◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇ 360黑匣子之谜——奇虎360“癌”性基因大揭秘 每日经济新闻20130226期 >> 第01版:封面 每经记者 秦俑 昨日(2月25日),正是奇虎360所有APP产品被苹果全面下架一个月的日子。 就在此前,360的CFO亲赴美国“负荆请罪”,但360相关产品并未重新上架。 知情人士向 《每日经济新闻》记者透露,国家版权局内部已讨论确定,360 搜索引擎严重违反Robots国际规则,目前正在拟定相关处罚决定,近期将在行政 处罚会议上责令360停止侵权,进行整改。 据悉,有“两会”代表委员正在草拟严惩不正当恶性竞争破坏产业,以及 “3·15”应该将隐私保护列入重点的议案提案。 《信息方略》的一份调研结果显示,回答“拒绝安装360”的企业比例高达 60%。 一家以声称安全起家的互联网公司,正面临“不安全”的声讨…… 360到底怎么了?这是一家什么样的企业?带着这样的疑问,《每日经济新 闻》记者经过数月调查,并在微博名人“独立调查员”等一批程序“猿”的帮助 下,揭开了360的层层内幕。 360创始人周鸿?一直对外宣称,360成功的秘诀是 “破坏性创新”。但记者 调查发现,360的成功,更重要的是在于其“创新型破坏”:破坏才是目标。通 过破坏,打破既有规则,从中获得市场与利益。 而这一破坏的基础,便是对互联网世界最基本的准则——最小特权原则的践 踏。 为全面还原360的真实面目,“独立调查员”们以超人的技术能力与艰辛的 劳动,剥茧抽丝般一层层揭开,将其内部机制破解成功。 360发家于 “360安全卫士”、“360安全浏览器”,而这两款产品甫一面世, 便携带了这家公司的癌性基因:以违反“最小特权原则”为基石而构建。 《每日经济新闻》记者第一次查清,360是如何在其庞大的以安全著称的 “安全卫士”、“安全浏览器”软件中,植入非法程序,并通过该非法程序中的 “后门机制”与360云端配合,形成全球独一无二的秘密内部机制。 最令人惊诧的,是即使在360内部也属高度机密的 “V3升级机制”。当360 要发动一场讨伐竞品的战争时,其便启动“V3机制”——通过“安全卫士”、 “安全浏览器”,在用户电脑中私自卸载竞争对手的产品,私自安装自己要推广 的产品,从而以最便捷的方式一举占领市场,这就是360常胜不衰的真正秘诀。 在这场看不见的战争中,360表现出两个粗暴:粗暴侵犯网民的合法权益 (隐私权、知情权、同意权)、粗暴侵犯同行的基本权益,肆无忌惮地破坏行业 规则,从而实现其“一枝黄花”式的疯狂成长。 360现象,不仅对行业有巨大的破坏性,对互联网秩序产生严重的破坏力, 更是对整个社会产生“癌性浸润”。 这种“癌性浸润”,让原本的市场竞争转向了底层控制力的交战。《每日经 济新闻》记者获悉,百度即将砸重金投向安全领域,最快将于今年上半年正式推 出,这与经历“3Q大战”的腾讯进驻安全领域如出一辙。 更为可悲的是,为了防御360的“癌性浸润”,从底层控制到应用层几大巨 头均涉足其中,这样带来的直接后果就是,未来中国互联网将变成一个腾讯、百 度、阿里、360“四国顶立”的擎天柱式体系。而这将让一个个丰满、丰富的热 带雨林式生态环境变成巨无霸们为生存而生灵涂炭的地方。 360会“立地成佛”么?这或许会是一场持久战…… 《每日经济新闻》将持续关注。 (出于保护记者人身安全的考虑,本组稿件记者署名均为化名) 调查员独白:我为什么反360?   我先讲一个故事吧。 在现实生活中,我们都知道一个最简单的常识:小区的保安公司都是必须向 业主收取服务费的。但是,某年某城市的一个小区,来了一个K保安公司,宣布 他们将为小区提供免费服务。经过几轮波折,最终K保安公司实现接管小区保安 业务。 K公司入驻后,当然全部换上K保安人员,并迅速换上K公司特产的小区监控 系统——在小区的每一个视角都安装了监视体系。业主们觉得,这真是天下难找 的大好事啊,居然能够免费获得最好的安全保卫。 不久,K公司出于安全考虑,将物业公司辞了,换上K安全物业公司;再接着, 小区园林服务公司也换成K安全园林公司;再接着,业主所有私家车都装上了K安 全GPS导航;再接着,K安全物流、K安全农贸、K安全服饰、K安全电视、K安全电 脑、K安全冰箱与热水器、K安全门控与门锁……小区业主的所有一切都被换上了 K安全的标志。 K安全公司能将业主的这一切统统换掉,只有一个原因:那就是,这一切 “安全”方面的服务,都是免费的。 但有一天,B业主夫妇在家中行房事时,黑暗中发现家中有异样,打开灯一 看,一个保安正在床前监控着这对夫妇的云雨过程。这对夫妇羞愤难当:你是怎 么进来的? 保安说:我有钥匙,出于对你们性生活安全的考虑,我有权保护你们。 B业主夫妇找来安全方面的专家,来保护自己的安全隐私,结果却发现,保 安不仅在夫妇行房事时可以进来“免费观赏”,他们在任何时候都可以自由进出 业主的房间;他们不仅在小区的任何公共空间安装了监控系统,同时在业主室内 的任何一个视角,都秘密安装了监控器。 这对夫妇决定召集全小区业主反对K保安公司的所有侵犯行为。 但让小区所有业主异常惊讶的是:就在开庭前一天,网络上突然出现大量B 业主夫妇的信息,比如,B业主女臀部有三颗痣的图片在网络上大量流传;B业主 夫妇的工资单被晒;B业主男与前女友10年的情书来往从其前女友的电脑中被挖 出来。 B业主夫妇顿时陷入网络漩涡 …… 在中国互联网领域,360所充当的,就是这个K保安公司。 在中国,为什么360能够获得如此重要的市场地位,除了用户在隐私权、知 情权、网络自主权方面的意识不强外,最大的问题还是中国网民对互联网来说还 是“小白”,他们没有办法看清360干了什么,也没有办法辨清什么是可行的, 什么是不可行的;也不清楚360的一些行为在今天意味着什么,在明天又将意味 着什么。 我脑海中,一直在重复卡夫卡小说《城堡》中的场景,你不知为什么,你也 不知是怎么了,然后,你就任人宰割了。 森白的月光下,那把霍霍磨着的长刀…… ——来自独立调查员的自白 技术篇 360:互联网的癌细胞 每经记者 秦俑 深圳,红树林,旁边就是深圳湾公园,有蜿蜒的海堤风景带;海的那端是云 雾间的山峦以及错落的建筑,那是香港特别行政区。 经过前期网上100多天艰苦的技术交流后,《每日经济新闻》记者终于约到 了“独立调查员”。这是我们之间的第二次见面。这一次,我们相约只做一件事 情:将360(奇虎360科技有限公司,本文简称为360)在幕后所做的一些难以见 光的行为,在网上重新演绎一遍。 这一过程漫长而复杂。几天几夜里,独立调查员展开的网络实证让人触目惊 心,许多动态的过程无法通过平面文字呈现。事实上,独立调查员曾经在网上披 露的内容,绝大多数网民也不可能看懂。 2012年10月,一个署名“独立调查员”的微博开始向360发难,时至今日, 《每日经济新闻》记者已跟踪此人整整3个月:初始时基本上通过网络实现沟通, 渐渐地,有了电话中的直接交流。 在思维碰撞中,记者发现,“独立调查员”对360的反感是深切的;他对360 的研究也是深刻的。令《每日经济新闻》记者万分好奇而且不解的是:他的动力 来自何方? “如果你得了癌症,你的第一反应是什么?”独立调查员反问道,“那一定 得赶快把它切除掉!而360正是网络社会的毒瘤。此瘤不除,不仅中国互联网社 会永无安宁之日,整个中国都永无安宁之日。” 独立调查员分析说,不要小看了苹果对360产品下架一事,这种下架的期限 极有可能是“永久性”。为什么一个在中国能够获得如此巨大影响力的公司,会 在一家全球性大公司处遭遇截然相反的待遇?“这只能说明眼下的互联网空间没 有能力排除自身的毒瘤。而苹果下架360,背后正体现出对肿瘤的自体免疫排斥 性,这是一个网络社会健康的标志。” 独立调查员认为,他作为一名程序员,就是要从技术层面来理清360这个 “DNA”的基因突变。“这个突变的基因,就是360安全卫士或360安全浏览器, 一切都会发生改变。” 互联网其实与人体一样,本身具备着抗癌的免疫力。