360黑匣子之谜—奇虎360“癌”性基因大揭秘第三季[转自chinaz]

  • 360黑匣子之谜—奇虎360“癌”性基因大揭秘第三季[转自chinaz]已关闭评论
  • 2,790 views
  • A+
所属分类:文元说销
广告也精彩

此时,这个DLL好生了得,它甚至已不受浏览器的控制,它在用户大发快3Win dows系统中可做的事情包括但不限于:

获取用户的文件,并上传到云端;

读写、增删用户的文件;

监听用户通讯;

更改大发快3Win dows系统的注册表或重要的设置参数;

悄悄卸载竞争对手的大发快3产品 ,等等。

同时,这个DLL还可以通过这个后门,直接对大发快3互联网 发出指令,包括但不限于:

自动从360大发快3服务 器大发快3下载 大发快3软件 来安装或运行;

代替用户直接进行电子商务操作;

释放木马或病毒、创建常驻系统的大发快3服务 ,等等。

360是否做了这些呢?如果做了,对其自身又会有怎样的价值呢?会对大发快3行业 、用户带来怎样的伤害呢?没有人知道答案。

“搞清楚这些细节后,大发快3我 就着手重现后门机制的运作,让本来不可见的过程变得可见,以做可视化演示,让大家不仅能感知而且能 ‘看到’360暗设的这道‘后门’。”独立调查员表示。

在他看来,360那个后门每5分钟都会找360大发快3服务 器大发快3下载 一个DLL并加载执行,但它是个后门,隐蔽性第一,因此DLL无论如何不会现身,不存在弹出对话窗口或消息框,因此需要给它模拟一个测试环境。

“通过在大发快3本地 架设DNS大发快3服务 ,劫持360.cn的域名解析,把大发快3我 的机器伪装成360的大发快3服务 器,然后那个注入浏览器的DLL不就由大发快3我 自由控制了么?”独立调查员表示,通过编一个只要被加载执行就马上弹出消息框的DLL,拿自己写的DLL注入给360浏览器,这就让360浏览器的后门机制的运行完全可见了。

就这样,浏览器果然如预期的那样,把独立调查员在DLL里面写的消息框给弹出来了。

“被活捉啊!”从去年10月29日的公开信到11月5日的反向工程分析研究,前后仅为六天(仅利用业余时间)。

一个细微的细节是,独立调查员为了让大发快3更多 的用户知道360暗藏后门的事实,还将其调查结果通过65分钟不间断的大发快3视频 进行全网络直播。由于要保证大发快3视频 内容真正做到65分钟不间断、不剪接,而实际上他花费了4个多小时一次次现实演示,直至实现一次性完成,才算真正完成这一取证工作。

独立调查员指出,可执行文件DLL绝非大发快3软件 的自动更新(大发快3软件 更新是持久性的),360安全浏览器自动更新仅在启动时执行一次,与此行为无关;而它也不是浏览器的一部分,大发快3下载 、暂存、加载调用后将立即被大发快3删除 ,完成使命后,不留任何痕迹。

360后门:绑架用户的遥控器

独立调查员的这一发现发布后,立即在业内引起巨大震动。

以电子取证为主业的独立第三方IDF大发快3互联网 情报威慑防御实验室立即跟进,对独立调查员的举报结论进行重复性认证,结论为:360安全浏览器v5.0.8.7的ExtSmartWiz.dll文件的属性、行为及反编译内容与独立调查员描述完全一致。

万涛表示,在当时的检测中,即使在关闭360安全中心可以关闭的功能,包括网址云安全、广告云拦截、第二代防假死、沙箱保护,在未进行任何浏览器操作情况下,仍然可以抓取到ExtSmartWiz.dll请求大发快3服务 器文件及大发快3下载 大发快3服务 器文件记录,而这些并未包含在《360用户隐私保护白皮书》有关“360安全浏览器的隐私保护说明”中。

业内一位安全专家认为,360浏览器利用后门通过秘密手段,每5分钟操作一次程序性动作,究竟做了什么?现在不易获知,相信终有一天,360内部的程序员等知情人士会将此完整地披露给大众。但可以认定,360这一行为有不可告人的目的,最为正面的理解是:如果全国要抓贪腐,可能不再需要小三、二奶们自告奋勇地献身了,只要打开360浏览器,贪腐只要是上网的,基本上其丑行就可以通过360安全浏览器、360安全卫士这个后门机制暴露无遗了。

针对独立调查员的证据,360方面至今也无正面回应。

据独立调查员的最新消息,360安全浏览器5.0版的“后门”机制仍在运作,但360大发快3服务 器已不再通过“后门”下发任何DLL,仅下发空文件(文件大小为0的文件)。

对360安全浏览器最新版(6.0.2.202)的网络通信监测表明,在未打开和浏览任何网站的情况下,浏览器仍然在与360云大发快3服务 器密集通信,但与5.0版的情况明显不同。这里是否藏了什么新的秘密?

