本帖最后由 360媒体看台 于 2013-2-28 14:10 编辑
方舟子最新转发一篇名为《公开举报奇虎360公司——致工信部、公安部公开信》,作者是一直给他提供材料的“独立调查员”。方舟子称独立调查员《公开信》“写得很清楚”,但哪里写得清楚?方舟子自己也没说清楚。
再次希望独立调查员亮出它的身份。我们都是技术人员,不管您供职于什么公司,我们都以公开的身份讨论360的软件产品,每个人都可以为自己的言论负责。
对独立调查员《公开信》中提出的问题,我们做一一解答如下,也请方舟子看一看我们解答得清楚不清楚:
一、独立调查员称“360安全浏览器实为C/S架构木马系统的客户端”,颇有意外发现之感,这说明它对软件开发的认识确实需要提高。
C/S(客户端/服务器)架构,它是软件系统常用的一种体系结构,目前绝大多数互联网软件都是C/S架构,这是互联网软件的开发常识,也是应用系统的一个发展方向。例如大家熟悉的各种浏览器、聊天软件、安全软件、网盘、网银客户端、邮件客户端都是典型代表;甚至包括视频播放器、音乐播放器、文档编辑器这样的传统软件也都开始采用C/S架构。
二、独立调查员称“360浏览器每隔5分钟向服务器请求新的指示,新的指示伪装成INI(配置文件)发出,实际上是DLL文件”。这说明它对安全技术的认识确实比较浅。
木马最常见的攻击方式就是篡改软件的配置文件。例如近年来流行的篡改主页木马,主要方式是篡改用户浏览器的主页设置文件并把文件属性设为只读。INI形式的配置文件很可能会被木马篡改,而使用者毫不知情。
将配置文件做成DLL形式并添加数字签名校验,可以保证程序在加载配置文件时,能够确认文件没有被木马篡改过。这种做法还可避免下载文件时被中间人攻击。比如黑客通过ARP攻击劫持下载过程,返回由黑客构造的恶意配置文件。用“DLL+签名”的方式也可以防范此类中间人攻击。
“每隔5分钟向服务器请求新的指示”是危言耸听的说法。首先该功能是“安全网银”快速更新安全网址白名单和流行度高的恶意网址黑名单;其次更新的数据是配置文件,而不是独立调查员所说的“指示”。作为安全软件与木马、钓鱼欺诈网站的攻防,当然需要快速更新,主流安全软件均有类似机制。例如早在2008年,赛门铁克旗下诺顿安全软件推出“快速脉冲更新”技术,每隔5-15分钟更新一次病毒库(http://safe.zol.com.cn/114/1142549.html)。
三、独立调查员称“360安全浏览器的程序文件SmartWizRes.dll是‘后门’,安装在%appdata%目录下,该目录是系统隐藏的数据文件夹”。恕我直言,这个说法证明它的真实水平还不如业余的软件爱好者。
Chrome浏览器等无数主流软件都默认设置安装在%appdata%目录下,可以避免软件安装和升级过程中可能的权限问题,这是一个基本常识,做软件开发甚至软件爱好者都应该懂的,为什么独立调查员不懂?
四、独立调查员称“SmartWizRes.dll加载者是360安全浏览器目录下的pluginbar.dll文件。扩展中心看不到该组件,用户不知道他的存在,即使看到文件也不知道其用途”。
pluginbar.dll是360安全浏览器动态扩展的基础模块,提供了360安全浏览器中各种应用扩展(例如微博、翻译、截图等插件)的接口调用。pluginbar.dll提供的配置文件是针对360安全浏览器中各种扩展程序的配置。插件机制是一种让浏览器能够方便扩展功能的机制,由用户选择安装插件使用的是这种机制,同时浏览器自身的一些基础功能也会通过插件机制来实现。
作为一款软件产品,最重要的是实实在在提供用户需要的功能,而不是教用户记住每个程序模块的名称和安装路径。试问,中国5亿网民有几个人能清楚说出自己使用软件的每个模块?按照独立调查员的逻辑,是否所有软件都有所谓的“后门”?
五、独立调查员公布“SmartWizRes.dll的内部流程”,这段分析恰恰证明了它的真实目的就是以莫须有指控360浏览器。
独立调查员的逻辑是,SmartWizRes.dll向服务器请求一次最新的配置文件,加载最新的配置文件,删除配置文件。对于这个流程是更新反钓鱼、反木马的数据配置文件,配置文件理所当然是需要替换而不是无限累积,独立调查员却绝口不提,反将其歪曲为“控制用户电脑”。按照这个逻辑,百度输入法会自动更新词库、百度影音会自动更新界面推荐的影视剧,难道都是把用户电脑变成了肉鸡?
六、独立调查员称自己分析的版本“SmartWizRes.dll文件签名时间是2012年10月3日21:28:50”。
正规软件当然需要数字签名,代表软件出品方的真实身份,这也是做签名校验、防止恶意程序篡改配置的必要方式。与此相反,只有那些鬼鬼祟祟、匿名发帖或者做木马的才不敢以真实身份示人。
七、独立调查员称其“已截获3种指示,其中2种资源库(配置资源,干扰百度等竞争对手网站运行),1种可执行程序库,它已对后者做初步分析”。看到这里,所谓独立调查员的用意已经很明显了,就是为百度抹黑360浏览器。
反问独立调查员:第一,你自称已对“后者”做了初步分析,又是如何得出“前者”干扰百度等竞争对手网站运行的结论?第二,独立调查员宣称自己做了分析,为什么不在分析中具体说明360浏览器究竟哪里伤害了用户,最关键环节反而突然偃旗息鼓含糊其辞?第三,作为技术人员,严谨的验证过程是最基本的要求。独立调查员长篇大论360浏览器具备强大的快速更新能力,然后断言360在作恶。至于如何作恶?很抱歉,他还没来得及分析;更有意思的是,独立调查员含糊其辞地说了句360浏览器干扰百度等竞争对手网站的运行。如何干扰?干扰的代码在哪里?如何验证干扰的现象?很抱歉,他也不清楚。
简单一段话概括:独立调查员的逻辑是先下结论,然后找证据。没有证据,强下结论。换句古语:欲加之罪,何患无辞?
关于《每日经济新闻报道》虚假报道的澄清说明
1、5分钟一次检查更新,是360安全浏览器的一种保护网购安全的快速攻防机制,360安全浏览器作为上网安全的第一道防线,需要具备这种能力。所有安全软件都有类似行为,比如QQ电脑管家3分钟检查一次更新。
2、360安全浏览器有针对钓鱼网址的云查询技术,但是钓鱼的技术有很多种,不仅限于只有假冒网址的攻击,徐州公安局破获的“浮云”网购木马,就是通过QQ号给买家传文件的方式运行起来,注入浏览器,篡改用户的网购订单,将收款人换成自己来牟利,获利上千万元。而且通过云控,攻击方式不断变化,一天内变化能超过7次以上。为了对付这些行为,360安全浏览器也需要这种更新机制来进行更快速的攻防。2012年,360安全浏览器拦截钓鱼网站18亿次。如果按每次网购受骗的损失约500元计算,2012年360安全浏览器共计防止用户遭受9000亿元的损失。
3、360安全浏览器下载的dll只是数据文件,这种通过dll内置数据文件来防止篡改的方式,360于2012年3月还专门申请了专利。
4、下载的dll资源文件,会验证签名,如果签名不对,是不会被加载。而报道中提到的一个没有签名的dll被调用,是因为分析者在测试环境中用调试工具破坏了校验机制导致的,在真实环境是不可能发生的。
|
评论
直达楼层