驳瑞星《奇虎360利用“后门”拿走了用户什么》一文的荒谬
【转自】http://bbs.360.cn/3229787/34929783.html?recommend=12月6日,瑞星发布了《奇虎360利用“后门”拿走了用户什么》一文,用大量貌似专业的技术细节来混淆视听,欺骗网民。360指出,瑞星无非是两种手法:
1、《鹿鼎记》中,韦小宝说谎的诀窍是基本的事实可以瞎编,但在细节上要显得逼真,这样才能让人相信。瑞星正是钻了多数网民不懂技术的空子,提供一些多数人都看不懂的图,配上一大串的代码,哪怕这些图和代码根本就与“后门”无关,但是看上去却会很唬人。瑞星赌的就是:就算所有安全技术人员都能看出瑞星是在胡扯,至少还可以蒙骗剩下的99%的网民。
2、利用网民对“后门”的恐惧心理,以及“阴谋论”总会有市场的群众心理基础。不管文章内容多么荒诞不经,只要有人看,就会有人信,哪怕一些读者看完以后没有全信,而是将信将疑,那也部分达到了瑞星抹黑360的目的。那瑞星不怕被人揭穿吗?买通于兵陷害微点这种惊天大案都能做得出来,瑞星还有什么好怕的?
在揭穿瑞星谎言之前,请瑞星先回答两个问题:
1、软件如果开设“后门”,其行为等同木马,直接触犯我国刑法,如果360真如瑞星所说“用后门偷用户隐私”,那瑞星为什么不向Police部门举报?或者干脆把360作为木马查杀?这可比连篇累牍地发文章抹黑360要容易得多,可以直接置360于死地。
2、国内外这么多安全厂商、ZF机构和民间安全组织,为什么只有瑞星发现360有“后门”?难道是瑞星技术最好?为什么“技术最好”的瑞星连年通不过VB100测试,以至于都没有胆量再参加?
当年瑞星陷害微点时,瑞星的“专家”口口声声说微点制造了病毒。结果却表明:制造病毒和冤假错案的正是瑞星自己。这次瑞星又如法炮制了“360后门”,其手段与当年诬陷微点“制造病毒”如出一辙。
现在就让我们来逐条戳穿瑞星的谎言:
[ 本帖最后由 枫林里的枫叶 于 2010-2-7 00:51 编辑 ] 【瑞星捏造】:奇虎360给2.6亿用户植入“后门”
2月2日,安全专家发现,360安全卫士在安装进用户电脑时,会偷偷开设“后门”。在此事件爆出后,奇虎公司试图用此前爆出的“漏洞”来掩盖其“存在后门”的事实。其实,“360后门”是软件编写人员故意在其中放入的,而“漏洞”是程序员无意中导致的错误。一个是故意,一个是无意,两者性质完全不同。正常软件不会编写放置“后门”,作为用户安全保护者的安全软件更不能有任何“后门”,只有黑客程序才出于不正当目的,为窃取用户信息加入“后门”。
【360反驳】:
瑞星自己在网上公布了针对360漏洞的攻击代码,以及教唆如何实施攻击的演示视频,但却要指鹿为马地说成是360的“后门”。明明是瑞星自己把漏洞和后门混为一谈,结果还要反咬一口。
【瑞星捏造】:奇虎360利用“后门”监控网民信息
近一年来,很多网友反应安装360安全卫士之后,电脑上网变慢。经过专家分析,由于奇虎360安全卫士偷偷上传用户私人信息,占用了极大带宽,所以造成用户上网变慢。
【360反驳】:
到底是装了瑞星之后电脑变慢,还是装了360之后电脑变慢,用户自己试一试就知道了。在以往由各种机构进行的各种评测中,无论是带宽、CPU还是内存占用,瑞星都远远超过360,那么按瑞星的逻辑,岂不是瑞星自己在大量上传用户隐私了?
【瑞星捏造】:2.6亿用户完全丧失了自己的隐私,被奇虎公司24小时监控。按照黑市的“肉鸡”价格计算,奇虎360的2.6亿用户,每个月可以带来两千余万元的收入。
【360反驳】:
当初瑞星陷害微点时,也曾经给微点捏造了一个“制作和传播病毒,造成两家受害公司各10万元损失”的罪名,只不过现在诬陷对象换成了360,数额变成了每月2000万。作为国内知名的安全公司,瑞星既然发现了这么多“罪证”和这么大一个“犯罪组织”,又为什么不敢报警?