一旦发现癌细胞,自身 会启动自动识别与排斥机制,比如“最小特权原则”就是互联网江湖防止自身 “癌变”的免疫机制。 所 谓 最 小 特 权 (LeastPrivilege),指的是“在完成某种操作时所赋 予网络中每个主体 (用户或进程)必不可少的特权”;最小特权原则,则是指 “应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件 的篡改等原因造成的损失最小”。 这一特权最通俗的说法就是:你不要代替用户行使权力,你的特权越小越少 越好。这样,才是对用户最大的保护。能不作为处,不作为。 “而奇虎360的‘基因变异’正体现在此处,表现为 ‘奇虎360原则’—— 以安全的名义,在用户知情或不知情的情况下,直接代表网民行使权益。”独立 调查员说,“其实,最小特权原则非常简单。比如一个电话检查员,为了检查你 家的电话是否正常好使,便在主人不在家时,直接打开你家的门,试用了一下电 话;或者说,因为你家的狗在叫,物业打开你家的门,直接将狗杀了。这都是违 反了最小特权原则。而360最大的问题就是以安全的名义,践踏了这一原则。” 360是如何通过环环相扣的程序设计,就像本文开头部分的K保安公司监控业 主夫妇房事一样,或就像电话检查员径直打开主人房门查线一样,或就像物业工 作人员直接打开业主房门进去把主人的狗杀掉一样,在用户的电脑里横冲直闯、 恣意妄为?本文将为读者揭开360相关产品背后的层层暗箱操作链条。 技术篇之一·黑匣子 360产品内藏黑匣子:工蜂般盗取个人隐私信息 每经记者 秦俑 这是一件真实的事情:多年前,业内一家知名IT公司一个产品将上线,但蹊 跷的是,该产品上线前一天,360的同类产品突然上线。而且,360上线产品的页 面与该公司准备上线的版本几乎一模一样。这家IT公司的此款产品不上线已不可 能,而改版也已不可能。被逼无奈之下,该产品只能硬着头皮上线。让这家IT公 司哭笑不得的是,由于此款产品上线时间比360同类产品晚一天,所以用户普遍 认为,该公司的产品抄袭了360产品。 此类诡异怪事,在业内已不止一次发生。 谁是泄密者?上述IT公司最终未能找到“卧底”,不过开始将质疑对象聚焦 在360产品身上。因为实查结果发现,该公司不少员工电脑上安装了360相关产品。 出于安全考虑,该公司要求所有员工的工作电脑中不得安装360产品。与此 同时,公司内网环境中,全面禁止360产品。从此,确实没有再发生过类似的泄 密情况。 据《每日经济新闻》记者了解,国内最早全面禁用360产品的企业为腾讯、 百度、金山等一批公司。在这些公司的办公环境中,完全屏蔽360产品,如确因 公司研究性工作需要,才可以安装虚拟机使用360产品。 国内几家互联网巨头公司,均以安全为由禁止使用一家以互联网安全著称的 公司的相关产品,这在中国IT界构成了一道未解的谜团。 大型公司尚且对360产品避之不及,对于普通用户来说,使用360相关“安全” 产品,安全吗? 在中国有“黑客教父”之称的安全技术专家“黑客老鹰”,即IDF互联网情 报威慑防御实验室创始人万涛认为,从隐私保护和用户权益的角度讲,360产品 确实存在需要澄清的地方。但中国用户目前在隐私保护方面的意识并不强,这是 一个比较普遍的现象。因为对许多用户来说,“我上网就是看看新闻,玩玩游戏, 我没有隐私”。这一观点非常流行。 万涛表示,而在另一方面,多年来尽管民间在破获360侵犯隐私等方面做了 许多努力,并查获了许多证据,但360在这方面的“反应”也非常“严密”。此 外,获得的一些突破性证据因为过于专业,也不易让普通用户看懂,因此也就缺 乏相应的感知。 黑客揭秘:360安全产品背后的“安全”陷阱/   在深圳红树林,独立调查员为《每日经济新闻》记者进行了现场演示。他特 意在自己的电脑上安装了360安全浏览器,并打开网络通信监视工具,这时可以 看到,360安全浏览器在其电脑后台上就像一只工蜂,始终不停地忙碌着。 然后,独立调查员又打开IE、腾讯、猎豹、chrome等浏览器,每一个浏览器 都很安静,没有任何动作。 “360安全浏览器在干嘛呢?谁也不知道。为什么要这样忙碌呢?作为浏览 器,其作用就是可以显示网页服务器或者文件系统的HTML文件内容,并让用户与 这些文件交互的一种软件。根据最小特权原则,你是没有理由在我的电脑里不停 地‘工作’。你要问他在做什么,他就说,是为了你的安全。” “明明知道360在做不应该发生的事情,但不知道发生的是什么事情。这就 是360留给中国所有安全专业人员最大的课题。”独立调查员解释说,这是因为 360在这方面做了非常缜密的设计,其防御体系相当严密,要突破防线有所收获, 是件非常困难的事情。 而这,也正是许多从事安全的专家们感兴趣的事情。 2010年2月6日,360多年的宿敌——瑞星拿出了一份 “证据”,其发布的 《奇虎360利用“后门”拿走了用户什么》一文,利用大量技术细节说明360安全 卫士在安装进用户电脑时,会偷偷开设后门,并时刻监视用户访问网站,将相关 信息上传至360网站。 此事标志着360第一次露出“不安全”的真面目,从此一发而不可收拾。 据《每日经济新闻》记者调查,国内有一大批黑客对破获360的防线,以及 搞明白360这个黑匣子内到底有什么非常感兴趣,想通过攻击360而获得其侵犯用 户隐私信息的证据。他们之间甚至有一个松散型的组织,经常交换这方面的信息。 但与此同时,也有些黑客最终被360“招安”,成为其公司成员。 2010年12月31日,在黑客狂轰滥炸360服务器后,360防线被攻破,存储于其 服务器上的大量用户隐私数据喷涌而出,被谷歌搜索爬虫自动抓取,并公告天下。 360多年来宣称的 “用户隐私大于天”的谎言正式被揭穿。 这份意外泄露的文件详细记录了大量360用户的全网访问过程,包括浏览的 网页、下载过的应用、搜索的关键字等,并将这些访问记录与唯一用户挂钩。在 这个服务器中,每个用户对应一个字符串,通过查询字符串,可以了解用户的所 有个人信息、上网浏览记录、账号密码,例如用户在百度搜索关键字、淘宝购物 记录、金蝶、奇瑞等企业内部财务网络数据、某政府机构官方邮箱用户名及密码 等链接数据。 《每日经济新闻》获得的一份对泄露日志文件分析统计的结果显示,此次泄 密事件涉及总条数141万条,其中涉及用户名信息的条目有247326个,既包含用 户名又包含密码条目有816个。而这对于360收集的海量数据来说只是冰山一角, 截至目前为止,360从没有公开解释被泄露的数据总量有多少,被下载了多少次。 然而,有关360如何“利用”用户的信任,如《全民公敌》影片中的卫星一 样“间谍”式地监控着用户的电脑,这个谜团却依然没有办法破解,至今没有一 家安全厂商拿出这个过程的有力证据。 独立调查员告诉记者,360安全卫士、360安全浏览器,其内部运作流程就像 一个暗箱,外部人可以听到里面有动作,但却没有办法知道里面发生了什么,以 及它如何阻止外部人破解它。 而独立调查员却偏执地选择了这条破解之路。他先制作了一张简单的图表, 以揭示360拳头产品360安全卫士内部的操作模型(如图)。 从这个图中可以看出,360安全卫士对用户在电脑上进行软件操作、文档操 作等所有操作举动均秘密进行监视、记录,然后进行压缩后上传至云端服务器; 过去,上传的过程为明文上传,这对用户的隐私带来非常严重的威胁,在经历过 几次大的泄密事件后,目前上传文件已经加密。 文件上传到360云端存储后,文件会立即在本地被删除,这招防御术非常凶 狠,即使有人破解其行为,并获得文件证据,但因为随时的删除,很难将证据做 实,变成死无对证的孤证。 用户电脑中的360安全卫士这一套运行机制都是事先预设好的,可以独立操 作完成;但实际上,360云端(360安全数据中心)对用户客户端的360安全卫士 具备直接控制能力。360云端不仅可以下达专门的指令(后文还将详述),同时 一旦360安全卫士发现有人在监视其通信操作等,会发出安全警告以阻止继续操 作并限时自行禁止。这也给破获工作带来相当程度的干扰。 