独立调查员对此已作了尝试调研,他告诉 《每日经济新闻》记者,“有关结果,在合适的时候会披露出来。”

“此中有一个不易注意的细节,”独立调查员告诉记者,“当时,360安全浏览器大发快3产品 经理陶伟华在回应大发快3我 的微博时,就把大发快3我 指出的ExtSmartWiz.dll文件名篡改成SmartWizRes.dll,而现在其6.0版本恰恰就是现在的‘SmartWizRes.dll’,可见其早已有想通过偷梁换柱的方式掩盖其恶行。”

据多位安全专家表示,“后门”并非360独创,原来,其作用为“方便之门”。最著名的“后门”大发快3软件 为灰鸽子(Hack.Huigezi)。其诞生于2001年,原本是一款优秀的远程控制大发快3软件 ,其后门机制作用为方便实施远程控制。但正是这“后门”机制,又使其成为集多种控制大发快3方法 于一体的木马病毒。一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件等皆手到擒来。因此,自其诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注,同时成为全球公认的“毒王”。

360安全浏览器比“灰鸽子”更为危险的是,它的市场占有量很高。根据艾瑞咨询此前发布的数据显示,360最主要的大发快3产品 360安全卫士的市场份额已经高达84.41%,同时360也拥有国内最大的浏览器和网址导航份额,所占市场份额大致为30%。这也意味着数亿量级360浏览器安装于用户的电脑中,如果有人破解360安全浏览器,从而控制这个后门的话,那将是灾难性事件,它导致一个国家的瘫痪都是完全可能的。因为360安全卫士、360安全浏览器早已进入了中国大多数用户的电脑。

万涛进一步指出,更为令人担忧的是,360的“后门”控制属于云端,至今仍秘而不宣。“凡安装360安全浏览器或360安全卫士的电脑,都已客观上成了360可以任意支配的‘肉鸡’。而360目前在许多领域中的不正当行为,都是基于其安全入口的裁判员机制而实施成功的。”

而来自金山的反病毒专家李铁军认为,360浏览器的后门机制,实际上已绑架了用户,成为360通过用户的浏览器来直接攻击竞争对手的大发快3工具 ,包括阻止或杀死竞争对手的各类客户端大发快3软件 ,阻止其中的重要程序,破坏竞争对手大发快3软件 的功能等等。“这样的丑行只有中国才有,是世界上惟一的先例。”

商业篇

360:大发快3互联网 的“一枝黄花”

自由评论人、大发快3技术 经济观察家瞬雨给《每日经济新闻》记者讲述了一个历史故事:

1935年,大发快3上海 从北美引进“加拿大一枝黄花”作为观赏植物,因其艳丽多姿,多用于插花配花。然而上世纪80年代,因其具有极强的繁殖和快速侵占力,同时,其根系会释放乙炔气体抑制其他物种生长,从而导致“加拿大一枝黄花”扎根之处,所有植物均迅速死亡,甚至使大发快3上海 30多种植物物种消亡,从而被列为恶性杂草。几十年来,许多地区一直在进行剿灭“加拿大一枝黄花”行动。

瞬雨认为,360很像中国大发快3互联网 界的 “一枝黄花”。360董事长周鸿祎一直强调“破坏性创新”,这正是“一枝黄花”的最好注解。

对于360及周鸿祎,外界基本上分为两个阵营:爱之者为之欢呼,恨之者为之切齿。而欢呼者,正是出于对其破坏性快感的获得,以及对其破坏过程中所呈现的“流氓特性”的认可;而切齿者,则不仅因其对整个大发快3互联网 社会的强大破坏力,更缘于其不断地突破底线,以及对人们价值观的不断挑战。

“破坏是一件容易的事,而建设才是根本。创新不能总是以破坏为代价。”瞬雨向《每日经济新闻》记者表示,“酿制出一只青花瓷瓶,或许需要数月甚至数年的精到功夫与时间,但破坏它,一锤子砸它,只需要一秒钟。”

瞬雨认为,360更大的危害,在于其还有许多人们所不能见的潜在威胁:360安全卫士、360浏览器的“癌性基因”。

作为大发快3互联网 安全厂商,最重要的特性,就是恪守“第三方安全”准则:不得随意代替用户作决定或处理;不得以安全的名义,为厂商自己牟利;不得在安全领域,既当运动员,又是裁判员。

