午夜直播免费看-亚洲国产精品日韩av不卡在线-少妇三级全黄-欧美日韩国产一区二区三区,

　　 這是一件真實的事情：多年前，業內一家知名IT公司一個產品將上線，但蹊蹺的是，該產品上線前一天，360的同類產品突然上線。而且，360上線產品的頁面與該公司準備上線的版本幾乎一模一樣。這家IT公司的此款產品不上線已不可能，而改版也已不可能。被逼無奈之下，該產品只能硬著頭皮上線。讓這家IT公司哭笑不得的是，由于此款產品上線時間比360同類產品晚一天，所以用戶普遍認為，該公司的產品抄襲了360產品。

　　 此類詭異怪事，在業內已不止一次發生。

　　 誰是泄密者？上述IT公司最終未能找到“臥底”，不過開始將質疑對象聚焦在360產品身上。因為實查結果發現，該公司不少員工電腦上安裝了360相關產品。

　　 出于安全考慮，該公司要求所有員工的工作電腦中不得安裝360產品。與此同時，公司內網環境中，全面禁止360產品。從此，確實沒有再發生過類似的泄密情況。

　　 據《每日經濟新聞》記者了解，國內最早全面禁用360產品的企業為騰訊、百度[微博]、金山等一批公司。在這些公司的辦公環境中，完全屏蔽360產品，如確因公司研究性工作需要，才可以安裝虛擬機使用360產品。

　　 國內幾家互聯網巨頭公司，均以安全為由禁止使用一家以互聯網安全著稱的公司的相關產品，這在中國IT界構成了一道未解的謎團。

　　 大型公司尚且對360產品避之不及，對于普通用戶來說，使用360相關“安全”產品，安全嗎？

　　 在中國有“黑客教父”之稱的安全技術專家“黑客老鷹”，即IDF互聯網情報威懾防御實驗室創始人萬濤認為，從隱私保護和用戶權益的角度講，360產品確實存在需要澄清的地方。但中國用戶目前在隱私保護方面的意識并不強，這是一個比較普遍的現象。因為對許多用戶來說，“我上網就是看看新聞，玩玩游戲，我沒有隱私”。這一觀點非常流行。

　　 萬濤表示，而在另一方面，多年來盡管民間在破獲360侵犯隱私等方面做了許多努力，并查獲了許多證據，但360在這方面的“反應”也非常“嚴密”。此外，獲得的一些突破性證據因為過于專業，也不易讓普通用戶看懂，因此也就缺乏相應的感知。

　　黑客揭秘：360安全產品背后的“安全”陷阱/

　　在深圳紅樹林，獨立調查員為《每日經濟新聞》記者進行了現場演示。他特意在自己的電腦上安裝了360安全瀏覽器，并打開網絡通信監視工具，這時可以看到，360安全瀏覽器在其電腦后臺上就像一只工蜂，始終不停地忙碌著。

　　 然后，獨立調查員又打開IE、騰訊、獵豹、chrome等瀏覽器，每一個瀏覽器都很安靜，沒有任何動作。

　　 “360安全瀏覽器在干嘛呢？誰也不知道。為什么要這樣忙碌呢？作為瀏覽器，其作用就是可以顯示網頁服務器或者文件系統的HTML文件內容，并讓用戶與這些文件交互的一種軟件。根據最小特權原則，你是沒有理由在我的電腦里不停地‘工作’。你要問他在做什么，他就說，是為了你的安全�！�

　　 “明明知道360在做不應該發生的事情，但不知道發生的是什么事情。這就是360留給中國所有安全專業人員最大的課題�！豹毩⒄{查員解釋說，這是因為360在這方面做了非�？b密的設計，其防御體系相當嚴密，要突破防線有所收獲，是件非常困難的事情。

　　 而這，也正是許多從事安全的專家們感興趣的事情。

　　 2010年2月6日，360多年的宿敵——瑞星[微博]拿出了一份 “證據”，其發布的《奇虎360利用“后門”拿走了用戶什么》一文，利用大量技術細節說明360安全衛士在安裝進用戶電腦時，會偷偷開設后門，并時刻監視用戶訪問網站，將相關信息上傳至360網站。

　　 此事標志著360第一次露出“不安全”的真面目，從此一發而不可收拾。

　　 據《每日經濟新聞》記者調查，國內有一大批黑客對破獲360的防線，以及搞明白360這個黑匣子內到底有什么非常感興趣，想通過攻擊360而獲得其侵犯用戶隱私信息的證據。他們之間甚至有一個松散型的組織，經常交換這方面的信息。但與此同時，也有些黑客最終被360“招安”，成為其公司成員。

　　 2010年12月31日，在黑客狂轟濫炸360服務器后，360防線被攻破，存儲于其服務器上的大量用戶隱私數據噴涌而出，被谷歌[微博]搜索爬蟲自動抓取，并公告天下。360多年來宣稱的 “用戶隱私大于天”的謊言正式被揭穿。

