絕非偶然,背后既有特殊的原因,也有必然的結(jié)果,更有不斷成為常態(tài)的趨勢。
有越來越多的人意識到,粗暴侵犯用戶權(quán)益,粗暴破壞行業(yè)規(guī)則,損害企業(yè)基本權(quán)益,會給整個行業(yè)帶來“生,還是死”的危害。而這兩個粗暴的“癌性基因”之變的核心,就是違背了全球公認的互聯(lián)網(wǎng)江湖的基本準則。
長此以往,“創(chuàng)新型破壞”這一癌變會益發(fā)嚴重,最終,中國互聯(lián)網(wǎng)會因此死亡。這才是最可怕的。
來自官方的“SayNo”
其實,最早對360說“NO”的是人民法院,在360歷時八年的發(fā)展過程中,與企業(yè)間有八場民事訴訟,法院給予的回答是:“八連敗!”在法律上,360的行為被嚴厲拒絕。
最近以來,政府相關(guān)部門也對360接連亮起“黃牌”:國家版權(quán)局在去年12月28日首次表態(tài),稱360搜索要抓取百度內(nèi)容需要獲得百度授權(quán),提供百度網(wǎng)頁快照不適用“避風港原則”,要求360進行整改,將視360的整改情況再采取進一步的管理措施。
根據(jù)《每日經(jīng)濟新聞》記者了解,介入360安全問題管理的政府部門范圍還將進一步擴大。據(jù)知情人士透露,國家版權(quán)局近期將在其行政處罰會議上責令360停止侵權(quán),并進行整改。
1月24日,北京市工商局對外發(fā)布消息:北京市工商局、北京市工商局西城分局共同約見了北京奇虎科技有限公司(以下簡稱奇虎公司)負責人,對其利用“360安全衛(wèi)士”在瀏覽器領(lǐng)域?qū)嵤┎徽敻偁幮袨橛枰孕姓嬲]。
1月30日,國家工商行政管理總局在其官方網(wǎng)站首次披露了對360給予行政告誡的具體原因:奇虎360利用壟斷市場優(yōu)勢,通過不兼容、難卸載等方式阻止網(wǎng)民安裝其他軟件;還用推薦誘導(dǎo)、默認同步安裝甚至偽裝成微軟官方補丁等方式,將其旗下的360瀏覽器、360網(wǎng)址導(dǎo)航等產(chǎn)品強行安裝至網(wǎng)民電腦中,通過默認設(shè)置、強制升級等方式修改用戶瀏覽器和主頁設(shè)置。
拒絕“360瀏覽器”:一場“斯大林格勒保衛(wèi)戰(zhàn)”/
2月17日晚間,百度通過官方特服對所有的鳳巢客戶發(fā)了一條短信:“為保障客戶的賬號與資金安全,基于試運行的良好效果,百度安全控件將于18日起正式推廣使用。”這意味著,百度“鳳巢”系統(tǒng)自18日開始,將在百度客戶體系中,直接、全面封殺360瀏覽器。
此事還需回溯至今年1月28日,當時百度鳳巢開始試運行封殺360瀏覽器,遭到360強烈反擊,但百度認為,“‘鳳巢’系統(tǒng)安全升級后提示用戶棄用360瀏覽器,是因為之前多次接到過客戶反映,使用360瀏覽器時會出現(xiàn)數(shù)據(jù)及信息丟失的情況”,即表示360瀏覽器不安全。
業(yè)內(nèi)專家認為,瀏覽器是網(wǎng)站的運行環(huán)境,基于兼容性、用戶體驗或安全性等因素,網(wǎng)站并無義務(wù)保證或允許用戶使用所有瀏覽器,用戶需遵守網(wǎng)站的有關(guān)使用規(guī)定(包括但不限于瀏覽器種類、操作系統(tǒng)平臺、顯示器分辨率等限制),“正如某些網(wǎng)上銀行系統(tǒng)不支持FireFox一樣,F(xiàn)ireFox產(chǎn)品提供者無權(quán)指責銀行。”
在百度宣布打擊正式實施的前一天,有“黑客教父”之稱的安全技術(shù)專家萬濤評論說:“從企業(yè)權(quán)益上來說,百度對于一個相對的內(nèi)部業(yè)務(wù)系統(tǒng)限定瀏覽器并沒有特別大的問題,正如銀行網(wǎng)銀大多只支持IE瀏覽器一樣。這是度娘的‘斯大林格勒’保衛(wèi)戰(zhàn)!也說明雙方的博弈從普通網(wǎng)友延伸到了百萬站長社群。”
據(jù)來自百度內(nèi)部的絕密消息:“這僅是一個開始,百度將會有更嚴厲的手段。”而另一位百度高層更是向《每日經(jīng)濟新聞》記者透露,百度未來的主要戰(zhàn)略為一靜一動,動靜結(jié)合,以靜制動。具體的策略則不便對外透露。