据一名多年研究360产品的黑客告诉《每日经济新闻》记者,“设置如此高 难度障碍的人一定是行业的高手。可以断定,360内部一定有国内顶尖级的黑客 高手。他们才有可能做到既做暗事,又不留任何把柄。这就像是一个江洋大盗, 来无影,去无踪,飘忽不定,作案后现场不留任何痕迹,实在是高精尖的设计。” 这名黑客发现,360安全卫士的暗箱操作行踪越来越没有规律可循,换句话 说,其运作规律经过精心策划,非常不容易被外界掌握。同时,其获取信息的区 域半径越来越由中心城市向二、三、四线城市延伸。这样的话,要想抓到证据就 更为艰难。“中国拥有30多个省级行政区,336个二级行政区,还不包括数以千 计的三级、四级行政区,这就相当于360安全卫士在中国网民的生活中布下了天 罗地网。” 据《每日经济新闻》记者调查发现,国内不止一家公司准备投入大量人力来 破获360的违法行为,但最终都偃旗息鼓。原因就在于,360收集用户信息的行为 “就像空中划过的彗星,茫茫夜空,布下天罗地网,时刻守候,才有可能有所斩 获,这样的投入产出比太低了”。 黑匣子现身:对用户个人信息涉嫌暗箱操作/    “破解360安全卫士的非法操作,是一件很好玩的猫捉老鼠的事情。”上述 黑客向《每日经济新闻》记者感叹说,360安全卫士的技术架构非常复杂,组件 有很多程序,软件包有几十个可执行的程序,还有扩展库。如果要查清楚是否侵 犯用户隐私,则需要对每个程序进行分析,就像分析病毒一样地分析每个文件, 而这需要投入大量的时间和精力。 这名黑客给记者展示了许多“同行”间来往的邮件,此中展现出破解之后的 喜悦,以及经验的交流。 而独立调查员宣称,他“已基本破解了360安全卫士的谜局,但离发布还为 时尚早”,因为他要做“铁板钉钉的事情”。 在《每日经济新闻》记者保证不会将其操作思路披露的情况下,独立调查员 将其操作的核心步骤进行了详尽的现场演示。在征得其允诺的情况下,记者可以 告知的是:针对360的设置,进行反向操作,反向分析而破解。 到目前为止,已经披露的最重要证据为独立调查员于2012年12月6日在其微 博上发布的一个视频(http:/weibo.com/2902756801/z8BUvfWqe)。这份视频详 尽地破解了360安全卫士秘密获取用户信息的过程。 独立调查员告诉记者,这份13分36秒的视频以完整的手法记录了破获360窃 取用户隐私的证据。它证明了360在用户电脑中收集、上传用户信息的“动作”, “猖狂到任何简单的、常规的软件操作行为都将被记录,与安全问题完全无关, 而这些信息都在用户个人隐私范畴”。 但据独立调查员宣称,这份视频资料并非其采集、制作,“而是来自一名自 称是安全领域专家的匿名人士”,他通过微博私信向独立调查员爆料:自己已经 掌握了360安全卫士7.3窃取用户隐私并上传到360服务器的司法证据,现在可以 无偿将这段司法证据给他。 而关于这份证据,独立调查员认为,将是未来给360的“一颗小小的炸弹”, 在法庭上是有力的呈堂证供。 据记者了解,去年11月28日,在易观国际主办的“易士堂”网络安全论坛 (第二季)论坛上,这份视频资料也曾分享给包括国家信息中心、中国信息安全 测评中心等安全业界人士;而最初制作这段视频并进行司法公证的正是金山安全 专家李铁军。不过李铁军否认自己就是给独立调查员爆料的匿名人士。 据李铁军透露,2010年11月,卡饭安全论坛有人爆料称“360安全卫士7.3的 某个版本会窃取用户隐私上传到360服务器”,爆料的内容非常简单,只提供了 一个有趣的细节暗示:需要用户在360loginfo目录对删除权限做一个修改才有可 能捕捉到360的罪证,帖子不久就消失了。 李铁军首先尝试重现帖子描述的问题,而不是对软件进行逆向分析,经过数 月才完成了这一个证据的抓取。 “反反复复不知道试了多少回。”李铁军对《每日经济新闻》记者表示,凭 借多年的经验,他终于找到了关键所在,比如有窃取隐私问题的360安全卫士版 本号为7.3.0.2003l,数字签名时间为2010年11月8日,要想重现必须将 360loginfo访问权限修改为“所有人不可删除”;再比如安装时修改系统时间与 2010年11月8日不能相差太久,安装前须断开网络(禁用网卡或拔网线)。 即使这样,也有一些情况在李铁军“意料之外”。 “开始想到的是禁用网卡和改360loginfo目录的访问权限,但奇怪的是,有 时能在安装后几分钟内即可在360loginfo目录看到日志生成,有时等几小时都不 能重现,于是尝试将系统日期从单数修改为双数或从双数修改为单数,结果很快 看到奇怪的日志文件出现了。”李铁军表示,这几条重现规则是反复多次尝试之 后才总结出来的。 而上述结果也在曝光之后第一时间得到IDF互联网情报威慑防御实验室的验 证。2012年11月25日,该实验室发布报告表示,360安全卫士v7.3.0.2003l所搜 集用户软件操作信息,对用户隐私造成风险,若用户运行 某 一 程 序 ,360安 全 卫 士v7.3.0.2003l会把程序所在路径搜集并未经加密上传至360服务器。若 360公司所存放信息的数据库泄露或传输数据被黑客截取进行社工分析,可造成 用户的信息泄露。 万涛对《每日经济新闻》表示,根据之前的评测报告,360安全卫士 v7.3.0.2003l对用户信息的处理涉嫌未遵守其中的用户知情权、选择权及禁止权, 并在未获得个人信息主体的明确同意下记录和上传用户行为数据。 值得注意的是,已于2月1日正式生效的我国首个个人信息保护国家标准 《信息安全技术公共及商用服务信息系统个人信息保护指南》明确规定,个人信 息获得者在收集个人信息时,需“具有特定、明确、合法的目的”。基于此,在 收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下 事项:处理个人信息的目的;个人信息的收集方式和手段、收集的具体内容和留 存时限;个人信息的使用范围、被收集后的个人信息保护措施、个人信息主体的 投诉渠道;同时提醒个人信息主体提供个人信息后可能存在的风险和个人信息主 体不提供个人信息可能出现的后果。且“只收集能够达到已告知目的的最少信 息”。而信息获得者如需将个人信息转移或委托于其他组织和机构时,也需要向 个人信息主体明确告知转移或委托的目的、转移或委托个人信息的具体内容和使 用范围、接受委托的个人信息获得者的名称、地址、联系方式等。 很明显,360公司在个人信息的收集、加工、转移、删除等环节,明显将行 业的游戏规则抛诸脑后,一意孤行地进行着暗箱操作。 技术篇之二·后门 360后门秘道:“上帝之手”,抑或“恶魔之手”? 每经记者 秦俑 “作为宣称‘最安全的浏览器’的360安全浏览器,被发现存在极大潜在安 全威胁的‘后门’。毫无疑问,‘独立调查员’是第一人。即使给他颁发一个国 家级的科技发现奖也不为过。而且,多少年后,人们一定会感谢这位幕后的英雄, 为了广大用户的上网安全,做出了卓越的贡献。”百度安全部门的相关负责人如 此评价360安全浏览器“后门”发现者。 按照独立调查员的理解,所谓360的后门,不仅存在于360安全浏览器,也存 在于360安全卫士。他说,“你这样来看,在你的小区,保安说,因为安全的需 要,你们要将房门的钥匙放一把在我身上,我可以随时来检查你家庭的安全。这 本身已经非常大的不安全了,但你更不知道的是,这个保安公司,还在地下挖有 一条通道,可以直接从地下通过地道悄悄进入你的房间。而这个地道,就是后 门。” 360后门秘道浮出水面/ 2012年10月,当时“方周大战”正酣,独立调查员才注意到了360安全产品, 因为他一直是裸机,从未想过要关注360。但这一关注,他敏锐地发现,360“非 常异类”——许多行为不仅是反安全的,甚至是“反人类的”。 独立调查员特意在用于测试的虚拟机中安装了全套360产品,并由此发现360 产品的许多 “不规矩行为”,他随手将这些发现发布在微博上,立即引起许多 关注,但也遭到一些人的攻击。“有些人明显就是360的人在挑衅,这激怒了我, 我这人不喜欢耍嘴皮子,我是软件专业人员,我只讲证据”,独立调查员如此说。 