360與《每經》爭端鳴響移動互聯網時代安全警鐘

日前 360 又被《每日經濟新聞》的報導推到風口浪尖。 自 2 月 26 日開始《每日經濟新聞》連發多篇報導指責 360「安全問題」。 7 月 4 日發文稱"360 在使用者隱私資訊獲取方面，已經突破了道德和法律的底線」。 本次報導披露的期貨證券資訊洩露的問題，涉及到互聯網金融安全，在業界反響巨大。 在 2 月份《每經》首次對 360 進行長篇報導後，360 旋即逐條反駁並起訴對方。 這次 360 聲稱將追加對《每經》的起訴。 據網友爆料，《每經》及其隸屬的《成都商報》已經被國內某互聯網巨頭老闆投資。 因此其報導被質疑為互聯網公司商戰中的輿論攻防戰役。 撇開公司之間的恩恩怨怨，冷靜思考，移動互聯網時代我們究竟需要什麼樣的安全？ 誰來給我們安全感？ 一、免費顛覆傳統殺毒軟體周鴻禕憑著其宣導的「破壞式顛覆」的微創新哲學，從安全助手入手，先是與卡巴斯基等老牌殺毒軟體合作，進而繼續推出自有殺毒軟體，並且永久免費。 憑「免費」這一殺手鐧顛覆了傳統的殺毒產業。 卡巴斯基、瑞星、金山毒霸、江民等殺毒軟體在市場上一瀉千里，搖搖欲墜。 四處尋求破解版殺毒軟體、跪求殺毒軟體洩露秘鑰等行為已經是懷舊的過去式。 那時候包年殺毒套餐超過 100 元，仍然有大量使用者趨之如騖。 彼時互聯網病毒和木馬氾濫，熊貓燒香作者李俊還沒「進去」，360 安全助手之父、金山網路 CEO 傅盛也還臣服于周鴻禕麾下。 360 憑著其「免費+增值」的核心模式，快速攻城掠地，成長為中國第二大桌面用戶端，最終成功登陸納斯達克。 基於免費殺毒軟體，360 建立了一個流量王國。 利用用戶端導入的流量，與瀏覽器協同，將流量貢獻給網址導航和遊戲。 形成一套穩健的商業模式。 這個模式的核心是流量。 因此 360 用戶端需要不斷彈出通知視窗，引導使用者點擊進而獲取使用者流量，並在後端變現。 隨之而來的干擾。 使用者需要面對各種彈窗。 與安全衛士沒任何關係的新聞、遊戲、娛樂、資訊都殷勤地彈來彈去，讓人膩煩。 除了 360，迅雷等其他用戶端均深諳彈窗大殺器的魄力。 如同鴉片一樣，用戶端們明知道彈窗會傷害使用者體驗，但仍然樂此不疲。 除了彈廣告，據報導 360 也曾有過利用更新補丁的通道推廣自家產品的行為。 我們享受了免費的福利，為此付出一定的時間成本、視覺污染成本，也是合情合理。 但隱私問題卻是每個使用者最忌憚的底線。 二、隱私安全取代病毒成為最大的安全問題移動互聯網時代，互聯網更加生活化。 PC 正在變為眾多計算裝置的一種，而且不是最重要的。 PC 將來可能只是用來完成一些大型的工程類任務的工具。 例如繪圖、程式設計、編輯、製表等。 病毒和木馬發源于 PC，在 PC 上具有更大的破壞力。 但移動互聯網並不是病毒和木馬的樂土。 在傳統 PC 互聯網上，自從熊貓燒香病毒的大規模爆發之後，伴隨著李俊「進去」，大規模破壞性病毒也銷聲匿跡。 這既有 360 等安全軟體的病毒查、殺、防技術的功勞，也有 WINDOWS 正在變得爭氣有關系。 XP 時代病毒層出不窮核心原因還是 WINDOWS 系統的千竅百孔的漏洞。 WIN7 開始漏洞減少，因此越來越安全。 這都讓大規模病毒更難出現。 病毒的特徵是具備自我複製擴散能力的惡意程式。 