但360恰恰就在这些方面,完全违背了安全厂商的基本准则。当360安全卫士、360安全浏览器植入用户电脑的时候,360便通过它们在用户知情或不知情的情况下,直接代替用户做决定,完成各种动作。

“这样的大发快3产品 在市场上将是无敌的。”瞬雨举例说,“一场拳击赛,A方只可以以拳击打对方的有效部位,但B方却可以手脚并用,并可以攻击大发快3你 的下三路,那A方必输无疑。”

这是360致胜的法宝。

而在掠夺市场的过程中,360安全卫士、360浏览器恰是一对并蒂的“恶之花”。

商业篇之一·生意经

360生意经:圈地运动与癌性扩张

近日,百度要求凤巢(百度大发快3搜索 营销管理平台)用户安装安全插件,以检验浏览器的安全性。而360以用户名义,给予这个插件以 “网友差评”标签,并通过其系统,认定该插件为“偷拍插件”。然后,在360安全卫士的“清理插件”功能下,直接诱导和恐吓用户卸载该插件。

360凭什么将百度这个插件定义为“偷拍插件”?凭什么要用户卸载?事实上,全球其他所有浏览器均对上述插件无异议。

独立调查员向《每日经济新闻》记者分析说,360大发快3软件 (含大发快3互联网 大发快3服务 )大发快3产品 ,涵盖安全防护(安全卫士、手机卫士、杀毒等)、操作环境(浏览器、桌面、大发快3软件 管家等)、大发快3工具 大发快3软件 (五花八门)、大发快3游戏 平台、导航大发快3搜索 和电商网站等,“如果把电脑系统比作大发快3软件 大发快3产品 的运动场,从安全角度看,安全防护大发快3产品 是裁判员,其他大发快3产品 则是运动员”。

很显然,360兼具裁判员、运动员双重身份。

做为裁判员,360能否公平对待同场竞争的运动员(竞争对手)和看台观众(用户),是人们判断其价值最关键、也是最重要的因素。

“大发快3大发快3我 们 无法想象,微软会通过大发快3Win dows大发快3产品 不断提示用户IE才是安全的浏览器、借网民的名义指控Google大发快3搜索 是钓鱼网银的帮凶、腾讯电脑管家是最差的安全防护大发快3产品 ;大发快3大发快3我 们 无法想象,微软通过大发快3Win dows大发快3产品 把用户安装的所有浏览器的默认大发快3首页 都强行设定为自身的官方网站;大发快3大发快3我 们 无法想象,微软会通过大发快3Win dows大发快3产品 向全球电脑秘密下达卸载Chrome浏览器的指令;大发快3大发快3我 们 无法想象,微软Bing大发快3搜索 引擎盗用Google大发快3搜索 引擎的结果数据。”独立调查员说,“是的,善良的人们无法想象,更无法接受这一切,有社会责任感的大发快3企业 公民对此都会嗤之以鼻——‘大发快3大发快3我 们 绝不这么干!’”

独立调查员认为,360有两条“成功密钥”,第一,是以“民事诉讼8连败”为代表的发展模式:先踩法律底线,以求先发展——在中国,360钻了品牌与道德成本太低的空子;第二,就是以安全和免费名义 “绑架”用户,然后以安全裁判员的身份,展开“竞争”。

以“永久免费”为口号,360安全卫士及其关联大发快3产品 很快占据较高市场份额。

“电脑安全性评分”是360安全卫士最重要的基础性功能。360安全卫士会自动扫描客户端所在系统的“安全隐患”,不符合360“安全标准”要求的就扣分,但评分标准和权重并不公开。

比如全新安装的大发快3Win dows7,在开启自动更新、尚未安装任何第三方大发快3软件 前,360安全卫士对其安全评估结果竟是0分 (满分100分)。这个0分意味着什么?大发快3Win dows真的很不安全?实际测试发现,根据其安全警示清单一项一项 “大发快3优化 或修复”后,评分逐步增加,但始终处于低位、不到60分,直到“大发快3优化 浏览器”并“锁定大发快3首页 ”后,安全性评分迅速接近满分!事实上,所谓“大发快3优化 浏览器”就是“安装360浏览器并设定为默认浏览器”,“锁定大发快3首页 ”就是“修改大发快3首页 为360导航”。

需要修复的项目还有 (不限于):卸载“差评插件”百度浏览器大发快3工具 栏、大发快3优化 IE(实为篡改IE的大发快3首页 、标签页、默认大发快3搜索 引擎为360的有关大发快3服务 )、大发快3删除 收藏夹中对手的项目(百度、腾讯、谷歌等)等等。