　　 這份意外泄露的文件詳細記錄了大量360用戶的全網訪問過程，包括瀏覽的網頁、下載過的應用、搜索的關鍵字等，并將這些訪問記錄與唯一用戶掛鉤。在這個服務器中，每個用戶對應一個字符串，通過查詢字符串，可以了解用戶的所有個人信息、上網瀏覽記錄、賬號密碼，例如用戶在百度搜索關鍵字、淘寶購物記錄、金蝶[微博]、奇瑞等企業內部財務網絡數據、某政府機構官方郵箱用戶名及密碼等鏈接數據。

　　 《每日經濟新聞》獲得的一份對泄露日志文件分析統計的結果顯示，此次泄密事件涉及總條數141萬條，其中涉及用戶名信息的條目有247326個，既包含用戶名又包含密碼條目有816個。而這對于360收集的海量數據來說只是冰山一角，截至目前為止，360從沒有公開解釋被泄露的數據總量有多少，被下載了多少次。

　　 然而，有關360如何“利用”用戶的信任，如《全民公敵》影片中的衛星一樣“間諜”式地監控著用戶的電腦，這個謎團卻依然沒有辦法破解，至今沒有一家安全廠商拿出這個過程的有力證據。

　　 獨立調查員告訴記者，360安全衛士、360安全瀏覽器，其內部運作流程就像一個暗箱，外部人可以聽到里面有動作，但卻沒有辦法知道里面發生了什么，以及它如何阻止外部人破解它。

　　 而獨立調查員卻偏執地選擇了這條破解之路。他先制作了一張簡單的圖表，以揭示360拳頭產品360安全衛士內部的操作模型（如圖）。

　　 從這個圖中可以看出，360安全衛士對用戶在電腦上進行軟件操作、文檔操作等所有操作舉動均秘密進行監視、記錄，然后進行壓縮后上傳至云端服務器；過去，上傳的過程為明文上傳，這對用戶的隱私帶來非常嚴重的威脅，在經歷過幾次大的泄密事件后，目前上傳文件已經加密。

　　 文件上傳到360云端存儲后，文件會立即在本地被刪除，這招防御術非常兇狠，即使有人破解其行為，并獲得文件證據，但因為隨時的刪除，很難將證據做實，變成死無對證的孤證。

　　 用戶電腦中的360安全衛士這一套運行機制都是事先預設好的，可以獨立操作完成；但實際上，360云端（360安全數據中心）對用戶客戶端的360安全衛士具備直接控制能力。360云端不僅可以下達專門的指令（后文還將詳述），同時一旦360安全衛士發現有人在監視其通信操作等，會發出安全警告以阻止繼續操作并限時自行禁止。這也給破獲工作帶來相當程度的干擾。

　　 據一名多年研究360產品的黑客告訴《每日經濟新聞》記者，“設置如此高難度障礙的人一定是行業的高手。可以斷定，360內部一定有國內頂尖級的黑客高手。他們才有可能做到既做暗事，又不留任何把柄。這就像是一個江洋大盜，來無影，去無蹤，飄忽不定，作案后現場不留任何痕跡，實在是高精尖的設計�！�

　　 這名黑客發現，360安全衛士的暗箱操作行蹤越來越沒有規律可循，換句話說，其運作規律經過精心策劃，非常不容易被外界掌握。同時，其獲取信息的區域半徑越來越由中心城市向二、三、四線城市延伸。這樣的話，要想抓到證據就更為艱難。“中國擁有30多個省級行政區，336個二級行政區，還不包括數以千計的三級、四級行政區，這就相當于360安全衛士在中國網民的生活中布下了天羅地網�！�

　　 據《每日經濟新聞》記者調查發現，國內不止一家公司準備投入大量人力來破獲360的違法行為，但最終都偃旗息鼓。原因就在于，360收集用戶信息的行為 “就像空中劃過的彗星，茫茫夜空，布下天羅地網，時刻守候，才有可能有所斬獲，這樣的投入產出比太低了”。

　　黑匣子現身：對用戶個人信息涉嫌暗箱操作/

　　 “破解360安全衛士的非法操作，是一件很好玩的貓捉老鼠的事情�！鄙鲜龊诳拖颉睹咳战洕�新聞》記者感嘆說，360安全衛士的技術架構非常復雜，組件有很多程序，軟件包有幾十個可執行的程序，還有擴展庫。如果要查清楚是否侵犯用戶隱私，則需要對每個程序進行分析，就像分析病毒一樣地分析每個文件，而這需要投入大量的時間和精力。

　　 這名黑客給記者展示了許多“同行”間來往的郵件，此中展現出破解之后的喜悅，以及經驗的交流。

　　 而獨立調查員宣稱，他“已基本破解了360安全衛士的謎局，但離發布還為時尚早”，因為他要做“鐵板釘釘的事情”。

　　 在《每日經濟新聞》記者保證不會將其操作思路披露的情況下，獨立調查員將其操作的核心步驟進行了詳盡的現場演示。在征得其允諾的情況下，記者可以告知的是：針對360的設置，進行反向操作，反向分析而破解。

