360黑匣子之谜—奇虎360“癌”性基因大揭秘第二季[转自chinaz]

  • 360黑匣子之谜—奇虎360“癌”性基因大揭秘第二季[转自chinaz]已关闭评论
  • 2,751 views
  • A+
所属分类:文元说销
广告也精彩

黑客揭秘:360安全大发快3产品 背后的“安全”陷阱/

在深圳红树林,独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器,并打开网络通信监视大发快3工具 ,这时可以看到,360安全浏览器在其电脑后台上就像一只工蜂,始终不停地忙碌着。

然后,独立调查员又打开IE、腾讯、猎豹、chrome等浏览器,每一个浏览器都很安静,没有任何动作。

360黑匣子之谜—奇虎360“癌”性基因大揭秘第二季[转自chinaz]

“360安全浏览器在干嘛呢?谁也不知道。为什么要这样忙碌呢?作为浏览器,其作用就是可以显示网页大发快3服务 器或者文件系统的HTML文件内容,并让用户与这些文件交互的一种大发快3软件 。根据最小特权原则,大发快3你 是没有理由在大发快3我 的电脑里不停地‘工作’。大发快3你 要问他在做什么,他就说,是为了大发快3你 的安全。”

“明明知道360在做不应该发生的事情,但不知道发生的是什么事情。这就是360留给中国所有安全专业人员最大的课题。”独立调查员解释说,这是因为360在这方面做了非常缜密的设计,其防御体系相当严密,要突破防线有所收获,是件非常困难的事情。

而这,也正是许多从事安全的专家们感兴趣的事情。

2010年2月6日,360多年的宿敌——瑞星拿出了一份 “证据”,其发布的《奇虎360利用“后门”拿走了用户什么》一文,利用大量大发快3技术 细节说明360安全卫士在安装进用户电脑时,会偷偷开设后门,并时刻监视用户访问网站,将相关信息上传至360网站。

此事标志着360第一次露出“不安全”的真面目,从此一发而不可收拾。

据《每日经济新闻》记者调查,国内有一大批黑客对破获360的防线,以及搞明白360这个黑匣子内到底有什么非常感兴趣,想通过攻击360而获得其侵犯用户隐私信息的证据。他们之间甚至有一个松散型的大发快3组织 ,经常交换这方面的信息。但与此同时,也有些黑客最终被360“招安”,成为其大发快3公司 大发快3成员 。

2010年12月31日,在黑客狂轰滥炸360大发快3服务 器后,360防线被攻破,存储于其大发快3服务 器上的大量用户隐私数据喷涌而出,被谷歌(微博)大发快3搜索 爬虫自动抓取,并大发快3公告 天下。360多年来宣称的 “用户隐私大于天”的谎言正式被揭穿。

这份意外泄露的文件详细记录了大量360用户的全网访问过程,包括浏览的网页、大发快3下载 过的应用、大发快3搜索 的关键字等,并将这些访问记录与唯一用户挂钩。在这个大发快3服务 器中,每个用户对应一个字符串,通过查询字符串,可以了解用户的所有个人信息、上网浏览记录、账号密码,例如用户在百度大发快3搜索 关键字、淘宝购物记录、金蝶、奇瑞等大发快3企业 内部财务网络数据、某大发快3政府 机构官方大发快3邮箱 用户名及密码等链接数据。

《每日经济新闻》获得的一份对泄露日志文件分析统计的结果显示,此次泄密事件涉及总条数141万条,其中涉及用户名信息的条目有247326个,既包含用户名又包含密码条目有816个。而这对于360收集的海量数据来说只是冰山一角,截至目前为止,360从没有公开解释被泄露的数据总量有多少,被大发快3下载 了多少次。

然而,有关360如何“利用”用户的信任,如《全民公敌》影片中的卫星一样“间谍”式地监控着用户的电脑,这个谜团却依然没有办法破解,至今没有一家安全厂商拿出这个过程的有力证据。