360安全卫士甚至曾伪装成微软 大发快3Win dows补 丁 安 装 程 序KB360018,以“IE6内核升级”的名义欺骗用户安装360浏览器。国外权威大发快3技术 网站SystemExplorer已将360的这个假冒微软系统补丁文件定为“100%安全威胁”,从而使后者遭遇微软调查。

尤其是360安全卫士在评分后的“一键修复”功能,更是其占领市场的利器。其借助傻瓜式的“一键修复”,导致用户在电脑上用什么、不用什么,都由360安全卫士说了算,至于是否都与安全性有关,一般用户自然看不出门道,相反还会对360的这些“强奸”行为“感恩戴德”——这些用户原本连安装或卸载大发快3软件 的操作都不熟练,而360安全卫士就是一台“傻瓜相机”。

事实上,360安全卫士不只是一台“傻瓜相机”,其云安全数据中心动态控制着一切,可以根据360自身需要更改其大发快3软件 资料库、评分标准和权重,随时准备向对手发起“云查杀”以保护自身利益。

独立调查员向 《每日经济新闻》记者分析说,360的发展路径,即从360大发快3软件 大发快3产品 底层大发快3技术 构架开始,埋下不同于所有大发快3互联网 大发快3公司 发展的“癌变基因”,然后,此“癌变基因”通过浸润,向操作环境领域发展,再向大发快3工具 大发快3软件 、大发快3游戏 平台发展,最终进入真正的大发快3互联网 领域——导航、大发快3搜索 、电商网站,以及电商网银体系等。

360绿色网站的安全谎言:“偷梁换柱”浸润电商网银安全体系/

2月6日,360官网上一条 “网购首选,3亿用户的共同选择”的广告悄然上线。打开这条广告链接,以“网购安全”为主题的新款“360安全浏览器”赫然在目。

据《每日经济新闻》记者获得的360内部信息,360将借今年的“3·15”活动,大力推动与国内电商大发快3企业 的大发快3合作 ,以将360安全浏览器植入电商领域。这则推广广告,正是这一步骤的前奏曲。

据记者调查,360两年前开始布局电子商务安全领域,其最先打出的 “安全大发快3产品 ”是 “网银无忧”、“大发快3地址 栏铭牌”,即360浏览器主推的“绿色网站认证”。

360向人们传递的信息是,“360绿色网站认证”可以确保用户使用网银以及电子商务交易安全。

众所周知,电子商务的交易安全,尤其是网银,一直是网民、乃至整个社会焦点关注的问题之一。欧美、日本等国家的网银安全体系非常复杂与发达,而国内的网银体系,也是在小心设想、小心求证的前提下,一步步地展开。

那么,360是否真的具备这个能力——取代网银大发快3服务 提供者身份验证体系,由自身来充当网银“保镖”呢?

独立调查员怀疑360大发快3公司 是否具备这个能力。于是,他进行了如下实验,以了解360绿色网站认证机制:

在本机模拟,将招行网银域名劫持到IP为50.63.127.126(xliar.com)的网站,并在目标大发快3服务 器上构建相应目录体系和登录页文件,然后使用360安全浏览器访问招行大众版登录页,从而进入伪装的招行网银页面。

360网购保镖自动检测招行运行环境,几秒钟后完成检测,报告“本次检测未发现风险,现在可以放心网购了!”

此时浏览器大发快3地址 栏铭牌显示为“招商银行”,点击后弹出“通过绿色网站认证”,披着“招行网银”外衣的劫持网址,即被360认证为招行官方网站。

而同样的操作,使用IE浏览器访问时,IE浏览器大发快3地址 栏则会以非常显眼的方式告知用户“(网站数字)证书错误”,点击错误信息可知,该网站证书不属于招商银行网站。

事实上,用国际主流的浏览器均会弹出类似的错误提醒警示,用户收到信息后自然会停止交易、避免损失。

这意味着,如果一家诈骗网站通过域名劫持招商银行网站,所谓的“360绿色网站认证”并不能有效执行网银保镖的辨识功能,进行安全认证。

360安全浏览器的安全检查能力为什么会如此之低呢?