　　 到目前為止，已經披露的最重要證據為獨立調查員于2012年12月6日在其微博上發布的一個視頻（http:/weibo.com/2902756801/z8BUvfWqe）。這份視頻詳盡地破解了360安全衛士秘密獲取用戶信息的過程。

　　 獨立調查員告訴記者，這份13分36秒的視頻以完整的手法記錄了破獲360竊取用戶隱私的證據。它證明了360在用戶電腦中收集、上傳用戶信息的“動作”，“猖狂到任何簡單的、常規的軟件操作行為都將被記錄，與安全問題完全無關，而這些信息都在用戶個人隱私范疇”。

　　 但據獨立調查員宣稱，這份視頻資料并非其采集、制作，“而是來自一名自稱是安全領域專家的匿名人士”，他通過微博私信向獨立調查員爆料：自己已經掌握了360安全衛士7.3竊取用戶隱私并上傳到360服務器的司法證據，現在可以無償將這段司法證據給他。

　　 而關于這份證據，獨立調查員認為，將是未來給360的“一顆小小的炸彈”，在法庭上是有力的呈堂證供。

　　 據記者了解，去年11月28日，在易觀國際[微博]主辦的“易士堂”網絡安全論壇（第二季）論壇上，這份視頻資料也曾分享給包括國家信息中心、中國信息安全測評中心等安全業界人士；而最初制作這段視頻并進行司法公證的正是金山安全專家李鐵軍。不過李鐵軍否認自己就是給獨立調查員爆料的匿名人士。

　　 據李鐵軍透露，2010年11月，卡飯安全論壇有人爆料稱“360安全衛士7.3的某個版本會竊取用戶隱私上傳到360服務器”，爆料的內容非常簡單，只提供了一個有趣的細節暗示：需要用戶在360loginfo目錄對刪除權限做一個修改才有可能捕捉到360的罪證，帖子不久就消失了。

　　 李鐵軍首先嘗試重現帖子描述的問題，而不是對軟件進行逆向分析，經過數月才完成了這一個證據的抓取。

　　 “反反復復不知道試了多少回。”李鐵軍對《每日經濟新聞》記者表示，憑借多年的經驗，他終于找到了關鍵所在，比如有竊取隱私問題的360安全衛士版本號為7.3.0.2003l，數字簽名時間為2010年11月8日，要想重現必須將360loginfo訪問權限修改為“所有人不可刪除”；再比如安裝時修改系統時間與2010年11月8日不能相差太久，安裝前須斷開網絡（禁用網卡或拔網線）。

　　 即使這樣，也有一些情況在李鐵軍“意料之外”。

　　 “開始想到的是禁用網卡和改360loginfo目錄的訪問權限，但奇怪的是，有時能在安裝后幾分鐘內即可在360loginfo目錄看到日志生成，有時等幾小時都不能重現，于是嘗試將系統日期從單數修改為雙數或從雙數修改為單數，結果很快看到奇怪的日志文件出現了�！崩铊F軍表示，這幾條重現規則是反復多次嘗試之后才總結出來的。

　　 而上述結果也在曝光之后第一時間得到IDF互聯網情報威懾防御實驗室的驗證。2012年11月25日，該實驗室發布報告表示，360安全衛士v7.3.0.2003l所搜集用戶軟件操作信息，對用戶隱私造成風險，若用戶運行 某 一 程 序 ，360安 全 衛 士v7.3.0.2003l會把程序所在路徑搜集并未經加密上傳至360服務器。若360公司所存放信息的數據庫泄露或傳輸數據被黑客截取進行社工分析，可造成用戶的信息泄露。

　　 萬濤對《每日經濟新聞》表示，根據之前的評測報告，360安全衛士v7.3.0.2003l對用戶信息的處理涉嫌未遵守其中的用戶知情權、選擇權及禁止權，并在未獲得個人信息主體的明確同意下記錄和上傳用戶行為數據。

　　 值得注意的是，已于2月1日正式生效的我國首個個人信息保護國家標準 《信息安全技術公共及商用服務信息系統個人信息保護指南》明確規定，個人信息獲得者在收集個人信息時，需“具有特定、明確、合法的目的”�；�于此，在收集前要采用個人信息主體易知悉的方式，向個人信息主體明確告知和警示如下事項：處理個人信息的目的；個人信息的收集方式和手段、收集的具體內容和留存時限；個人信息的使用范圍、被收集后的個人信息保護措施、個人信息主體的投訴渠道；同時提醒個人信息主體提供個人信息后可能存在的風險和個人信息主體不提供個人信息可能出現的后果。且“只收集能夠達到已告知目的的最少信息”。而信息獲得者如需將個人信息轉移或委托于其他組織和機構時，也需要向個人信息主體明確告知轉移或委托的目的、轉移或委托個人信息的具體內容和使用范圍、接受委托的個人信息獲得者的名稱、地址、聯系方式等。

　　 很明顯，360公司在個人信息的收集、加工、轉移、刪除等環節，明顯將行業的游戲規則拋諸腦后，一意孤行地進行著暗箱操作。