奇虎360黑匣子之謎

2013-02-27 11:01 每日經(jīng)濟新聞

　　黑客揭秘：360安全產(chǎn)品背后的“安全”陷阱/

　　在深圳紅樹林，獨立調(diào)查員為《每日經(jīng)濟新聞》記者進行了現(xiàn)場演示。他特意在自己的電腦上安裝了360安全瀏覽器，并打開網(wǎng)絡(luò)通信監(jiān)視工具，這時可以看到，360安全瀏覽器在其電腦后臺上就像一只工蜂，始終不停地忙碌著。

　　然后，獨立調(diào)查員又打開IE、騰訊、獵豹、chrome等瀏覽器，每一個瀏覽器都很安靜，沒有任何動作。

　　“360安全瀏覽器在干嘛呢？誰也不知道。為什么要這樣忙碌呢？作為瀏覽器，其作用就是可以顯示網(wǎng)頁服務(wù)器或者文件系統(tǒng)的HTML文件內(nèi)容，并讓用戶與這些文件交互的一種軟件。根據(jù)最小特權(quán)原則，你是沒有理由在我的電腦里不停地‘工作’。你要問他在做什么，他就說，是為了你的安全。”

　　“明明知道360在做不應(yīng)該發(fā)生的事情，但不知道發(fā)生的是什么事情。這就是360留給中國所有安全專業(yè)人員最大的課題。”獨立調(diào)查員解釋說，這是因為360在這方面做了非常縝密的設(shè)計，其防御體系相當嚴密，要突破防線有所收獲，是件非常困難的事情。

　　而這，也正是許多從事安全的專家們感興趣的事情。

　　2010年2月6日，360多年的宿敵——瑞星拿出了一份 “證據(jù)”，其發(fā)布的《奇虎360利用“后門”拿走了用戶什么》一文，利用大量技術(shù)細節(jié)說明360安全衛(wèi)士在安裝進用戶電腦時，會偷偷開設(shè)后門，并時刻監(jiān)視用戶訪問網(wǎng)站，將相關(guān)信息上傳至360網(wǎng)站。

　　此事標志著360第一次露出“不安全”的真面目，從此一發(fā)而不可收拾。

　　據(jù)《每日經(jīng)濟新聞》記者調(diào)查，國內(nèi)有一大批黑客對破獲360的防線，以及搞明白360這個黑匣子內(nèi)到底有什么非常感興趣，想通過攻擊360而獲得其侵犯用戶隱私信息的證據(jù)。他們之間甚至有一個松散型的組織，經(jīng)常交換這方面的信息。但與此同時，也有些黑客最終被360“招安”，成為其公司成員。

　　2010年12月31日，在黑客狂轟濫炸360服務(wù)器后，360防線被攻破，存儲于其服務(wù)器上的大量用戶隱私數(shù)據(jù)噴涌而出，被谷歌搜索爬蟲自動抓取，并公告天下。360多年來宣稱的 “用戶隱私大于天”的謊言正式被揭穿。

　　上圖為某網(wǎng)民通過360safe.com泄露的數(shù)據(jù)登錄某政府機關(guān)的內(nèi)部郵箱

　　這份意外泄露的文件詳細記錄了大量360用戶的全網(wǎng)訪問過程，包括瀏覽的網(wǎng)頁、下載過的應(yīng)用、搜索的關(guān)鍵字等，并將這些訪問記錄與唯一用戶掛鉤。在這個服務(wù)器中，每個用戶對應(yīng)一個字符串，通過查詢字符串，可以了解用戶的所有個人信息、上網(wǎng)瀏覽記錄、賬號密碼，例如用戶在百度搜索關(guān)鍵字、淘寶購物記錄、金蝶、奇瑞等企業(yè)內(nèi)部財務(wù)網(wǎng)絡(luò)數(shù)據(jù)、某政府機構(gòu)官方郵箱用戶名及密碼等鏈接數(shù)據(jù)。