【瑞星捏造】:至此,奇虎360给用户电脑安装“后门”,窃取用户信息、监控网民行为的情况才被彻底揭开。根据权威检测,在过去的一年里,360安全卫士断断续续上传了很多用户的信息,包括用户的私密文件、银行软件信息等等。
既然“权威”检测到360上传用户的私密文件和银行软件信息,请“权威”说明具体是什么私密文件和银行软件信息。
事实真相是,360采用了国内外技术领先厂商(如趋势等)正在使用的云安全技术,会将四类与隐私毫无关系的信息上传到服务器来查询验证:
1.云安全的木马查杀:用户电脑中的可执行程序(exe、dll等可执行程序或模块,就是微软称为“PE格式”的文件)就其文件路径和摘要(MD5)与后台服务器进行查询,验证是否为木马。使用云查杀有三大好处:无需更新就能及时查杀、免去巨大的特征库安装、更快速轻巧。
2.云安全的网址过滤:查询用户访问的网址是否在木马或挂马网址库。使用云安全的网址过滤的两大好处是:无需更新就能及时拦截木马、挂马或钓鱼网站,对清除挂马的受害网址及时解除拦截报警。
3.在明确声明隐私并征得用户同意的情况下,上传未知可疑的可执行程序文件(exe、dll等可执行程序或模块,就是微软称为“PE格式”的文件)。360安全卫士不会上传任何涉及用户隐私的文件,例如:文档格式的文件doc、xls…;不会扫描或上传保存在用户电脑或服务器上的QQ聊天记录;不会检查或拦截用户电脑与支付宝服务器验证用的账户信息等。
4.用户体验改善计划所需的日志统计,用于改善产品的功能和交互体验。这类似网站的常用点击统计分析,不会上传任何涉及用户隐私的信息如邮件、账户等。
【瑞星捏造】:奇虎通过后门,监控网民、窃取用户信息技术细节第一:时刻监视用户访问网站,上传至奇虎360网站
(用户访问搜狐网站时,抓包分析如上图)
当用户使用360浏览器访问某个网址时,该网址就会被发送到360-s.qihoo.com,,而且没有加密。也就是说,凡是用户通过奇虎360浏览器浏览任何网址,都会被奇虎记录下来。用户毫无隐私可言。
【360反驳】:
瑞星抓包分析了最正常不过的“云安全网址过滤”功能,很多软件(如GoogleChrome浏览器、金山网盾等)都有类似功能,瑞星自己没有这个技术,于是就装作不认识的样子。让我们给瑞星上一课:
1.360安全浏览器的重要功能之一是云安全网址过滤。就是对用户在浏览器地址栏输入的网址与360安全中心的恶意网址库进行比对,第一时间拦截报警木马、挂马和钓鱼网址。360安全浏览器早期版本(1.5版以前)采用的是类似查杀恶评插件的网友投票评分的方式。从瑞星的截图来看,了解HTTP协议的用户可以知道这是一个遵循1.1版协议的HTTP读取请求,访问的是360-s.qihoo.com这台服务器,返回的是360网友对www.sohu.com这个域名的安全评分结果。
2.用户点击查询网址评分之前以及之后,从流量抓包工具中可以看到360安全浏览器没有任何连接360服务器的行为。点击查询评分可以看到一个HTTP的请求,其网络数据包就是瑞星展示出的信息,而请求结果就是显示出的网址评分。
3.没有加密正说明了360欢迎广大网民的监督和检验。360产品的任何上传信息都经得起任何人的检验。如果加密了还真不知道会被瑞星诬陷成什么。
4.说360安全浏览器会记录用户浏览的网址更是无中生有、没有事实为依据的阴谋论。为什么不给读者看他们能够看得明白的内容,而专门挑选广大网民不容易看懂、貌似技术性很强的网络数据包和二进制数据?
5.真相截图
瑞星捏造】:第二:悄悄盗取用户电脑隐私信息360安全卫士具有“举报可疑文件功能”,通过技术分析可以看到,在360安全卫士上传的数据中,不但包括了用户系统的信息,还包括用户安装补丁和用户所安装的软件信息,甚至包含了“招商银行专业版”等软件信息。截图如下:
U1-SOFTE:AdobeFlashPlayer10ActiveX|10.0.22.87|AdobeSystemsIncorporated|
U1-SOFTE:AdobePhotoshop7.0.1|7.0.1|AdobeSystems,Inc.|
U1-SOFTE:BCWipe3.0|||
U1-SOFTE:DellWirelessWLANCard|4.10.47.3|DellInc.|
U1-SOFTE:招行专业版|||
U1-SOFTE:ConexantHDAD110MDCV.92Modem|||
U1-SOFTE:Ethereal0.99.0|0.99.0|TheEtherealdevelopercommunity,http://www.ethereal.com|
U1-SOFTE:HyperSnap6.21.02免注册汉化版|HyperSnap6.21.02免注册汉化版|雅诗(Kaci)|
U1-SOFTE:OZ776SCRCardBusWindowsDriver|0.0.0.1|O2MicroInternationalLTD.|
U1-SOFTE:Iris-TheNetworkTrafficAnalyzer|4.0|eEyeDigitalSecurity|
U1-SOFTE:HighDefinitionAudioDriverPackage-KB835221|20040219.000000|MicrosoftCorporation|
U1-SOFTE:WindowsGenuineAdvantageValidationTool(KB892130)||MicrosoftCorporation|
U1-SOFTE:WindowsXP安全更新(KB923561)|1|MicrosoftCorporation|
……
【360反驳】:
瑞星危言耸听360上传用户的“招商银行专业版”等软件信息。请问瑞星:网银软件信息难道等于网银账户信息?360识别出用户用的是哪款网银软件,难道就等于360知道用户帐上有多少钱?如果瑞星用户的网银软件被病毒感染,瑞星是否就置之不理?如果瑞星查到360盗取用户网银账户信息,为什么不截图举证?