独立调查员发现,360浏览器网络通信有非常异常的情况,“最开始只是发 现其时间周期性:每隔5分钟,浏览器就主动发起一次与服务器之间的通信过程, 虽然不知道在干嘛,但其短周期性非常可疑。” 为什么不打开任何网页、不动键盘和鼠标,360浏览器依然忙个不停呢? “国内外所有的知名浏览器都不会存在这样的行为模式。可以肯定,此中必有蹊 跷”。 于是,他继续追查,虽然下载的文件名是文本文件(ini),但当他把数据 包拼接成文件后一看 (当时尚不知道服务器IP地址对应域名,受服务器限制未 能通过网址直接下载文件,也尚未注意到文件被暂存于临时文件夹),实际是个 DLL(可动态加载的程序模块)。“以我的知识和经验,很快意识到问题的严重 性——以更新配置文件为耳目、周期性下载并加载执行小程序——这是一个后门。 至于360利用它做什么、曾做过什么并非重点,重点是他们可以做任何事而不为 人知、不留痕迹。” 于是,他于去年10月29日通过微博对外公布了360浏览器有后门的事实,同 时公开向工信部、公安部发出了一封名为《公开举报奇虎360公司——致工信部、 公安部公开信》的举报信。 《每日经济新闻》记者注意到,在这封举报信中,独立调查员直接斥责道: “奇虎360公司的 ‘360安全浏览器’暗藏‘后门’,是用户系统安全和信息安 全的严重潜在威胁”。 他举证说,360安全浏览器实为C/S架构木马系统的客户端,服务器群是 se.360.cn(云架构,IP地址不定)。浏览器每隔5分钟即向服务器请求新的“指 示”。新的指示伪装成Ini(纯文本文件类型)发出,实际上是DII文件 (Windows可执行程序库或资料库)等。 此事一石激起千层浪。不过,具有挑战的是,独立调查员的分析结果仅仅是 网络分析,是“后门”机制的初步证据和技术推断,而非直接的铁证。正是因为 这样,360开始在网络上对其进行质疑、攻击,甚至嘲讽。 “他们以为我只会网络抓包呢!”独立调查员表示。于是,为了做实360的 后门机制,他决定反向分析浏览器本身的程序库,并详细分析出“后门”机制的 内部执行流程。 然而,这并非一件容易的事情。“因为没有软件源程序、更没有设计文档, 所以分析难度相当大。给你个软件,只能进行其公开可见的操作,而内部运作却 完全是个黑洞。”独立调查员表示。 源程序(源代码)自然没有。而要通过反向工程来破解,难度相对较高,也 非常浪费时间。何况360浏览器软件规模不小,而且还有很多内置的扩展程序。 “我首先用排除法把扩展组件挨个干掉,我删掉一个扩展组件,如果后门机 制还在,说明与这个扩展组件无关。”独立调查员最开始的直觉是后门应该在扩 展程序里面,因为主程序要送检,但是当独立调查员把可见的扩展程序全部删掉 后,后门还在,于是他开始删(对普通用户)不可见的扩展组件。 “通过排除法,最后确认是扩展组件SmartWiz在搞鬼。删掉它以后,浏览器 就安静了,那个5分钟一轮的上传下达活动消失了。” 不过,还没有结束。为了进一步查明360后门真相,独立调查员还需要反向 编译出汇编代码并跟踪测试。 通过一系列技术过程,独立调查员掌握了360浏览器在SmartWiz整个组件里 与360服务器间建立通信、下载、临时存储、加载执行、删除(销毁证据)的流 程,同时也知道了其时钟控制调度机制(5分钟间隔定时器)。 360后门的安全之殇/ 360安全浏览器设计出来的后门,恰恰给用户带来了极大的不安全。 为了让用户知道这个后门的恶劣程度,一直涉足互联网安全工作的腾讯集团 副总裁曾宇,对没有后门的浏览器的重要性做了解答(如左图)。 一般个人用户的电脑中,90%以上为windows系统,这套系统与互联网之间的 联系,是需要浏览器来实现的,同时,因为浏览器的闭环作用 (可以理解为没有缝的鸡蛋壳,除非用户特别授权),其也是windows系统与互 联网之间的天然屏障,任何来自于其他云端的指令等,都不会穿透这层保护而到 达windows系统。这样,用户电脑中的windows系统得到最好的保护,所有执行的 指令,都是来自于用户自己。 而IDF互联网情报威慑防御实验室创始人万涛则对浏览器后门做了解读。他 说,被称作360“安全”的浏览器,却有一个特殊的资源文件,这个资源文件硬 生生地将这个蛋壳打开了一条缝,而且是一条用户看不到的缝。 通过这个后门,360浏览器可以根据监视用户电脑操作过程中出现的情况, 向360云安全中心发出请求,360云端的后门服务体系根据请求,给出相应的DLL, 即windows可执行程序库。这个DLL通过360浏览器的后门,直接进入用户的 windows系统。 此时,这个DLL好生了得,它甚至已不受浏览器的控制,它在用户windows系 统中可做的事情包括但不限于: 获取用户的文件,并上传到云端; 读写、增删用户的文件; 监听用户通讯; 更改windows系统的注册表或重要的设置参数; 悄悄卸载竞争对手的产品,等等。 同时,这个DLL还可以通过这个后门,直接对互联网发出指令,包括但不限 于: 自动从360服务器下载软件来安装或运行; 代替用户直接进行电子商务操作; 释放木马或病毒、创建常驻系统的服务,等等。 360是否做了这些呢?如果做了,对其自身又会有怎样的价值呢?会对行业、 用户带来怎样的伤害呢?没有人知道答案。 “搞清楚这些细节后,我就着手重现后门机制的运作,让本来不可见的过程 变得可见,以做可视化演示,让大家不仅能感知而且能 ‘看到’360暗设的这道 ‘后门’。”独立调查员表示。 在他看来,360那个后门每5分钟都会找360服务器下载一个DLL并加载执行, 但它是个后门,隐蔽性第一,因此DLL无论如何不会现身,不存在弹出对话窗口 或消息框,因此需要给它模拟一个测试环境。 “通过在本地架设DNS服务,劫持360.cn的域名解析,把我的机器伪装成360 的服务器,然后那个注入浏览器的DLL不就由我自由控制了么?”独立调查员表 示,通过编一个只要被加载执行就马上弹出消息框的DLL,拿自己写的DLL注入给 360浏览器,这就让360浏览器的后门机制的运行完全可见了。 就这样,浏览器果然如预期的那样,把独立调查员在DLL里面写的消息框给 弹出来了。 “被活捉啊!”从去年10月29日的公开信到11月5日的反向工程分析研究, 前后仅为六天(仅利用业余时间)。 一个细微的细节是,独立调查员为了让更多的用户知道360暗藏后门的事实, 还将其调查结果通过65分钟不间断的视频进行全网络直播。由于要保证视频内容 真正做到65分钟不间断、不剪接,而实际上他花费了4个多小时一次次现实演示, 直至实现一次性完成,才算真正完成这一取证工作。 独立调查员指出,可执行文件DLL绝非软件的自动更新(软件更新是持久性 的),360安全浏览器自动更新仅在启动时执行一次,与此行为无关;而它也不 是浏览器的一部分,下载、暂存、加载调用后将立即被删除,完成使命后,不留 任何痕迹。 360后门:绑架用户的遥控器/ 独立调查员的这一发现发布后,立即在业内引起巨大震动。 以电子取证为主业的独立第三方IDF互联网情报威慑防御实验室立即跟进, 对独立调查员的举报结论进行重复性认证,结论为:360安全浏览器v5.0.8.7的 ExtSmartWiz.dll文件的属性、行为及反编译内容与独立调查员描述完全一致。 万涛表示,在当时的检测中,即使在关闭360安全中心可以关闭的功能,包 括网址云安全、广告云拦截、第二代防假死、沙箱保护,在未进行任何浏览器操 作情况下,仍然可以抓取到ExtSmartWiz.dll请求服务器文件及下载服务器文件 记录,而这些并未包含在《360用户隐私保护白皮书》有关“360安全浏览器的隐 私保护说明”中。 业内一位安全专家认为,360浏览器利用后门通过秘密手段,每5分钟操作一 次程序性动作,究竟做了什么?现在不易获知,相信终有一天,360内部的程序 员等知情人士会将此完整地披露给大众。