　　《每日經(jīng)濟新聞》獲得的一份對泄露日志文件分析統(tǒng)計的結(jié)果顯示，此次泄密事件涉及總條數(shù)141萬條，其中涉及用戶名信息的條目有247326個，既包含用戶名又包含密碼條目有816個。而這對于360收集的海量數(shù)據(jù)來說只是冰山一角，截至目前為止，360從沒有公開解釋被泄露的數(shù)據(jù)總量有多少，被下載了多少次。

　　然而，有關(guān)360如何“利用”用戶的信任，如《全民公敵》影片中的衛(wèi)星一樣“間諜”式地監(jiān)控著用戶的電腦，這個謎團卻依然沒有辦法破解，至今沒有一家安全廠商拿出這個過程的有力證據(jù)。

　　獨立調(diào)查員告訴記者，360安全衛(wèi)士、360安全瀏覽器，其內(nèi)部運作流程就像一個暗箱，外部人可以聽到里面有動作，但卻沒有辦法知道里面發(fā)生了什么，以及它如何阻止外部人破解它。

　　而獨立調(diào)查員卻偏執(zhí)地選擇了這條破解之路。他先制作了一張簡單的圖表，以揭示360拳頭產(chǎn)品360安全衛(wèi)士內(nèi)部的操作模型（如圖）。

　　從這個圖中可以看出，360安全衛(wèi)士對用戶在電腦上進行軟件操作、文檔操作等所有操作舉動均秘密進行監(jiān)視、記錄，然后進行壓縮后上傳至云端服務(wù)器；過去，上傳的過程為明文上傳，這對用戶的隱私帶來非常嚴重的威脅，在經(jīng)歷過幾次大的泄密事件后，目前上傳文件已經(jīng)加密。

　　文件上傳到360云端存儲后，文件會立即在本地被刪除，這招防御術(shù)非常兇狠，即使有人破解其行為，并獲得文件證據(jù)，但因為隨時的刪除，很難將證據(jù)做實，變成死無對證的孤證。

　　用戶電腦中的360安全衛(wèi)士這一套運行機制都是事先預(yù)設(shè)好的，可以獨立操作完成；但實際上，360云端（360安全數(shù)據(jù)中心）對用戶客戶端的360安全衛(wèi)士具備直接控制能力。360云端不僅可以下達專門的指令（后文還將詳述），同時一旦360安全衛(wèi)士發(fā)現(xiàn)有人在監(jiān)視其通信操作等，會發(fā)出安全警告以阻止繼續(xù)操作并限時自行禁止。這也給破獲工作帶來相當程度的干擾。

　　據(jù)一名多年研究360產(chǎn)品的黑客告訴《每日經(jīng)濟新聞》記者，“設(shè)置如此高難度障礙的人一定是行業(yè)的高手。可以斷定，360內(nèi)部一定有國內(nèi)頂尖級的黑客高手。他們才有可能做到既做暗事，又不留任何把柄。這就像是一個江洋大盜，來無影，去無蹤，飄忽不定，作案后現(xiàn)場不留任何痕跡，實在是高精尖的設(shè)計。”

　　這名黑客發(fā)現(xiàn)，360安全衛(wèi)士的暗箱操作行蹤越來越?jīng)]有規(guī)律可循，換句話說，其運作規(guī)律經(jīng)過精心策劃，非常不容易被外界掌握。同時，其獲取信息的區(qū)域半徑越來越由中心城市向二、三、四線城市延伸。這樣的話，要想抓到證據(jù)就更為艱難。“中國擁有30多個省級行政區(qū)，336個二級行政區(qū)，還不包括數(shù)以千計的三級、四級行政區(qū)，這就相當于360安全衛(wèi)士在中國網(wǎng)民的生活中布下了天羅地網(wǎng)。”

　　據(jù)《每日經(jīng)濟新聞》記者調(diào)查發(fā)現(xiàn)，國內(nèi)不止一家公司準備投入大量人力來破獲360的違法行為，但最終都偃旗息鼓。原因就在于，360收集用戶信息的行為 “就像空中劃過的彗星，茫茫夜空，布下天羅地網(wǎng)，時刻守候，才有可能有所斬獲，這樣的投入產(chǎn)出比太低了”。