“從整體上說,360會陷入一場持久而消耗性的戰(zhàn)爭。”互聯(lián)網(wǎng)知名評論家管鵬認為,“這場戰(zhàn)爭最重要的意義在于,從360誕生以來的所有戰(zhàn)爭,都是360主動性進攻,且結(jié)果都是以被進攻者被動或失敗而告終。而鳳巢的反擊,則是被攻擊者的有序、主動性的反擊。其意義特別深遠。”
作為自主行為,企業(yè)直接拒絕360的聲音,已越來越多。網(wǎng)易是其中一家引起較大反響的公司,該公司去年內(nèi)部要求禁用360產(chǎn)品;同樣在去年的12月6日,中國最大鋼鐵巨頭寶鋼警告:12萬員工必須卸載360。此前亦有媒體報道稱,招商銀行總行大廈系統(tǒng)管理員在2010年12月9日就通過內(nèi)部郵件的形式要求各部門卸載360安全衛(wèi)士以及系列軟件。
另一件值得關(guān)注的,是被披露的360瀏覽器偷賺網(wǎng)購傭金事件。
據(jù)媒體披露,其主要方式是用戶在360瀏覽器中購買商品時,即便不是從淘寶客的鏈接點擊進入,也可能產(chǎn)生傭金并流入一些ID的口袋中,這些ID號均指向了“上海奇泰”淘寶客。
360上市時的招股說明書顯示,“上海奇泰網(wǎng)絡(luò)科技有限公司”與奇虎360公司存在關(guān)聯(lián)關(guān)系,奇泰還與360的100%控股公司奇智軟件 (北京)有限公司存在著合約協(xié)議關(guān)系。
事實上,劫持淘寶客傭金一事,并不是外界首次對360非法獲取收入提出質(zhì)疑,金山網(wǎng)絡(luò)CEO傅盛就曾在微博爆料,直指360財報中10億收入來自電商,其實是用戶通過360瀏覽器購買100元商品抽成10元。
堂吉訶德:那些走在最前端的程序“猿”們/
對許多黑客的采訪,不能亮出他們的身份,而網(wǎng)絡(luò)上公開的“獨立調(diào)查員”,其實只見其人,不知其真名。他不想公開自己的身份影響平靜生活,只想做一些正確的事情。
《每日經(jīng)濟新聞》記者約其采訪,幾乎周旋了一個月;為確定采訪地點,周旋了兩天。第一次采訪,訪談了6個小時。而后來的工作中,最辛苦的是連續(xù)4天4夜,獨立調(diào)查員加起來只睡了大約12個小時。
從整個調(diào)查來看,“獨立調(diào)查員”是典型的程序員思維,比較“軸”,一根筋。但思維極其敏捷。
為什么要花這么長時間研究360?為什么對360有如此深厚的“隔閡”。《每日經(jīng)濟新聞》記者的提問,拋給了許多堂吉訶德式的程序“猿”們。
他們的回答,卻是驚人地一致:360的“兩個粗暴”,是中國互聯(lián)網(wǎng)的“毒瘤”,不除“毒瘤”,中國互聯(lián)網(wǎng)必死。而這個“除”,并非就是消滅360,而是希望360能夠“立地成佛”。
雖然,他們知道,他們的努力,就是堂吉訶德式的,但必須有人去做。
1月13日,獨立調(diào)查員發(fā)出微博,“360瀏覽器識別方法與程序設(shè)計”。
由于害怕對手封殺,360的瀏覽器產(chǎn)品都刪除了身份標識(UserAgent),一直冒充其內(nèi)核對應(yīng)的瀏覽器(InternetExplorer或 Chrome)。同時,360瀏覽器卻向特定網(wǎng)站提供準確的身份標識信息,包括CNZZ(瀏覽器使用統(tǒng)計)、HTML5Test(HTML5兼容性評分)等網(wǎng)站,其他網(wǎng)站使用常規(guī)方法都無法準確識別。
發(fā)現(xiàn)這一秘密后,他經(jīng)過研究,找到了破解的方法,做了一個JS網(wǎng)頁腳本程序,并將代碼在網(wǎng)上公開分享。據(jù)不完全統(tǒng)計,到2月22日,已有近1000個網(wǎng)站在使用這個程序。“其中,有相當一部分是淘寶客網(wǎng)站”。
值得關(guān)注的,還有萬濤,其創(chuàng)立的IDF實驗室,在多個地方就以安全的反復(fù)實驗數(shù)據(jù),論證了獨立調(diào)查員的多項調(diào)查結(jié)果;人大計算機系主任石文昌公開以專家的身份證明獨立調(diào)查員的一些重要的調(diào)查結(jié)果;北大電子政務(wù)研究院副院長楊明剛(網(wǎng)名“楊明剛PKU”)也公開支持獨立調(diào)查員。更有一大批網(wǎng)民直接出面聲援獨立調(diào)查員。
另一位程序“猿”為瞬雨,其寫過許多解剖360的文字,成為這一領(lǐng)域的前行者。
最終結(jié)果會怎樣?獨立調(diào)查員淡然一笑:念念不忘,必有回響。
京公網(wǎng)安備11010502034432號