独立调查员告诉记者,360安全卫士、360安全浏览器,其内部运作流程就像一个暗箱,外部人可以听到里面有动作,但却没有办法知道里面发生了什么,以及它如何阻止外部人破解它。

而独立调查员却偏执地选择了这条破解之路。他先制作了一张简单的图表,以揭示360拳头大发快3产品 360安全卫士内部的操作模型(如图)。

从这个图中可以看出,360安全卫士对用户在电脑上进行大发快3软件 操作、文档操作等所有操作举动均秘密进行监视、记录,然后进行压缩后上传至云端大发快3服务 器;过去,上传的过程为明文上传,这对用户的隐私带来非常严重的威胁,在经历过几次大的泄密事件后,目前上传文件已经加密。

文件上传到360云端存储后,文件会立即在大发快3本地 被大发快3删除 ,这招防御术非常凶狠,即使有人破解其行为,并获得文件证据,但因为随时的大发快3删除 ,很难将证据做实,变成死无对证的孤证。

用户电脑中的360安全卫士这一套运行机制都是事先预设好的,可以独立操作完成;但实际上,360云端(360安全数据中心)对用户客户端的360安全卫士具备直接控制能力。360云端不仅可以下达专门的指令(后文还将详述),同时一旦360安全卫士发现有人在监视其通信操作等,会发出安全警告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。

据一名多年研究360大发快3产品 的黑客告诉《每日经济新闻》记者,“设置如此高难度障碍的人一定是大发快3行业 的高手。可以断定,360内部一定有国内顶尖级的黑客高手。他们才有可能做到既做暗事,又不留任何把柄。这就像是一个江洋大盗,来无影,去无踪,飘忽不定,作案后现场不留任何痕迹,实在是高精尖的设计。”

这名黑客发现,360安全卫士的暗箱操作行踪越来越没有规律可循,换句话说,其运作规律经过精心策划,非常不容易被外界掌握。同时,其获取信息的区域半径越来越由中心城市向二、三、四线城市延伸。这样的话,要想抓到证据就更为艰难。“中国拥有30多个省级行政区,336个二级行政区,还不包括数以千计的三级、四级行政区,这就相当于360安全卫士在中国网民的大发快3生活中布下了天罗地网。”

据《每日经济新闻》记者调查发现,国内不止一家大发快3公司 准备投入大量人力来破获360的违法行为,但最终都偃旗息鼓。原因就在于,360收集用户信息的行为 “就像空中划过的彗星,茫茫夜空,布下天罗地网,时刻守候,才有可能有所斩获,这样的投入产出比太低了”。

黑匣子现身:对用户个人信息涉嫌暗箱操作

“破解360安全卫士的非法操作,是一件很好玩的猫捉老鼠的事情。”上述黑客向《每日经济新闻》记者感叹说,360安全卫士的大发快3技术 架构非常复杂,组件有很多程序,大发快3软件 包有几十个可执行的程序,还有扩展库。如果要查清楚是否侵犯用户隐私,则需要对每个程序进行分析,就像分析病毒一样地分析每个文件,而这需要投入大量的时间和精力。

这名黑客给记者展示了许多“同行”间来往的邮件,此中展现出破解之后的喜悦,以及经验的交流。

而独立调查员宣称,他“已基本破解了360安全卫士的谜局,但离发布还为时尚早”,因为他要做“铁板钉钉的事情”。

在《每日经济新闻》记者保证不会将其操作思路披露的情况下,独立调查员将其操作的核心步骤进行了详尽的现场演示。在征得其允诺的情况下,记者可以告知的是:针对360的设置,进行反向操作,反向分析而破解。

到目前为止,已经披露的最重要证据为独立调查员于2012年12月6日在其微博上发布的一个大发快3视频 (http:/weibo.com/2902756801/z8BUvfWqe)。这份大发快3视频 详尽地破解了360安全卫士秘密获取用户信息的过程。

