2月6日,瑞星发布了《奇虎360利用“后门”拿走了用户什么》一文,用大量貌似专业的技术细节来混淆视听,欺骗网民。360指出,瑞星无非是两种手法:
1、《鹿鼎记》中,韦小宝说谎的诀窍是基本的事实可以瞎编,但在细节上要显得逼真,这样才能让人相信。瑞星正是钻了多数网民不懂技术的空子,提供一些多数人都看不懂的图,配上一大串的代码,哪怕这些图和代码根本就与“后门”无关,但是看上去却会很唬人。瑞星赌的就是:就算所有安全技术人员都能看出瑞星是在胡扯,至少还可以蒙骗剩下的99%的网民。
2、利用网民对“后门”的恐惧心理,以及“阴谋论”总会有市场的群众心理基础。不管文章内容多么荒诞不经,只要有人看,就会有人信,哪怕一些读者看完以后没有全信,而是将信将疑,那也部分达到了瑞星抹黑360的目的。那瑞星不怕被人揭穿吗?买通公安处长陷害微点这种惊天大案都能做得出来,瑞星还有什么好怕的?
在揭穿瑞星的谎言前,请瑞星先回答两个问题:
1、软件如果开设“后门”,其行为等同木马,直接触犯我国刑法,如果360真如瑞星所说“用后门偷用户隐私”,那瑞星为什么不向公安部门举报?或者干脆把360作为木马查杀?这可比连篇累牍地发文章抹黑360要容易得多,可以直接置360于死地。
2、国内外这么多安全厂商、政府机构和民间安全组织,为什么只有瑞星发现360有“后门”?是否说明瑞星公司在国内安全行业技术最牛?如果是的话,为什么“技术最牛”的瑞星公司连年通不过国际权威、同行公认的VB100测试,以至于现在都没胆量再参加?
当年瑞星陷害微点时,瑞星的“专家”口口声声说微点制造了病毒。结果却表明:制造病毒和冤假错案的正是瑞星自己。这次瑞星又如法炮制了“360后门”,其手段与当年诬陷微点“制造病毒”如出一辙。
现在就让我们来逐条戳穿瑞星的谎言:
【瑞星捏造】:奇虎360给2.6亿用户植入”后门”
2月2日,安全专家发现,360安全卫士在安装进用户电脑时,会偷偷开设”后门”。在此事件爆出后,奇虎公司试图用此前爆出的“漏洞”来掩盖其“存在后门”的事实。其实,“360后门”是软件编写人员故意在其中放入的,而“漏洞”是程序员无意中导致的错误。一个是故意,一个是无意,两者性质完全不同。正常软件不会编写放置“后门”,作为用户安全保护者的安全软件更不能有任何“后门”,只有黑客程序才出于不正当目的,为窃取用户信息加入“后门”。
【360反驳】:
瑞星自己在网上公布了针对360漏洞的攻击代码,以及教唆如何实施攻击的演示视频,但却要指鹿为马地说成是360的“后门”。明明是瑞星自己把漏洞和后门混为一谈,结果还要反咬一口。
【瑞星捏造】:奇虎360利用“后门”监控网民信息
近一年来,很多网友反应安装360安全卫士之后,电脑上网变慢。经过专家分析,由于奇虎360安全卫士偷偷上传用户私人信息,占用了极大带宽,所以造成用户上网变慢。
【360反驳】:
到底是装了瑞星之后电脑变慢,还是装了360之后电脑变慢,用户自己试一试就知道了。在以往由各种机构进行的各种评测中,无论是带宽、CPU还是内存占用,瑞星都远远超过360,那么按瑞星的逻辑,岂不是瑞星自己在大量上传用户隐私了?
【瑞星捏造】:2.6亿用户完全丧失了自己的隐私,被奇虎公司24小时监控。按照黑市的“肉鸡”价格计算,奇虎360的2.6亿用户,每个月可以带来两千余万元的收入。
【360反驳】:
请个保镖,当然是希望保镖贴身保护自己。
在每天新增100万挂马网页的恶劣环境下,时刻了解用户在访问什么网站,才能在用户访问到有安全隐患的网站的时候给出明确提示并启动防范措施,这相当于一件轻便的“软猬甲”。奇虎360铸造的“云查杀”安全体系有及时更新的巨大的恶意网址库,用类似搜索引擎的技术实现上网安全的检查,相对于在电脑上层层设防的“重型装甲”防护手段,这是互联网时代巨大的技术进步。
请注意,在文件感染型病毒横行的时代,瑞星也同样是时刻监视用户磁盘文件的变化而预防病毒的入侵;难道进入互联网时代,网页挂马代替了文件感染病毒成为公害,难道瑞星就没有能力继续为用户24小时值守了么?