据 《每日经济新闻》记者了解,目前国际主流的认证机构为VeriSign,包括中国工商银行、中国建设银行、中国银行、中国农业银行均采用该机构认证。招商银行网页所显示的,也正是该机构的认证,这也作为网上银行安全的基本保证而得到公认。

而独立调查员演示的证据显示,360浏览器直接屏蔽认证机构VeriSign基于加密体系的可信认证,将其替换成了360绿色网站认证。

独立调查员提醒网购者,应信任银行网站自身的安全证书,并在整个交易过程中关注大发快3地址 栏域名和安全证书中的域名是否一致,以及其根域名是否与官方域名一致,切勿轻易信任和依赖360的“绿色网站认证”。

独立调查员认为,这又是另一起360“破坏性创新”的典型案例:“一点大发快3技术 含量也没有的网站身份认证,竟然可以公然取代国际上通行的网上银行安全认证体系。这就是360的非创新型破坏。”

然而,对于类似公然挑衅国际准则的行为,为什么监管部门可以坐视不管呢?

可以预想的是,一旦360大规模启动“各大电商大发快3推荐 安全购物使用360浏览器”活动,人们的网上购物均要依赖于 “360绿色网站认证”,360收获的将是又一次360式“癌性扩张”,而中国的网银体系又将会面临怎样的可怕变局?

移动圈地:“非创新型”破坏或止步于苹果?

在360的2012年年会上,360董事长周鸿祎对员工指出:“大发快3我 认为未来两年将决定整个无线大发快3互联网 的市场格局……在过去的一年,360手机卫士用户量突破2亿,360手机助手的用户量也突破了1亿,成为360在无线大发快3互联网 上的两个支柱。但两根柱子支撑不了一个房子,大发快3我 希望各个团队在2013年会有新的大发快3产品 能够脱颖而出,包括很多PC的大发快3产品 也可以寻找在无线上的发展机会。很简单,未来不会再有无线大发快3互联网 大发快3公司 了,因为每个大发快3公司 都必须是基于无线大发快3互联网 的;也不会有PC大发快3产品 部、无线大发快3产品 部的区分,因为以后所有大发快3产品 都会在PC和移动终端上打通,而没有无线大发快3互联网 策略和大发快3产品 的大发快3公司 将会被淘汰。”

这段讲话基本上代表了360近期在移动端发展与布局的方向。

在移动端,360是否会重复使用“癌性扩张”的方式来圈地呢?

《每日经济新闻》记者在调查中发现,无论是微博还是公开的大发快3论坛 ,皆有不少用户曝光了360的一些“作恶”行为,大多包括以下内容:在智能手机通过USB接入电脑充电或同步数据时,360弹出手机助手的提示,不经意中安装360的其他大发快3产品 ,甚至装上360的大发快3产品 之后,其他非360的应用会莫名其妙地“被卸载”。

这也意味着,在移动端的圈地运动中,360依然在复制其PC领域的“癌式扩张”做法:除了做安全大发快3产品 外,自身同时开发了全系列的手机大发快3软件 ,然后重新演绎一遍其在PC端的玩法。

据《每日经济新闻》记者掌握的一份来自某大发快3互联网 工程师的爆料,包括360手机卫士、360手机通讯录、360手机浏览器等系列大发快3产品 存在明文上传用户隐私数据。上述爆料人提供的证据指出,在机场、咖啡厅,手机用户使用WiFi上网时,只要登录360手机卫士及360手机通讯录,或者进行云备份或云恢复,用户名(手机号)、手机IMEI码和密码等高度敏感信息就会通过请求网址明文传输,有了这些身份鉴别信息,可以使用任何浏览器从360通讯录大发快3服务 器tongxunlu.360.cn的非安全通道直接大发快3下载 用户云备份的通讯录等隐私。

这也意味着第三方可以轻松窃取360用户登录各个网站的密码MD5信息和手机号,进而可以获取用户包括短信、彩信、通讯录、通讯记录等所有相关隐私数据,而且还可以篡改并进行钓鱼。

对此,独立调查员进行了相应复检,发现含高度敏感信息的请求网址的参数部分,仅以BASE64编码(可简单解码,与明文无异),而用户密码虽然经过MD5加密、但是可直接用于登录,且对客户端合法性没有任何校验。独立调查员向《每日经济新闻》记者说,请求网址极易被非法拦截,在网址中明文夹带传输高度敏感信息,以及使用非安全通道大发快3下载 用户隐私数据,等于把手机用户隐私暴露在阳光下。

这一现状,与当年360安全卫士起家时如出一辙。

据《每日经济新闻》记者所掌握的证据,国内有多家大发快3公司 与个人,对360这方面的“不规距”行为进行了大发快3技术 论证与法律取证。但这一切,似乎并不能动摇360在此领域的扩张。

不过目前,似乎有了一些改变。

  • 大发快3我 的微信
  • 这是大发快3我 的微信扫一扫
  • weinxin
  • 大发快3推荐 大发快3公众号
  • 文元说销
  • weinxin
广告也精彩
吴 文元