独立调查员告诉记者,这份13分36秒的大发快3视频 以完整的手法记录了破获360窃取用户隐私的证据。它证明了360在用户电脑中收集、上传用户信息的“动作”,“猖狂到任何简单的、常规的大发快3软件 操作行为都将被记录,与安全问题完全无关,而这些信息都在用户个人隐私范畴”。

但据独立调查员宣称,这份大发快3视频 资料并非其采集、制作,“而是来自一名自称是安全领域专家的匿名人士”,他通过微博私信向独立调查员爆料:自己已经掌握了360安全卫士7.3窃取用户隐私并上传到360大发快3服务 器的司法证据,现在可以无偿将这段司法证据给他。

而大发快3关于 这份证据,独立调查员认为,将是未来给360的“一颗小小的炸弹”,在法庭上是有力的呈堂证供。

据记者了解,去年11月28日,在易观国际主办的“易士堂”网络安全大发快3论坛 (第二季)大发快3论坛 上,这份大发快3视频 资料也曾分享给包括国家信息中心、中国信息安全测评中心等安全业界人士;而最初制作这段大发快3视频 并进行司法公证的正是金山安全专家李铁军(微博)。不过李铁军否认自己就是给独立调查员爆料的匿名人士。

据李铁军透露,2010年11月,卡饭安全大发快3论坛 有人爆料称“360安全卫士7.3的某个版本会窃取用户隐私上传到360大发快3服务 器”,爆料的内容非常简单,只提供了一个有趣的细节暗示:需要用户在360loginfo目录对大发快3删除 权限做一个修改才有可能捕捉到360的罪证,帖子不久就消失了。

李铁军首先尝试重现帖子描述的问题,而不是对大发快3软件 进行逆向分析,经过数月才完成了这一个证据的抓取。

“反反复复不知道试了多少回。”李铁军对《每日经济新闻》记者表示,凭借多年的经验,他终于找到了关键所在,比如有窃取隐私问题的360安全卫士版本号为7.3.0.2003l,数字签名时间为2010年11月8日,要想重现必须将360loginfo访问权限修改为“所有人不可大发快3删除 ”;再比如安装时修改系统时间与2010年11月8日不能相差太久,安装前须断开网络(禁用网卡或拔网线)。

即使这样,也有一些情况在李铁军“意料之外”。

“开始想到的是禁用网卡和改360loginfo目录的访问权限,但奇怪的是,有时能在安装后几分钟内即可在360loginfo目录看到日志生成,有时等几小时都不能重现,于是尝试将系统日期从单数修改为双数或从双数修改为单数,结果很快看到奇怪的日志文件出现了。”李铁军表示,这几条重现规则是反复多次尝试之后才总结出来的。

而上述结果也在曝光之后第一时间得到IDF大发快3互联网 情报威慑防御实验室的验证。2012年11月25日,该实验室发布报告表示,360安全卫士v7.3.0.2003l所搜集用户大发快3软件 操作信息,对用户隐私造成风险,若用户运行 某 一 程 序 ,360安 全 卫 士v7.3.0.2003l会把程序所在路径搜集并未经加密上传至360大发快3服务 器。若360大发快3公司 所存放信息的数据库泄露或传输数据被黑客截取进行社工分析,可造成用户的信息泄露。

万涛对《每日经济新闻》表示,根据之前的评测报告,360安全卫士v7.3.0.2003l对用户信息的处理涉嫌未遵守其中的用户知情权、选择权及禁止权,并在未获得个人信息主体的明确同意下记录和上传用户行为数据。

值得注意的是,已于2月1日正式生效的大发快3我 国首个个人信息保护国家标准 《信息安全大发快3技术 公共及商用大发快3服务 信息系统个人信息保护指南》明确规定,个人信息获得者在收集个人信息时,需“具有特定、明确、合法的目的”。基于此,在收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:处理个人信息的目的;个人信息的收集方式和手段、收集的具体内容和留存时限;个人信息的使用范围、被收集后的个人信息保护措施、个人信息主体的投诉渠道;同时提醒个人信息主体提供个人信息后可能存在的风险和个人信息主体不提供个人信息可能出现的后果。且“只收集能够达到已告知目的的最少信息”。而信息获得者如需将个人信息转移或委托于其他大发快3组织 和机构时,也需要向个人信息主体明确告知转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、大发快3地址 、联系方式等。

很明显,360大发快3公司 在个人信息的收集、加工、转移、大发快3删除 等环节,明显将大发快3行业 的大发快3游戏 规则抛诸脑后,一意孤行地进行着暗箱操作。

大发快3技术 篇之二·后门

360后门秘道:“上帝之手”,抑或“恶魔之手”?