再给瑞星上一课:
1.上图显示的其实是360安全卫士非常受欢迎的“全面诊断”功能的上传信息。类似趋势的Hijackthis工具(http://free.antivirus.com/hijackthis)和SREng(http://www.kztechs.com/sreng/index1.html)。
2.任何一个全面诊断工具的诊断报告都会检查系统中是否安装有网银类的软件,结合诊断报告中其它的信息来判断网银软件有没有被木马修改或感染。360的全面诊断工具只检查网银的程序本身,不会也不可能触碰网银登录信息之类的用户隐私数据。
3.从下面的截图看,360安全卫士的全面诊断在用户上传诊断报告到360请网友和360安全专家协助分析问题之前,尊重用户并进行了多次的提示,让用户享有了充分的隐私权、知情权和选择权。
4.有图有真相。下面,就让我们用截图,来一步一步揭露瑞星是如何炮制出这些所谓的“后门”技术分析的
图1:打开360安全卫士高级工具中的全面诊断工具,诊断完毕后点击“导出诊断快照”
图2:在导出的“360诊断报告”中,包含有操作系统版本号、内存大小、安装何种软件、系统启动项有哪些等相关信息。方便用户自行判断、请高手诊断或发送到360网站,寻求安全专家的帮助。请大家特别注意,本图左上角红框中,包括了“诊断平台、IE版本、计算机物理内存”等系统信息。图6中瑞星故意用让普通人难懂的二进制代码形式揭露360上传的那些所谓“隐私信息”,其实就是用户主动上传的诊断报告信息。
图3:在用户点击了“举报恶意软件”按钮后,360安全卫士进一步向用户确认所要上传的内容,充分尊重用户的隐私权、知情权和选择权。
图4:用户如果主动点击“上传举报信息”按钮。在上传过程中,任何人使用任何网络抓包工具,都可以抓取到这些上传到360网站的网络数据包。
图5:随后,任何人都可以对这些数据包进行解码、还原出原先的诊断报告内容。其中,解码后的原文区可以看出,瑞星提供的所谓“U1段”内容,其实只是用户电脑上所安装软件的名称而已,不涉及任何用户的隐私信息。
图6:将抓来的数据包解码、还原出的用户诊断报告内容,再用UltraEditor进行二进制代码一转换(图左侧),我们就惊讶地发现,这与瑞星在官网揭露的所谓“后门”代码信息是完全一致。
图1到图6的过程明确无误地说明了一点,瑞星故意用普通人看不懂的二进制码形式展现的,不过是360给用户清晰明示、并经用户自主上传的系统诊断信息!而根本不是什么隐私信息!问题是,瑞星为何要这么做呢?直接截取图2不就行了么?!答案只有一个:忽悠和欺骗!
【瑞星捏造】:上述两个窃取用户信息的功能,都是存在一段时间后即被奇虎360关闭,使得用户无法得知真相,从而显得更隐蔽,欺骗性更强,与以前的3721流氓软件同出一辙。
【360反驳】:
这恰恰可以证明瑞星的心虚,明明是找不到任何证据,为了圆谎,居然可以用“存在一段时间后即被奇虎360关闭”的理由来搪塞。按这个逻辑,瑞星可以编造360的任何罪状,拿不出证据时,只要说“这个功能已被360关闭”即可,譬如“上述两个可以发射核弹头、引发核战争的功能,存在一段时间后即被奇虎360关闭”。
实际上,瑞星这类技术分析图片非常容易制造。请看下图。
图7:按照瑞星文章同样的逻辑,任何网友也可以非常容易地炮制一张瑞星“后门”上传用户隐私信息的所谓“技术分析图”:从图中可以看出,瑞星杀毒软件在向瑞星服务器上传用户的邮件信息!天哪!好大的一扇瑞星“后门”! 上次看了瑞星的文章后,也就将信将疑,现在360又发了这个,无论到底结果如何,目的如何,大家都应该把自己的切身利益放在首位。最终怎么看那就是仁者见仁智者见智了。 瑞星也不装 360也不装 让他们继续掐 我用avast蛮好 用手机看完了~呵呵,不管怎么样,大家自己判断…… 我现在在用诺顿,,觉得蛮好的,, 我什么也看不懂~~~ 现在我用了360四个产品… 以后裸着就上,大不了系统重装
页:
[1]
2