但可以认定,360这一行为有不可告人 的目的,最为正面的理解是:如果全国要抓贪腐,可能不再需要小三、二奶们自 告奋勇地献身了,只要打开360浏览器,贪腐只要是上网的,基本上其丑行就可 以通过360安全浏览器、360安全卫士这个后门机制暴露无遗了。 针对独立调查员的证据,360方面至今也无正面回应。 据独立调查员的最新消息,360安全浏览器5.0版的“后门”机制仍在运作, 但360服务器已不再通过“后门”下发任何DLL,仅下发空文件(文件大小为0的 文件)。 对360安全浏览器最新版(6.0.2.202)的网络通信监测表明,在未打开和浏 览任何网站的情况下,浏览器仍然在与360云服务器密集通信,但与5.0版的情况 明显不同。这里是否藏了什么新的秘密? 独立调查员对此已作了尝试调研,他告诉 《每日经济新闻》记者,“有关 结果,在合适的时候会披露出来。” “此中有一个不易注意的细节,”独立调查员告诉记者,“当时,360安全 浏览器产品经理陶伟华在回应我的微博时,就把我指出的ExtSmartWiz.dll文件 名篡改成SmartWizRes.dll,而现在其6.0版本恰恰就是现在的 ‘SmartWizRes.dll’,可见其早已有想通过偷梁换柱的方式掩盖其恶行。”    据多位安全专家表示,“后门”并非360独创,原来,其作用为“方便之 门”。最著名的“后门”软件为灰鸽子(Hack.Huigezi)。其诞生于2001年,原 本是一款优秀的远程控制软件,其后门机制作用为方便实施远程控制。但正是这 “后门”机制,又使其成为集多种控制方法于一体的木马病毒。一旦用户电脑不 幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、 重要文件等皆手到擒来。因此,自其诞生之日起,就被反病毒专业人士判定为最 具危险性的后门程序,并引发了安全领域的高度关注,同时成为全球公认的“毒 王”。 360安全浏览器比“灰鸽子”更为危险的是,它的市场占有量很高。根据艾 瑞咨询此前发布的数据显示,360最主要的产品360安全卫士的市场份额已经高达 84.41%,同时360也拥有国内最大的浏览器和网址导航份额,所占市场份额大致 为30%。这也意味着数亿量级360浏览器安装于用户的电脑中,如果有人破解360 安全浏览器,从而控制这个后门的话,那将是灾难性事件,它导致一个国家的瘫 痪都是完全可能的。因为360安全卫士、360安全浏览器早已进入了中国大多数用 户的电脑。 万涛进一步指出,更为令人担忧的是,360的“后门”控制属于云端,至今 仍秘而不宣。“凡安装360安全浏览器或360安全卫士的电脑,都已客观上成了 360可以任意支配的‘肉鸡’。而360目前在许多领域中的不正当行为,都是基于 其安全入口的裁判员机制而实施成功的。” 而来自金山的反病毒专家李铁军认为,360浏览器的后门机制,实际上已绑 架了用户,成为360通过用户的浏览器来直接攻击竞争对手的工具,包括阻止或 杀死竞争对手的各类客户端软件,阻止其中的重要程序,破坏竞争对手软件的功 能等等。“这样的丑行只有中国才有,是世界上惟一的先例。” 商业篇 360:互联网的“一枝黄花” 每经记者 秦俑 自由评论人、技术经济观察家瞬雨给《每日经济新闻》记者讲述了一个历史 故事: 1935年,上海从北美引进“加拿大一枝黄花”作为观赏植物,因其艳丽多姿, 多用于插花配花。然而上世纪80年代,因其具有极强的繁殖和快速侵占力,同时, 其根系会释放乙炔气体抑制其他物种生长,从而导致“加拿大一枝黄花”扎根之 处,所有植物均迅速死亡,甚至使上海30多种植物物种消亡,从而被列为恶性杂 草。几十年来,许多地区一直在进行剿灭“加拿大一枝黄花”行动。 瞬雨认为,360很像中国互联网界的 “一枝黄花”。360董事长周鸿?一直强 调“破坏性创新”,这正是“一枝黄花”的最好注解。 对于360及周鸿?,外界基本上分为两个阵营:爱之者为之欢呼,恨之者为之 切齿。而欢呼者,正是出于对其破坏性快感的获得,以及对其破坏过程中所呈现 的“流氓特性”的认可;而切齿者,则不仅因其对整个互联网社会的强大破坏力, 更缘于其不断地突破底线,以及对人们价值观的不断挑战。 “破坏是一件容易的事,而建设才是根本。创新不能总是以破坏为代价。” 瞬雨向《每日经济新闻》记者表示,“酿制出一只青花瓷瓶,或许需要数月甚至 数年的精到功夫与时间,但破坏它,一锤子砸它,只需要一秒钟。” 瞬雨认为,360更大的危害,在于其还有许多人们所不能见的潜在威胁:360 安全卫士、360浏览器的“癌性基因”。 作为互联网安全厂商,最重要的特性,就是恪守“第三方安全”准则:不得 随意代替用户作决定或处理;不得以安全的名义,为厂商自己牟利;不得在安全 领域,既当运动员,又是裁判员。 但360恰恰就在这些方面,完全违背了安全厂商的基本准则。当360安全卫士、 360安全浏览器植入用户电脑的时候,360便通过它们在用户知情或不知情的情况 下,直接代替用户做决定,完成各种动作。 “这样的产品在市场上将是无敌的。”瞬雨举例说,“一场拳击赛,A方只 可以以拳击打对方的有效部位,但B方却可以手脚并用,并可以攻击你的下三路, 那A方必输无疑。” 这是360致胜的法宝。 而在掠夺市场的过程中,360安全卫士、360浏览器恰是一对并蒂的“恶之 花”。 商业篇之一·生意经 360生意经:圈地运动与癌性扩张 每经记者 秦俑 近日,百度要求凤巢(百度搜索营销管理平台)用户安装安全插件,以检验 浏览器的安全性。而360以用户名义,给予这个插件以 “网友差评”标签,并通 过其系统,认定该插件为“偷拍插件”。然后,在360安全卫士的“清理插件” 功能下,直接诱导和恐吓用户卸载该插件。 360凭什么将百度这个插件定义为“偷拍插件”?凭什么要用户卸载?事实 上,全球其他所有浏览器均对上述插件无异议。 独立调查员向《每日经济新闻》记者分析说,360软件 (含互联网服务)产 品,涵盖安全防护(安全卫士、手机卫士、杀毒等)、操作环境(浏览器、桌面、 软件管家等)、工具软件(五花八门)、游戏平台、导航搜索和电商网站等, “如果把电脑系统比作软件产品的运动场,从安全角度看,安全防护产品是裁判 员,其他产品则是运动员”。 很显然,360兼具裁判员、运动员双重身份。 做为裁判员,360能否公平对待同场竞争的运动员(竞争对手)和看台观众 (用户),是人们判断其价值最关键、也是最重要的因素。 “我们无法想象,微软会通过Windows产品不断提示用户IE才是安全的浏览 器、借网民的名义指控Google搜索是钓鱼网银的帮凶、腾讯电脑管家是最差的安 全防护产品;我们无法想象,微软通过Windows产品把用户安装的所有浏览器的 默认首页都强行设定为自身的官方网站;我们无法想象,微软会通过Windows产 品向全球电脑秘密下达卸载Chrome浏览器的指令;我们无法想象,微软Bing搜索 引擎盗用Google搜索引擎的结果数据。”独立调查员说,“是的,善良的人们无 法想象,更无法接受这一切,有社会责任感的企业公民对此都会嗤之以鼻—— ‘我们绝不这么干!’” 独立调查员认为,360有两条“成功密钥”,第一,是以“民事诉讼8连败” 为代表的发展模式:先踩法律底线,以求先发展——在中国,360钻了品牌与道德 成本太低的空子;第二,就是以安全和免费名义 “绑架”用户,然后以安全裁 判员的身份,展开“竞争”。 以“永久免费”为口号,360安全卫士及其关联产品很快占据较高市场份额。 “电脑安全性评分”是360安全卫士最重要的基础性功能。360安全卫士会自 动扫描客户端所在系统的“安全隐患”,不符合360“安全标准”要求的就扣分, 但评分标准和权重并不公开。 比如全新安装的Windows7,在开启自动更新、尚未安装任何第三方软件前, 360安全卫士对其安全评估结果竟是0分 (满分100分)。这个0分意味着什么? Windows真的很不安全?实际测试发现,根据其安全警示清单一项一项 “优化或 修复”后,评分逐步增加,但始终处于低位、不到60分,直到“优化浏览器”并 “锁定首页”后,安全性评分迅速接近满分!