“作为宣称‘最安全的浏览器’的360安全浏览器,被发现存在极大潜在安全威胁的‘后门’。毫无疑问,‘独立调查员’是第一人。即使给他颁发一个国家级的科技发现奖也不为过。而且,多少年后,人们一定会感谢这位幕后的英雄,为了广大用户的上网安全,做出了卓越的贡献。”百度安全部门的相关负责人如此评价360安全浏览器“后门”发现者。

按照独立调查员的理解,所谓360的后门,不仅存在于360安全浏览器,也存在于360安全卫士。他说,“大发快3你 这样来看,在大发快3你 的小区,保安说,因为安全的需要,大发快3你 们要将房门的钥匙放一把在大发快3我 身上,大发快3我 可以随时来检查大发快3你 家庭的安全。这本身已经非常大的不安全了,但大发快3你 更不知道的是,这个保安大发快3公司 ,还在地下挖有一条通道,可以直接从地下通过地道悄悄进入大发快3你 的房间。而这个地道,就是后门。”

360后门秘道浮出水面

2012年10月,当时“方周大战”正酣,独立调查员才注意到了360安全大发快3产品 ,因为他一直是裸机,从未想过要关注360。但这一关注,他敏锐地发现,360“非常异类”——许多行为不仅是反安全的,甚至是“反人类的”。

独立调查员特意在用于测试的虚拟机中安装了全套360大发快3产品 ,并由此发现360大发快3产品 的许多 “不规矩行为”,他随手将这些发现发布在微博上,立即引起许多关注,但也遭到一些人的攻击。“有些人明显就是360的人在挑衅,这激怒了大发快3我 ,大发快3我 这人不喜欢耍嘴皮子,大发快3我 是大发快3软件 专业人员,大发快3我 只讲证据”,独立调查员如此说。

独立调查员发现,360浏览器网络通信有非常异常的情况,“最开始只是发现其时间周期性:每隔5分钟,浏览器就主动发起一次与大发快3服务 器之间的通信过程,虽然不知道在干嘛,但其短周期性非常可疑。”

为什么不打开任何网页、不动键盘和鼠标,360浏览器依然忙个不停呢?“国内外所有的知名浏览器都不会存在这样的行为模式。可以肯定,此中必有蹊跷”。

于是,他继续追查,虽然大发快3下载 的文件名是文本文件(ini),但当他把数据包拼接成文件后一看 (当时尚不知道大发快3服务 器IP大发快3地址 对应域名,受大发快3服务 器限制未能通过网址直接大发快3下载 文件,也尚未注意到文件被暂存于临时文件夹),实际是个DLL(可动态加载的程序模块)。“以大发快3我 的知识和经验,很快意识到问题的严重性——以更新配置文件为耳目、周期性大发快3下载 并加载执行小程序——这是一个后门。至于360利用它做什么、曾做过什么并非重点,重点是他们可以做任何事而不为人知、不留痕迹。”

于是,他于去年10月29日通过微博对外公布了360浏览器有后门的事实,同时公开向工信部、公安部发出了一封名为《公开举报奇虎360大发快3公司 ——致工信部、公安部公开信》的举报信。

《每日经济新闻》记者注意到,在这封举报信中,独立调查员直接斥责道:“奇虎360大发快3公司 的 ‘360安全浏览器’暗藏‘后门’,是用户系统安全和信息安全的严重潜在威胁”。