其目的更多是破壞性，潛伏時起到控制電腦成為「肉雞」，爆發時直接影響電腦正常工作。 病毒本身是一套簡單且粗暴的運作模式。 在魔高一尺道高一丈的大環境下，病毒製造者們紛紛轉戰其他更有掘金機會的「駭客市場」。 熊貓燒香李俊出來後，沒有選擇繼續做病毒事業，日前因涉嫌網路賭博被警方控制。 PC 上的殺毒軟體沒了存在感。 於是，電腦輔助管理、開機時間排名等功能成為殺毒軟體的標配。 智慧手機上並未出現 PC 端類似的大規模病毒。 背後的原因源自以下幾個方面：首先，有 PC 作業系統的教訓在，智慧手機作業系統設計時對安全性進行了更充分的考慮。 例如 Root 許可權、安裝強制確認、一鍵還原等方面的設置。 其次，兩大智慧手機作業系統，安卓為開源系統，具有更好的自我修復能力和漏洞發現能力，因為人人可以説明其發現漏洞；而 iOS 則依靠 AppSotre 的人工審核機制防止病毒。 再次，智慧手機作業系統先進的自我升級機制，也優於 PC 作業系統。 這讓依賴系統漏洞的病毒機會又少了一些。 最後，智慧手機所處的網路環境，限制了病毒程度的快速傳播。 從市場已有產品來看，主打手機殺毒的網秦雖然成功上市，但其裝機量、收入等指標卻不樂觀。 傳統的殺毒軟體例如 360 和金山，前者主要是做手機輔助管理，其次才是安全。 金山則主推電池醫生，管電池甚至比管病毒還重要。 但是，移動互聯網的安全訴求卻比 PC 更加重要。 PC 病毒影響的是工作是娛樂，造成的是經濟損失。 而移動互聯網的安全問題將影響我們的真實生活。 移動互聯網與人們的生活更加緊密的聯繫，智慧設備具備的通信、攝像頭、錄音、定位等物理條件，存儲的通訊錄、照片、通訊記錄等資料，承載的個人身份識別如短信驗證碼、微信的任務，導致手機的安全隱憂也從防病毒防木馬變為防隱私洩露。 人們丟失手機的痛苦，可能更多是來自號碼的丟失，資料的丟失，隱私的洩露。 PC 在移動互聯網時代承載的使命也在發生著巨變。 電子商務、網銀等功能，使得 PC 上的安全訴求從防病毒變為隱私安全。 移動互聯網時代，我們需要的不是殺毒，而是安全地生產、流通和消費資訊。 我們不只是需要設備安全，更需要資訊的安全，即隱私安全。 三、我們需要什麼樣的安全服務？ 既然隱私安全成為最核心的安全隱憂，那麼新時代的安全軟體的功能也將從查毒殺毒防毒變為隱私保護。 我們需要的不只是一款軟體，而是一套確保隱私安全的機制，或者體系。 安全軟體只是其中的一個元件。 1、如何確保互聯網服務的安全瀏覽器安全正在成為基礎安全要求。 PC 端的發展趨勢是越來越多的任務需要通過瀏覽器完成。 不論是上網衝浪還是購物，都需要使用瀏覽器。 開著電腦的同時往往會開著瀏覽器。 而雲計算、雲應用的成熟也使得更多的資料、應用從本地硬碟向雲端轉移。 在 PC 上這個轉移的通道便是瀏覽器。 這使得瀏覽器的安全與作業系統層面的安全同等重要。 這也是為什麼主流瀏覽器都在主打安全概念的原因。 360 安全瀏覽器、獵豹瀏覽器都在強調自己的安全。 獵豹瀏覽器甚至還推出了賠付服務。 使用獵豹時，出現因安全問題導致的損失可以申請理賠。 問題是，瀏覽器是否安全只有瀏覽器自己知道。 國內瀏覽器儘管使用了開源內核，但並未將整個瀏覽器向 Chrome 一樣開源。 其能做什麼、能獲取哪些資料、收集了哪些資料，對使用者來說，是黑匣子。 