专家解读云杀毒不透明或存在安全隐患行业资讯
工信部介入调查奇虎360侵犯用户隐私问题成为安全业界的一起标志性事件,由“方周大战”和专项调查引发的安全软件信任危机正在蔓延开来。
2012年10月30日,在易观网络安全沙龙上,互联网威慑防御(IDF)实验室创始人、安全专家万涛就此分享了对安全行业现状的思考,尤其是针对公众熟知的“云杀毒”提出质疑,提醒安全厂商要正视“云杀毒”模式给业界带来的新挑战。
云查杀带来隐私安全新挑战
“云查杀”模式最早由360提出,虽然它未必就是真正采用云计算技术的“安全云”,但客观上有利于解决传统本地引擎库静态化的被动对抗问题,促使用户更多采用联网服务。挑战在于,“云查杀”模式使用户桌面成为杀毒软件的控制终端,可以随意控制软件终端采取行动。一旦被拥有者不良使用或遭黑客利用,就有可能同时带来隐私和安全的新威胁。
万涛认为,云带来了“资源集中”,这意味着更大的机会,也意味着更大的风险。历史上早已形成的“黑金”产业链已经转型,整条产业链与互联网商业模式紧密相扣。以前黑客攻击个人电脑,相对危害性比较离散。而在云时代,黑客对抗的是资源复合体,如果云服务商安全管理不善,就很可能被黑客“通杀一片”,网络犯罪者将获得极大收益。360的“云”今天就是这样一个信息集中的资源体,对于喜欢挑战的“掘金黑客”来说很有吸引力。
“无论是安全业界还是互联网产业,都应对具备掌控用户桌面生杀大权的‘云查杀’保持清醒的认识和高度关注。”万涛直言不讳,如果安全厂商运营的是一朵不透明的云,自身也很难逃避“监守自盗”的嫌疑和诱惑。
360“云查杀”症结就在于目前的“不透明”,运营机理和如何上传数据以及相关标准、流程都不为公众知晓,这种不透明没有规范的行为的确很难让用户不担心,一旦自身暴露安全缺陷也容易为黑客大开方便之门。
透明评测与开源代码是上策
恶性竞争容易造成劣币驱逐良币,甚至正规公司也被迫采用灰色手段。因为如果不适应“弱肉强食”的丛林竞争法则,自己就会率先出局。“灰比不过黑,做安全产品是为了让互联网更可信,如果自身没底线,就很可能让全行业都没底线,整个行业就毁了。”万涛毫不掩饰对当前安全行业的担忧。“如果互联网安全行业给大家感觉是一盆脏水,越来越浑浊,一定会使人们对互联网的前途与发展心怀戒心,而安全感是未来幸福发展的前提。”
万涛认为,“与其闭门不谈,不如主动一点儿”。他呼吁安全厂商参与到IDF实验室倡导发起的“技术公益:桌面开源代码行动”中去,并且通过与第三方共同协商认可的透明评测来规范行为,坚定用户信心。“安全厂商可以把特别核心的技术内容予以保护,比如引擎和病毒库,但涉及用户桌面端的系统控制权限机制和检测标准等,IDF倡导把这部分开源,组织安全爱好者一起来查找BUG,检测产品自身安全可靠性。”
在万涛看来,未来桌面开源(托管)运动可能是改变当前现状的可行性办法,按照他的设想,安全软件要把本地安装的模块组件,详细功能说明以及数据分析上传等行为做出说明,由中立的第三方(包括政府和民间)来评估,让有兴趣的安全程序员去验证。这样既帮助厂商完善产品,本身又是很好的教育用户的行为,告诉他们杀毒软件做什么样的事情是合理的、正常的。
针对360宣布将产品代码提交有关部门检测的行为本身,万涛表示,360软件使用的是云端控制技术,单检测桌面软件很难检测到问题,对整个过程与环境进行检测评估才能更好地说明问题。他建议360积极加入桌面开源代码公益运动,“现在的云查杀模式不透明,厂商可以考虑代码托管,有限开放等方式。就像当年微软遭遇后门质疑后主动向中国提供代码托管,授权厂商查看一样。而且,这也能帮助360避免‘云查杀’不透明带来的安全威胁和行业质疑。”