事实上,所谓“优化浏览器”就是 “安装360浏览器并设定为默认浏览器”,“锁定首页”就是“修改首页为360导 航”。 需要修复的项目还有 (不限于):卸载“差评插件”百度浏览器工具栏、 优化IE(实为篡改IE的首页、标签页、默认搜索引擎为360的有关服务)、删除 收藏夹中对手的项目(百度、腾讯、谷歌等)等等。 360安全卫士甚至曾伪装成微软 Windows补 丁 安 装 程 序KB360018,以 “IE6内核升级”的名义欺骗用户安装360浏览器。国外权威技术网站 SystemExplorer已将360的这个假冒微软系统补丁文件定为“100%安全威胁”, 从而使后者遭遇微软调查。 尤其是360安全卫士在评分后的“一键修复”功能,更是其占领市场的利器。 其借助傻瓜式的“一键修复”,导致用户在电脑上用什么、不用什么,都由360 安全卫士说了算,至于是否都与安全性有关,一般用户自然看不出门道,相反还 会对360的这些“强奸”行为“感恩戴德”——这些用户原本连安装或卸载软件 的操作都不熟练,而360安全卫士就是一台“傻瓜相机”。 事实上,360安全卫士不只是一台“傻瓜相机”,其云安全数据中心动态控 制着一切,可以根据360自身需要更改其软件资料库、评分标准和权重,随时准 备向对手发起“云查杀”以保护自身利益。 独立调查员向 《每日经济新闻》记者分析说,360的发展路径,即从360软 件产品底层技术构架开始,埋下不同于所有互联网公司发展的“癌变基因”,然 后,此“癌变基因”通过浸润,向操作环境领域发展,再向工具软件、游戏平台 发展,最终进入真正的互联网领域——导航、搜索、电商网站,以及电商网银体 系等。 360绿色网站的安全谎言:“偷梁换柱”浸润电商网银安全体系/   2月6日,360官网上一条 “网购首选,3亿用户的共同选择”的广告悄然上 线。打开这条广告链接,以“网购安全”为主题的新款“360安全浏览器”赫然 在目。 据《每日经济新闻》记者获得的360内部信息,360将借今年的“3·15”活 动,大力推动与国内电商企业的合作,以将360安全浏览器植入电商领域。这则 推广广告,正是这一步骤的前奏曲。 据记者调查,360两年前开始布局电子商务安全领域,其最先打出的 “安全 产品”是 “网银无忧”、“地址栏铭牌”,即360浏览器主推的“绿色网站认 证”。 360向人们传递的信息是,“360绿色网站认证”可以确保用户使用网银以及 电子商务交易安全。 众所周知,电子商务的交易安全,尤其是网银,一直是网民、乃至整个社会 焦点关注的问题之一。欧美、日本等国家的网银安全体系非常复杂与发达,而国 内的网银体系,也是在小心设想、小心求证的前提下,一步步地展开。 那么,360是否真的具备这个能力——取代网银服务提供者身份验证体系, 由自身来充当网银“保镖”呢? 独立调查员怀疑360公司是否具备这个能力。于是,他进行了如下实验,以 了解360绿色网站认证机制: 在本机模拟,将招行网银域名劫持到IP为50.63.127.126(xliar.com)的网站, 并在目标服务器上构建相应目录体系和登录页文件,然后使用360安全浏览器访 问招行大众版登录页,从而进入伪装的招行网银页面。 360网购保镖自动检测招行运行环境,几秒钟后完成检测,报告“本次检测 未发现风险,现在可以放心网购了!” 此时浏览器地址栏铭牌显示为“招商银行”,点击后弹出“通过绿色网站认 证”,披着“招行网银”外衣的劫持网址,即被360认证为招行官方网站。 而同样的操作,使用IE浏览器访问时,IE浏览器地址栏则会以非常显眼的方 式告知用户“(网站数字)证书错误”,点击错误信息可知,该网站证书不属于 招商银行网站。 事实上,用国际主流的浏览器均会弹出类似的错误提醒警示,用户收到信息 后自然会停止交易、避免损失。 这意味着,如果一家诈骗网站通过域名劫持招商银行网站,所谓的“360绿 色网站认证”并不能有效执行网银保镖的辨识功能,进行安全认证。 360安全浏览器的安全检查能力为什么会如此之低呢? 据 《每日经济新闻》记者了解,目前国际主流的认证机构为VeriSign,包 括中国工商银行、中国建设银行、中国银行、中国农业银行均采用该机构认证。 招商银行网页所显示的,也正是该机构的认证,这也作为网上银行安全的基本保 证而得到公认。 而独立调查员演示的证据显示,360浏览器直接屏蔽认证机构VeriSign基于 加密体系的可信认证,将其替换成了360绿色网站认证。 独立调查员提醒网购者,应信任银行网站自身的安全证书,并在整个交易过 程中关注地址栏域名和安全证书中的域名是否一致,以及其根域名是否与官方域 名一致,切勿轻易信任和依赖360的“绿色网站认证”。 独立调查员认为,这又是另一起360“破坏性创新”的典型案例:“一点技 术含量也没有的网站身份认证,竟然可以公然取代国际上通行的网上银行安全认 证体系。这就是360的非创新型破坏。” 然而,对于类似公然挑衅国际准则的行为,为什么监管部门可以坐视不管呢? 可以预想的是,一旦360大规模启动“各大电商推荐安全购物使用360浏览器” 活动,人们的网上购物均要依赖于 “360绿色网站认证”,360收获的将是又一 次360式“癌性扩张”,而中国的网银体系又将会面临怎样的可怕变局? 移动圈地:“非创新型”破坏或止步于苹果?/    在360的2012年年会上,360董事长周鸿?对员工指出:“我认为未来两年将 决定整个无线互联网的市场格局……在过去的一年,360手机卫士用户量突破2亿, 360手机助手的用户量也突破了1亿,成为360在无线互联网上的两个支柱。但两 根柱子支撑不了一个房子,我希望各个团队在2013年会有新的产品能够脱颖而出, 包括很多PC的产品也可以寻找在无线上的发展机会。很简单,未来不会再有无线 互联网公司了,因为每个公司都必须是基于无线互联网的;也不会有PC产品部、 无线产品部的区分,因为以后所有产品都会在PC和移动终端上打通,而没有无线 互联网策略和产品的公司将会被淘汰。” 这段讲话基本上代表了360近期在移动端发展与布局的方向。 在移动端,360是否会重复使用“癌性扩张”的方式来圈地呢? 《每日经济新闻》记者在调查中发现,无论是微博还是公开的论坛,皆有不 少用户曝光了360的一些“作恶”行为,大多包括以下内容:在智能手机通过USB 接入电脑充电或同步数据时,360弹出手机助手的提示,不经意中安装360的其他 产品,甚至装上360的产品之后,其他非360的应用会莫名其妙地“被卸载”。 这也意味着,在移动端的圈地运动中,360依然在复制其PC领域的“癌式扩 张”做法:除了做安全产品外,自身同时开发了全系列的手机软件,然后重新演 绎一遍其在PC端的玩法。 据《每日经济新闻》记者掌握的一份来自某互联网工程师的爆料,包括360 手机卫士、360手机通讯录、360手机浏览器等系列产品存在明文上传用户隐私数 据。上述爆料人提供的证据指出,在机场、咖啡厅,手机用户使用WiFi上网时, 只要登录360手机卫士及360手机通讯录,或者进行云备份或云恢复,用户名(手 机号)、手机IMEI码和密码等高度敏感信息就会通过请求网址明文传输,有了这 些身份鉴别信息,可以使用任何浏览器从360通讯录服务器tongxunlu.360.cn的 非安全通道直接下载用户云备份的通讯录等隐私。 这也意味着第三方可以轻松窃取360用户登录各个网站的密码MD5信息和手机 号,进而可以获取用户包括短信、彩信、通讯录、通讯记录等所有相关隐私数据, 而且还可以篡改并进行钓鱼。 对此,独立调查员进行了相应复检,发现含高度敏感信息的请求网址的参数 部分,仅以BASE64编码(可简单解码,与明文无异),而用户密码虽然经过MD5 加密、但是可直接用于登录,且对客户端合法性没有任何校验。独立调查员向 《每日经济新闻》记者说,请求网址极易被非法拦截,在网址中明文夹带传输高 度敏感信息,以及使用非安全通道下载用户隐私数据,等于把手机用户隐私暴露 在阳光下。 这一现状,与当年360安全卫士起家时如出一辙。 据《每日经济新闻》记者所掌握的证据,国内有多家公司与个人,对360这 方面的“不规距”行为进行了技术论证与法律取证。