当初瑞星陷害微点时,也曾经给微点捏造了一个“制作和传播病毒,造成两家受害公司各10万元损失”的罪名,只不过现在诬陷对象换成了360,数额变成了每月2000万。作为国内知名的安全公司,瑞星既然发现了这么多“罪证”和这么大一个“犯罪组织”,又为什么不敢报警?
【瑞星捏造】:至此,奇虎360给用户电脑安装“后门”,窃取用户信息、监控网民行为的情况才被彻底揭开。根据权威检测,在过去的一年里,360安全卫士断断续续上传了很多用户的信息,包括用户的私密文件、银行软件信息等等。
【360反驳】:
首先,360取的不是“隐私信息”,其次,不是“悄悄窃取”,而是“光明正大地取”!
“举报可疑文件功能”是在用户发现系统可能有问题的时候主动使用的。用户在这时候请安全软件帮助检查电脑中的程序是否有木马潜伏或病毒感染,安全软件当然要逐个查程序的身份,总不能碰上程序名字叫“招行专业版”就跳过不检查吧?要不木马就都改名叫“招行专业版”了。
既然瑞星的“权威”检测到360上传用户的私密文件和银行软件信息,请“权威”说明具体是什么私密文件和银行软件信息。
事实真相是,360采用了全球领先的云安全技术(国际上著名的网络安全公司趋势等也在使用类似的云安全技术),来实现对木马、病毒等恶意软件以及恶意网页的有效查杀和安全防护。
360云安全技术的核心是建立了国内最大的木马病毒库、安全文件的白名单库和恶意网址库,360安全卫士在扫描木马病毒时,会把可执行文件的特征信息提交给服务器的木马病毒库、白名单库、恶意网址库进行比对检测,能够第一时间查杀最新流行的木马病毒。因为无需安装和频繁更新本地的木马病毒特征库,因而360安全卫士更加快速、轻巧、不占资源。
360云安全技术主要运用在如下几个方面:
1、木马云查杀和主动防御
在360安全卫士和360杀毒的木马查杀中,会扫描用户电脑中的可执行程序文件(例如后缀名为exe、dll等的文件),将文件的特征信息(如文件名和文件特征值)发送给360云安全计算中心的木马病毒库和白名单库进行比对检测,然后根据服务器返回结果,判定这些程序文件是否为木马病毒并予以查杀。
在360安全卫士、360杀毒、360保险箱等产品的主动防御功能中,当一个程序文件执行时,也会将其文件特征信息发送给360云安全计算中心的木马病毒库和白名单库进行比对检测,然后根据服务器返回结果,判定是否对这个程序文件予以拦截、警告或者放行。
电脑连网与360云安全计算中心木马病毒库和白名单库比对检测的文件,全部是可执行的程序文件。连网检测的文件不包含用户的文档、图表、图片、视频等与隐私相关的非程序文件和信息(如:姓名、电话、住址、E-mail、帐号信息等)。
电脑连网比对检测的文件信息,仅包括文件名、文件特征值(MD5)、可疑的二进制代码和可疑的脚本程序。
2、恶意网页拦截
用户在使用360安全浏览器,或者开启了360网盾并使用IE浏览器浏览访问网页时,360会将该页面URL的HASH值发送给360云安全计算中心的恶意网址库,查询该页面是否是挂马页面、恶意网址、钓鱼网站等,然后根据查询结果向用户发出危险告警或者拦截。这个功能与众多其他安全产品采用了相同的技术实现方式,如GoogleChrome浏览器、金山网盾等。
电脑连网与恶意网址数据库比对检测,所提交的数据仅为URL网址,不包含可追踪定位用户的信息(如:用户ID、电脑名称等)和其他隐私信息
3、举报可疑程序和可疑网页样本
对于加入360“云安全计划”的用户电脑,当360安全卫士发现用户电脑中的可疑程序文件或者可疑网页时,360会弹出提示框,在明确征得用户同意的前提下,将可疑程序文件和可疑网页的样本上传到360云安全计算中心的恶意软件和恶意网页分析中心。这个过程仍然只会上传具有可疑行为的程序文件和网页样本,而不会涉及到用户的任何个人数据、邮件、聊天记录、账户等隐私信息。
4、用户体验改善计划所需的日志统计信息
在明确征得用户同意的前提下,360软件会将且仅将360软件自己的安装、卸载,以及部分功能的使用、点击次数等统计信息上传到服务器,这将有助于我们更好地改善360的产品功能和用户体验。这个过程同样不会涉及到任何用户的个人数据和隐私信息。
综上所述,360安全卫士等系列软件在运用云安全技术实现对木马病毒、恶意软件、恶意网页的有效查杀和防护的同时,并不会上传用户的个人数据和隐私信息。用户完全可以放心使用360。