再往上一層互聯網服務如搜尋引擎也在提供安全服務。 百度有類似獵豹瀏覽器的賠付制度。 使用百度搜索，遇到木馬網站帶來損失，可以向百度理賠。 而對安全性要求高的如淘寶、支付寶、網銀都有自己的安全防範手段。 例如瀏覽器控制項、軟鍵盤等方式。 PC 上，我們不再僅僅需要電腦是安全的，更需要使用電腦上網時，使用的各項服務是安全的。 2、如何確保智慧設備的安全網秦已經證明，將 PC 的殺毒模式搬到移動互聯網無法解決安全問題。 智慧設備上，作業系統有一層版權管理體系，對應用的許可權進行約束。 但由於使用者不夠重視的問題，導致大量的 App 趁虛而入，超出職責範圍，獲得了本不需要的高許可權例如通訊錄、定位等。 這些 App 可以將使用者的隱私資料上傳到雲端。 在伺服器端本身也有大量的資料。 例如電商購物資料、雲存儲資料、郵件、通訊錄等因此，移動互聯網的安全，更多是雲端的安全。 我們需要防備的是 App 們、服務提供者們對我們資料的濫用。 盯住他們，就可以一定程度保障隱私安全。 3、安全軟體如何確保隱私安全？ 殺毒軟體幫我們監控電腦、監控瀏覽器、監控網銀的時候，誰來監控他們？ 這是 360 與每日經濟新聞的爭端的深層次原因。 殺毒軟體如何自證清白，向世人證明自己沒有跨過邊界獲取不該獲得的資訊？ 沒有收集甚至洩露使用者的隱私資訊？ PC 上安全用戶端仍然有存在的必要。 病毒已很久沒有大規模爆發，但裸奔還是少數人的冒險。 千萬分之一的風險也值得防範。 目前 PC 用戶端的殺毒軟體除了 360，另外一個玩家是老牌殺毒軟體金山。 最近搜索巨頭百度推出殺毒軟體，高調加入了殺毒軟體陣營。 百度殺毒軟體進入的是一個紅海市場。 為了差異化，其抓住其他殺毒軟體被廣為詬病的隱私安全等問題，宣傳自己是「綠色殺毒、安靜保護」，即不窺私、不騷擾、不脅迫。 說白了，百度想告訴世人不需要的資料我不拿，不搞彈窗，也不威脅恐嚇小白使用者推自家用戶端。 因為百度推殺毒軟體並不是為了賺錢也不是為了推廣業務，純粹是一種防禦手段。 問題是，每個殺毒軟體都可以宣稱自己的綠色安靜的。 不騷擾和不脅迫是否做到，世人還有眼睛可以監控，但不窺私就很難監控了。 有效的證明方式是：開源。 向世人開放自己的原始程式碼，做的事情一目了然。 矛盾在於，殺毒軟體與病毒、木馬之間本身就是一場貓鼠遊戲。 如果將自己開放，在病毒、木馬製造者面前則充分暴露了自己，讓其可以預防殺毒軟體甚至針對性地自我升級，後果可能更嚴重。 國內外殺毒軟體大多封閉。 金山衛士早在 2010 年便開展了開源計畫，開放程度和效果不得而知。 但這種態度是值得鼓勵的。 折中的方式是選擇性地小範圍開放。 納入行業協力廠商監管、或者政府相關部門的監管。 殺毒軟體的原理、代碼對監管者是透明的。 我們信任這些監管者，由這些監管者幫使用者確認殺毒軟體沒有越權。 這是最可行，也是急缺的。 終極安全是人的安全。 小白使用者用任何安全軟體也可能被騙，專業使用者「裸奔」被騙的幾率也小之又小。 雲端的隱私安全，則需要「人治」，再強大的技術也無法去約束雲端資料掌握者的行為，通過監管體系才能確保隱私安全。 安全任重而道遠，最終的狀態或許是由工具、技術、監管甚至法律法規形成一套綜合的安全體系，為我們的數位生活保駕護航。