但这一切,似乎并不能动摇 360在此领域的扩张。 不过目前,似乎有了一些改变。 1月25日,iOS平台上,360旗下360手机卫士、360浏览器等一些应用突然被 苹果应用商店下架,一时在国内引起巨大反响。 360产品被苹果下架,这已不是第一次。2012年2月6日,360旗下包括360手 机卫士、360口信、360浏览器HD、360电池医生、360安全备份、360团购HD等系 列产品均被苹果应用商店下架。 随后,有专业分析师就曾公开表示,通过研究360相关应用的代码发现,至 少360手机卫士和电池医生两款应用存在各种侵犯用户隐私的行为,主要包括: 非法读取用户iPhone上的应用信息、非法阅览用户的照片和音乐文件夹,而iOS 版360手机卫士部分代码还显示,360正在获取系统进程资源信息,而上述行为均 为苹果应用商店严禁的违规行为。 而这一次下架的原因又是什么呢? 据360的官方说法,此次下架,与360手机卫士企业版测试时违反了苹果相应 规则有关——360尝试为中国境内企业用户提供 “骚扰电话拦截”和“来电归属 地显示”等功能。 外界对此也猜测不一:第一,猜测认为,360的多个应用涉嫌调用苹果私有 API,以获取更高权限,而苹果明令禁止这一点;第二,涉嫌刷榜,影响在苹果 应用商店的排名;第三,360多次使用企业证书对外发布公测版本;第四,多款 应用涉嫌自建下载渠道,为用户提供越狱版本。而360的这一切动作,都是对现 行互联网游戏规则的明显侵犯。 IDF互联网情报威慑防御实验室创始人万涛对此认为,最大的可能是,360在 将其代替用户直接进行操作的“非创新型破坏”,从底层数据向上延展,最终到 达应用层时遭到苹果的阻击,比如苹果严厉禁止调用私有API,但360手机卫士企 业版测试却对外开放了私有API的下载链接。又如,苹果对用户隐私信息的保护 非常严厉,而360在这方面触及规则,这非常容易触怒苹果; 《每日经济新闻》记者调查发现,去年iOS版360手机助手上线时,其产品分 为手机客户端版和PC客户端版,其PC客户端版可以直接绕过苹果应用商店为用户 提供下载链接,这也意味着360利用用户数量进行平台化,蚕食苹果市场收益。 业内专业人士管鹏则透露了另一个细节,前段时间传“快用”与360合作, 将快用的技术接入360手机浏览器中。“快用”有一项核心技术“ipa2exe”,这 一技术允许iOS开发者把自己的应用与快用的仿iTunes程序打包在一起,使用户 可以像下载普通的PC软件一样下载iOS应用,并在PC上一键安装进自己的苹果设 备——这已经和越狱市场没有区别了,“或许,这也是360下架的重要原因”。 商业篇之二·V3升级机制 360制胜“秘籍”:神秘的V3升级机制 每经记者 秦俑 据掌握360核心机密的一位360前员工披露,360正在谋划递归DNS的推出,而 要大面积推广递归DNS,将走360特殊的通道:V3升级机制通道。 这位前员工解释说,DNS是域名系统 (DomainNameSystem)的缩写,是因特 网的一项核心服务。简单地说,人们一般记不住IP地址,但人们能够记住域名, DNS就是将人们能够记住的域名转化成机器使用的IP地址的服务。 DNS又有授权DNS与递归DNS之分。授权DNS,是指域名所有者(或其指定的管 理者)指定的域名解析服务器,该服务器存储该域名的原始IP设置,并提供查询 服务。而递归DNS则复杂些:为客户机提供域名查询的DNS服务器——如果该服务 器本身不能解析客户请求查询的域名,则根据一定规则转发查询请求给其他服务 器,直到获得IP为止。360要做递归DNS,即是说:客户机不要请求运营商或企业 的DNS服务器解析了,都交给360的DNS服务器解析好了。 接下来的问题在于,在递归过程中,360最终给的IP地址是否就是用户请求 的呢?为什么360就不会劫持IP地址呢?去年,独立调查员就在微博上就此提出 质疑。他的理由是:DNS劫持现象严重,从小运营商到大运营商都在公开或私下 干这种事。独立调查员举例说,如用户提出百度搜索请求,但360递归DNS给的是 so.360.com的IP地址,为什么不会呢? 《每日经济新闻》记者掌握的进一步情况是:360在技术上已完全做好了准 备,至于推广方式,目前还不能披露,但其核心手段就是“瞒天过海,暗度陈 仓”。而整体实施,正是通过360的V3升级机制。 《每日经济新闻》记者通过数月的调查,终于揭开了所谓的V3机制的神秘面 纱。 任何一个公司的软件,在下载时,都必须基于用户的意愿。程序不能代替用 户自动下载软件。即使是微软的Windows软件,其升级或上线时,也是在微软公 司的提示下,用户同意后,方可升级或上线。 在这方面,用户具有知情权、同意权。任何剥夺或变相剥夺用户这两个权利 的下载,都是违法的。对一些特别清晰而简单的下载或升级或优化,也可以通过 “一键优化”或“一键修复”等来实施。 但360多年来并非依此执行。一方面,360通过“一键优化”或“一键修复”, 绕过用户的一步步审核,要么将竞争对手的软件给优化掉,要么就是在下载中夹 带“私货”,将其最想推广的软件悄悄直接代替用户下载了。 另一方面,360甚至不需要用户的“一键优化”等,在暗中直接给用户的电 脑(或手机)下载其推广的软件。这也就是业内人最为痛恨的“静默安装”, “静默升级”等。 据《每日经济新闻》记者调查,一键优化,是通过360安全卫士,即通过客 户端执行;“静默安装”,则是直接通过云服务器发布指令执行的。而“V3升级” 即是360产品线最重要的捆绑安装渠道。 V3机制,最主要的推广“母体”是360安全卫士与360浏览器,而这两者间, 又有分工与交叉,相互配合,其中的关系非常复杂。为遮人耳目,V3通道并不是 常规的路径,而是在重要的“必须产品”推广中才会实施。通过这一路径,可以 一下子将产品全面铺开,实现最大的安装量。而当360的主体产品拥有的用户基 数越来越高的时候,这样的推广作用也变得更有成效。 从关系示意图(如图)可以看到,V3由360高层决策层下达指令,360安全数 据中心启动,并通过后门机制,将指令性信息传达给用户电脑中安装的360安全 卫士,主要指令为产品推广、删除竞争对手产品、新配置数据等;360安全卫士 在用户Windows系统中,直接执行安装、更改、卸载;然后,通过后门机制,将 信息反馈给360云安全数据中心,该中心再将信息收集、汇总统计后,上传给决 策层。 在360,除产品、技术之外的员工,对V3机制知之甚少。即使是核心员工, 也并非知道其中的全部路径。而要申请使用这一通道,更是需要非常复杂的申请 手续,甚至据称,最终的拍板决定权,也仅在周鸿?一人手中。即使在总裁齐向 东已批准同意的情况下,最终仍需经过周鸿?的批准。 业内一位著名互联网专家称,“多年来,360几乎就是战无不胜,其中,人 们过多地放大了360产品的能力,以及360的流氓特性能力。V3才是360战无不胜 的法宝。如果工信部要管,就把360的V3升级禁止了,360就立刻死定了。” 商业篇之三·用户自卫 360产品频遭卸载令背后:个人隐私自卫意识在觉醒 每经记者 秦俑 《每日经济新闻》记者通过调查发现,360相关产品被苹果下架事件,绝非 偶然,背后既有特殊的原因,也有必然的结果,更有不断成为常态的趋势。 有越来越多的人意识到,粗暴侵犯用户权益,粗暴破坏行业规则,损害企业 基本权益,会给整个行业带来“生,还是死”的危害。而这两个粗暴的“癌性基 因”之变的核心,就是违背了全球公认的互联网江湖的基本准则。 长此以往,“创新型破坏”这一癌变会益发严重,最终,中国互联网会因此 死亡。这才是最可怕的。 来自官方的“SayNo”    其实,最早对360说“NO”的是人民法院,在360历时八年的发展过程中, 与企业间有八场民事诉讼,法院给予的回答是:“八连败!”在法律上,360的 行为被严厉拒绝。 最近以来,政府相关部门也对360接连亮起“黄牌”:国家版权局在去年12 月28日首次表态,称360搜索要抓取百度内容需要获得百度授权,提供百度网页 快照不适用“避风港原则”,要求360进行整改,将视360的整改情况再采取进一 步的管理措施。 