【瑞星捏造】:奇虎通过后门,监控网民、窃取用户信息技术细节第一:时刻监视用户访问网站,上传至奇虎360网站
(用户访问搜狐网站时,抓包分析如上图)
当用户使用360浏览器访问某个网址时,该网址就会被发送到360-s.qihoo.com,,而且没有加密。也就是说,凡是用户通过奇虎360浏览器浏览任何网址,都会被奇虎记录下来。用户毫无隐私可言。
【360反驳】:
瑞星抓包分析了最正常不过的“云安全网址过滤”功能,很多软件(如GoogleChrome浏览器、金山网盾等)都有类似功能,瑞星自己没有这个技术,于是就装作不认识的样子。让我们给瑞星上一课:
1.360安全浏览器的重要功能之一是云安全网址过滤。就是对用户在浏览器地址栏输入的网址与360安全中心的恶意网址库进行比对,第一时间拦截报警木马、挂马和钓鱼网址。360安全浏览器早期版本(1.5版以前)采用的是类似查杀恶评插件的网友投票评分的方式。从瑞星的截图来看,了解HTTP协议的用户可以知道这是一个遵循1.1版协议的HTTP读取请求,访问的是360-s.qihoo.com这台服务器,返回的是360网友对sohu.comsohu.com这个域名的安全评分结果。
2.用户点击查询网址评分之前以及之后,从流量抓包工具中可以看到360安全浏览器没有任何连接360服务器的行为。点击查询评分可以看到一个HTTP的请求,其网络数据包就是瑞星展示出的信息,而请求结果就是显示出的网址评分。
3.没有加密正说明了360欢迎广大网民的监督和检验。360产品的任何上传信息都经得起任何人的检验。如果加密了还真不知道会被瑞星诬陷成什么。
4.说360安全浏览器会记录用户浏览的网址更是无中生有、没有事实为依据的阴谋论。为什么不给读者看他们能够看得明白的内容,而专门挑选广大网民不容易看懂、貌似技术性很强的网络数据包和十六进制数据?
5.真相截图
【瑞星捏造】:第二:悄悄盗取用户电脑隐私信息360安全卫士具有“举报可疑文件功能”,通过技术分析可以看到,在360安全卫士上传的数据中,不但包括了用户系统的信息,还包括用户安装补丁和用户所安装的软件信息,甚至包含了“招商银行专业版”等软件信息。截图如下:
U1-SOFTE:AdobeFlashPlayer10ActiveX|10.0.22.87|AdobeSystemsIncorporated|
U1-SOFTE:AdobePhotoshop7.0.1|7.0.1|AdobeSystems,Inc.|
U1-SOFTE:BCWipe3.0|||
U1-SOFTE:DellWirelessWLANCard|4.10.47.3|DellInc.|
U1-SOFTE:招行专业版|||
U1-SOFTE:ConexantHDAD110MDCV.92Modem|||
U1-SOFTE:Ethereal0.99.0|0.99.0|TheEtherealdevelopercommunity,http://www.ethereal.com|
U1-SOFTE:HyperSnap6.21.02免注册汉化版|HyperSnap6.21.02免注册汉化版|雅诗(Kaci)|
U1-SOFTE:OZ776SCRCardBusWindowsDriver|0.0.0.1|O2MicroInternationalLTD.|
U1-SOFTE:Iris-TheNetworkTrafficAnalyzer|4.0|eEyeDigitalSecurity|
U1-SOFTE:HighDefinitionAudioDriverPackage-KB835221|20040219.000000|MicrosoftCorporation|
U1-SOFTE:WindowsGenuineAdvantageValidationTool(KB892130)||MicrosoftCorporation|
U1-SOFTE:WindowsXP安全更新(KB923561)|1|MicrosoftCorporation|
……
【360反驳】:
瑞星危言耸听360上传用户的“招商银行专业版”等软件信息。请问瑞星:网银软件信息难道等于网银账户信息?360识别出用户用的是哪款网银软件,难道就等于360知道用户帐上有多少钱?如果瑞星用户的网银软件被病毒感染,瑞星是否就置之不理?如果瑞星查到360盗取用户网银账户信息,为什么不截图举证?
