。
技术成犯罪保护伞
“如果金山曝出的问题属实,那么360此举已经造成比较严重的超范围采集用户隐私。”对于金山的举证,万涛表示,作为独立第三方,IDF实验室正在对金山提供的证据进行检测,同时也会结合360方面的说法。
万涛表示,这一报告将会在近期出结果。不过,他透露,从目前来看,金山举证的问题有些确实存在。
一位不愿具名的安全领域人士对《国际金融报》记者表示,由于安全软件存在于系统的最底层,因此,从技术上说,它想要收集什么信息就能收集到什么信息,关键取决于企业对于用户隐私的态度。“这些公司在获取大量的信息之后,可以做很多数据分析、改进产品、发展新业务等,如果内控不严,就会造成信息泄露。”
事实上,近年来,网络信息安全事件频发,从2010年11月3日爆发的“3Q大战”到2011年12月下旬的程序员网站密码泄露事件,再到近日爆发的“方舟子和360大战”,用户隐私屡屡在网络上“裸奔”。
对此,上述不愿具名的安全领域人士表示,这种情况由多方面因素造成的。一方面,国内在用户隐私方面的监管不健全,基本处于草莽时代;另一方面,企业窃取用户隐私只是一瞬间的事,之后往往会删除,这就导致事后取证困难。“这些都会助长企业的窃取之心。”
中国互联网协会政策与资源委员会专家成员于国富在接受媒体采访时也表示,随着技术的日新月异,政府部门对互联网公司的监管也越来越难。尤其是一些网络公司实际都是在境外注册,而我国政府部门所管的只是这些互联网公司在中国国内的一个牌子而已,管理权限有限,力不从心。
透明评测是上策
尽管工信部表示要调查360公司,但于国富对此并不乐观。在他看来,检测的样本具有太强的主观性和随机性,所以,要求某一个鉴定机构给某一款软件发放“清白”的许可证,本身就是不靠谱的。
万涛认为,要减少这种安全软件企业的安全问题,开放源代码,增加透明度可能是改变当前现状的可行性办法。“广遭质疑的360云查杀症结就在于目前的‘不透明’,运营机理和如何上传数据以及相关标准、流程都不为公众知晓,这种不透明没有规范的行为的确很难让用户不担心,一旦自身暴露安全缺陷也容易为黑客大开方便之门。”
万涛建议:“安全厂商可以把特别核心的技术内容予以保护,比如引擎和病毒库,但涉及用户桌面端的系统控制权限机制和检测标准等这部分可以开源,组织安全爱好者一起来查找BUG,检测产品自身安全可靠性。”
值得注意的是,面对质疑,360此前在声明中也表示,已经将产品代码提交有关部门检测。不过,360此举在万涛看来,有忽悠的成分。360软件提交的代表只是客户端代码,而其使用的是云端控制技术,单单检测桌面软件很难检测到问题,对整个过程与环境进行检测评估才能更好地说明问题。“把问题集中呈现在阳光下解决,推动行业自律,这是国内安全产业健康发展的正途。”