根据《每日经济新闻》记者了解,介入360安全问题管理的政府部门范围还 将进一步扩大。据知情人士透露,国家版权局近期将在其行政处罚会议上责令 360停止侵权,并进行整改。 1月24日,北京市工商局对外发布消息:北京市工商局、北京市工商局西城 分局共同约见了北京奇虎科技有限公司(以下简称奇虎公司)负责人,对其利用 “360安全卫士”在浏览器领域实施不正当竞争行为予以行政告诫。 1月30日,国家工商行政管理总局在其官方网站首次披露了对360给予行政告 诫的具体原因:奇虎360利用垄断市场优势,通过不兼容、难卸载等方式阻止网 民安装其他软件;还用推荐诱导、默认同步安装甚至伪装成微软官方补丁等方式, 将其旗下的360浏览器、360网址导航等产品强行安装至网民电脑中,通过默认设 置、强制升级等方式修改用户浏览器和主页设置。 拒绝“360浏览器”:一场“斯大林格勒保卫战”/   2月17日晚间,百度通过官方特服对所有的凤巢客户发了一条短信:“为保 障客户的账号与资金安全,基于试运行的良好效果,百度安全控件将于18日起正 式推广使用。”这意味着,百度“凤巢”系统自18日开始,将在百度客户体系中, 直接、全面封杀360浏览器。 此事还需回溯至今年1月28日,当时百度凤巢开始试运行封杀360浏览器,遭 到360强烈反击,但百度认为,“‘凤巢’系统安全升级后提示用户弃用360浏览 器,是因为之前多次接到过客户反映,使用360浏览器时会出现数据及信息丢失 的情况”,即表示360浏览器不安全。 业内专家认为,浏览器是网站的运行环境,基于兼容性、用户体验或安全性 等因素,网站并无义务保证或允许用户使用所有浏览器,用户需遵守网站的有关 使用规定(包括但不限于浏览器种类、操作系统平台、显示器分辨率等限制), “正如某些网上银行系统不支持FireFox一样,FireFox产品提供者无权指责银 行。” 在百度宣布打击正式实施的前一天,有“黑客教父”之称的安全技术专家万 涛评论说:“从企业权益上来说,百度对于一个相对的内部业务系统限定浏览器 并没有特别大的问题,正如银行网银大多只支持IE浏览器一样。这是度娘的‘斯 大林格勒’保卫战!也说明双方的博弈从普通网友延伸到了百万站长社群。” 据来自百度内部的绝密消息:“这仅是一个开始,百度将会有更严厉的手 段。”而另一位百度高层更是向《每日经济新闻》记者透露,百度未来的主要战 略为一静一动,动静结合,以静制动。具体的策略则不便对外透露。 “从整体上说,360会陷入一场持久而消耗性的战争。”互联网知名评论家 管鹏认为,“这场战争最重要的意义在于,从360诞生以来的所有战争,都是360 主动性进攻,且结果都是以被进攻者被动或失败而告终。而凤巢的反击,则是被 攻击者的有序、主动性的反击。其意义特别深远。” 作为自主行为,企业直接拒绝360的声音,已越来越多。网易是其中一家引 起较大反响的公司,该公司去年内部要求禁用360产品;同样在去年的12月6日, 中国最大钢铁巨头宝钢警告:12万员工必须卸载360。此前亦有媒体报道称,招 商银行总行大厦系统管理员在2010年12月9日就通过内部邮件的形式要求各部门 卸载360安全卫士以及系列软件。 另一件值得关注的,是被披露的360浏览器偷赚网购佣金事件。 据媒体披露,其主要方式是用户在360浏览器中购买商品时,即便不是从淘 宝客的链接点击进入,也可能产生佣金并流入一些ID的口袋中,这些ID号均指向 了“上海奇泰”淘宝客。 360上市时的招股说明书显示,“上海奇泰网络科技有限公司”与奇虎360公 司存在关联关系,奇泰还与360的100%控股公司奇智软件 (北京)有限公司存在 着合约协议关系。 事实上,劫持淘宝客佣金一事,并不是外界首次对360非法获取收入提出质 疑,金山网络CEO傅盛就曾在微博爆料,直指360财报中10亿收入来自电商,其实 是用户通过360浏览器购买100元商品抽成10元。 堂吉诃德:那些走在最前端的程序“猿”们/    对许多黑客的采访,不能亮出他们的身份,而网络上公开的“独立调查 员”,其实只见其人,不知其真名。他不想公开自己的身份影响平静生活,只想 做一些正确的事情。 《每日经济新闻》记者约其采访,几乎周旋了一个月;为确定采访地点,周 旋了两天。第一次采访,访谈了6个小时。而后来的工作中,最辛苦的是连续4天 4夜,独立调查员加起来只睡了大约12个小时。 从整个调查来看,“独立调查员”是典型的程序员思维,比较“轴”,一根 筋。但思维极其敏捷。 为什么要花这么长时间研究360?为什么对360有如此深厚的“隔阂”。《每 日经济新闻》记者的提问,抛给了许多堂吉诃德式的程序“猿”们。 他们的回答,却是惊人地一致:360的“两个粗暴”,是中国互联网的“毒 瘤”,不除“毒瘤”,中国互联网必死。而这个“除”,并非就是消灭360,而 是希望360能够“立地成佛”。 虽然,他们知道,他们的努力,就是堂吉诃德式的,但必须有人去做。 1月13日,独立调查员发出微博,“360浏览器识别方法与程序设计”。 由于害怕对手封杀,360的浏览器产品都删除了身份标识(UserAgent),一 直冒充其内核对应的浏览器(InternetExplorer或 Chrome)。同时,360浏览器 却向特定网站提供准确的身份标识信息,包括CNZZ(浏览器使用统计)、 HTML5Test(HTML5兼容性评分)等网站,其他网站使用常规方法都无法准确识别。 发现这一秘密后,他经过研究,找到了破解的方法,做了一个JS网页脚本程 序,并将代码在网上公开分享。据不完全统计,到2月22日,已有近1000个网站 在使用这个程序。“其中,有相当一部分是淘宝客网站”。 值得关注的,还有万涛,其创立的IDF实验室,在多个地方就以安全的反复 实验数据,论证了独立调查员的多项调查结果;人大计算机系主任石文昌公开以 专家的身份证明独立调查员的一些重要的调查结果;北大电子政务研究院副院长 杨明刚(网名“杨明刚PKU”)也公开支持独立调查员。更有一大批网民直接出 面声援独立调查员。 另一位程序“猿”为瞬雨,其写过许多解剖360的文字,成为这一领域的前 行者。 最终结果会怎样?独立调查员淡然一笑:念念不忘,必有回响。 相关链接 寻找已模糊了的良心 ——两位神秘人物的对话节选(因可以理解的原因,以A、B为代号): A:你知道你的电脑里有一根来自360的泄污管吗?V3通道! B:不知道这事。 A:什么叫强奸?违背意志,强行插入,并且排射污物!这就是360的一贯行 为。 B:“泄污管”有具体所指吗? A:我就是指这个V3升级模块。说来话长,最早这个V3升级代码还是从外面 买来的,分为服务器端,客户端两部分。 B:大概估得到,但没具体研究。 A:360一般程序员都没有V3代码的可读权限,出了问题不能用查代码的方式 解决,只能HOOK自己的程序跟踪。NB吧,对自己人都防守得如此严密。 B:心想反正他们流氓推广不是一两桩。 A:这个代码只有卫士的人有。 B:还能这样?公司内部还玩黑匣子啊。 A:是啊,你就可想而知,这个代码对360有多重要了。而且,V3升级这个 360内部的名词一旦被曝光出来,将极大地震撼360的内部员工。 B:内部就叫“V3升级”? A:是的,内部就叫V3升级模块。比如,说这个版本通过V3下去。对付这个 流氓公司,需要有无数无名英雄的付出,也需要有冲锋陷阵的先锋。 B:你、我,都是无名战士。说白了就是替天行道。 A:是啊,我觉得中国社会,怎么就没有侠客了呢。以前对付贪官恶霸,多 少侠义之士出手啊。一个人的能力都是微小的,但能结成联盟,取长补短,那就 会威力大增。 B:我们一做什么,就会有人说,是收了什么好处…… A:我们是收了好处,就是收到了自己的良心。这是天大的好处。没有良心 的人,我看就是鬼。 B:Y。 (XYS20130227) ◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