再给瑞星上一课:
1.上图显示的其实是360安全卫士非常受欢迎的“全面诊断”功能的上传信息。类似趋势的Hijackthis工具(http://free.antivirus.com/hijackthis)和SREng(http://www.kztechs.com/sreng/index1.html)。
2.任何一个全面诊断工具的诊断报告都会检查系统中是否安装有网银类的软件,结合诊断报告中其它的信息来判断网银软件有没有被木马修改或感染。360的全面诊断工具只检查网银的程序本身,不会也不可能触碰网银登录信息之类的用户隐私数据。
3.从下面的截图看,360安全卫士的全面诊断在用户上传诊断报告到360请网友和360安全专家协助分析问题之前,尊重用户并进行了多次的提示,让用户享有了充分的隐私权、知情权和选择权。
4.有图有真相。下面,就让我们用截图,来一步一步揭露瑞星是如何炮制出这些所谓的“后门”技术分析的
图1:打开360安全卫士高级工具中的全面诊断工具,诊断完毕后点击“导出诊断快照”
图2:在导出的“360诊断报告”中,包含有操作系统版本号、内存大小、安装何种软件、系统启动项有哪些等相关信息。方便用户自行判断、请高手诊断或发送到360网站,寻求安全专家的帮助。请大家特别注意,本图左上角红框中,包括了“诊断平台、IE版本、计算机物理内存”等系统信息。图6中瑞星故意用让普通人难懂的十六进制代码形式揭露360上传的那些所谓“隐私信息”,其实就是用户主动上传的诊断报告信息。
图3:在用户点击了“举报恶意软件”按钮后,360安全卫士进一步向用户确认所要上传的内容,充分尊重用户的隐私权、知情权和选择权。
图4:用户如果主动点击“上传举报信息”按钮。在上传过程中,任何人使用任何网络抓包工具,都可以抓取到这些上传到360网站的网络数据包。
图5:随后,任何人都可以对这些数据包进行解码、还原出原先的诊断报告内容。其中,解码后的原文区可以看出,瑞星提供的所谓“U1段”内容,其实只是用户电脑上所安装软件的名称而已,不涉及任何用户的隐私信息。
图6:将抓来的数据包解码、还原出的用户诊断报告内容,再用UltraEditor进行十六进制代码一转换(图左侧),我们就惊讶地发现,这与瑞星在官网揭露的所谓“后门”代码信息是完全一致。
图1到图6的过程明确无误地说明了一点,瑞星故意用普通人看不懂的十六进制码形式展现的,不过是360给用户清晰明示、并经用户自主上传的系统诊断信息!而根本不是什么隐私信息!问题是,瑞星为何要这么做呢?直接截取图2不就行了么?!答案只有一个:忽悠和欺骗!
【瑞星捏造】:上述两个窃取用户信息的功能,都是存在一段时间后即被奇虎360关闭,使得用户无法得知真相,从而显得更隐蔽,欺骗性更强,与以前的3721流氓软件同出一辙。
【360反驳】:
这恰恰可以证明瑞星的心虚,明明是找不到任何证据,为了圆谎,居然可以用“存在一段时间后即被奇虎360关闭”的理由来搪塞。按这个逻辑,瑞星可以编造360的任何罪状,拿不出证据时,只要说“这个功能已被360关闭”即可,譬如“上述两个可以发射核弹头、引发核战争的功能,存在一段时间后即被奇虎360关闭”。
实际上,瑞星这类技术分析图片非常容易制造。请看下图。
图7:按照瑞星文章同样的逻辑,任何网友也可以非常容易地炮制一张瑞星“后门”上传用户隐私信息的所谓“技术分析图”:从图中可以看出,瑞星杀毒软件在向瑞星服务器上传用户的邮件信息!天哪!好大的一扇瑞星“后门”!