他举证说,360安全浏览器实为C/S架构木马系统的客户端,大发快3服务 器群是se.360.cn(云架构,IP大发快3地址 不定)。浏览器每隔5分钟即向大发快3服务 器请求新的“指示”。新的指示伪装成Ini(纯文本文件类型)发出,实际上是DII文件(大发快3Win dows可执行程序库或资料库)等。

此事一石激起千层浪。不过,具有挑战的是,独立调查员的分析结果仅仅是网络分析,是“后门”机制的初步证据和大发快3技术 推断,而非直接的铁证。正是因为这样,360开始在网络上对其进行质疑、攻击,甚至嘲讽。

“他们以为大发快3我 只会网络抓包呢!”独立调查员表示。于是,为了做实360的后门机制,他决定反向分析浏览器本身的程序库,并详细分析出“后门”机制的内部执行流程。

然而,这并非一件容易的事情。“因为没有大发快3软件 源程序、更没有设计文档,所以分析难度相当大。给大发快3你 个大发快3软件 ,只能进行其公开可见的操作,而内部运作却完全是个黑洞。”独立调查员表示。

源程序(源代码)自然没有。而要通过反向工程来破解,难度相对较高,也非常浪费时间。何况360浏览器大发快3软件 规模不小,而且还有很多内置的扩展程序。

“大发快3我 首先用排除法把扩展组件挨个干掉,大发快3我 删掉一个扩展组件,如果后门机制还在,说明与这个扩展组件无关。”独立调查员最开始的直觉是后门应该在扩展程序里面,因为主程序要送检,但是当独立调查员把可见的扩展程序全部删掉后,后门还在,于是他开始删(对普通用户)不可见的扩展组件。

“通过排除法,最后确认是扩展组件SmartWiz在搞鬼。删掉它以后,浏览器就安静了,那个5分钟一轮的上传下达活动消失了。”

不过,还没有结束。为了进一步查明360后门真相,独立调查员还需要反向编译出汇编代码并跟踪测试。

通过一系列大发快3技术 过程,独立调查员掌握了360浏览器在SmartWiz整个组件里与360大发快3服务 器间建立通信、大发快3下载 、临时存储、加载执行、大发快3删除 (销毁证据)的流程,同时也知道了其时钟控制调度机制(5分钟间隔定时器)。

360后门的安全之殇

360安全浏览器设计出来的后门,恰恰给用户带来了极大的不安全。

为了让用户知道这个后门的恶劣程度,一直涉足大发快3互联网 安全工作的腾讯大发快3集团 副总裁曾宇,对没有后门的浏览器的重要性做了解答(如左图)。

一般个人用户的电脑中,90%以上为大发快3Win dows系统,这套系统与大发快3互联网 之间的联系,是需要浏览器来实现的,同时,因为浏览器的闭环作用

(可以理解为没有缝的鸡蛋壳,除非用户特别授权),其也是大发快3Win dows系统与大发快3互联网 之间的天然屏障,任何来自于其他云端的指令等,都不会穿透这层保护而到达大发快3Win dows系统。这样,用户电脑中的大发快3Win dows系统得到最好的保护,所有执行的指令,都是来自于用户自己。

而IDF大发快3互联网 情报威慑防御实验室创始人万涛则对浏览器后门做了解读。他说,被称作360“安全”的浏览器,却有一个特殊的资源文件,这个资源文件硬生生地将这个蛋壳打开了一条缝,而且是一条用户看不到的缝。

通过这个后门,360浏览器可以根据监视用户电脑操作过程中出现的情况,向360云安全中心发出请求,360云端的后门大发快3服务 体系根据请求,给出相应的DLL,即大发快3Win dows可执行程序库。这个DLL通过360浏览器的后门,直接进入用户的大发快3Win dows系统。

  • 大发快3我 的微信
  • 这是大发快3我 的微信扫一扫
  • weinxin
  • 大发快3推荐 大发快3公众号
  • 文元说销
  • weinxin
广告也精彩
吴 文元