360隔空取物��?借助系列產品窺“孤島”
在長期關注信息安全漏洞相關問題的烏云漏洞報告平臺上,曾有專業(yè)人士披露過很多關于搜索引擎和云相關的安全問題報告�����。烏云漏洞報告平臺負責人認為�����,期貨��、股票的操作信息與賬號等隱私信息是互聯(lián)網上最機密的部分����,在任何情況下,被第三方抓取或獲得的可能性都幾乎可以忽略不計����,但為什么某些特殊搜索引擎如360卻可以獲得呢?
該負責人指出��,金融無疑是全球安全級別最高的行業(yè)之一��,該體系完全是一個閉環(huán)����,它們就像完全意義上的密封“孤島”,外人一般只能在外圍“轉悠”��,很難進入到系統(tǒng)內部��,也就是說��,傳統(tǒng)的搜索引擎從外部根本無法抓取到這些 “孤島”的信息,除非借助用戶需要使用的某些強大客戶端如瀏覽器,搜索引擎才可以直接抓取用戶終端上的訪問記錄和數據�。
對于360能夠蹊蹺獲得這些機密信息的原因�,微博名人、程序員“獨立調查員”解釋說,不管證券行業(yè)安全級別有多高���,體系是多么繁瑣可靠,只要用戶上網的入口產品是360系列,或者安裝了360的網絡安全產品���,這些“孤島”或者隱私信息�����,都存在被上傳到360服務器的可能性。
獨立調查員否定了這是通過360后門機制來截取的可能性�。他分析說,360安全衛(wèi)士攔截并上傳用戶瀏覽行為的技術手段�����,與網絡工程師常用的網絡抓包分析工具類似���。不同的是�,360安全衛(wèi)士只需要實時攔截并分析HTTP協(xié)議數據包�����,從中提取用戶訪問的目標網址�����,其攔截過程與結果對用戶來說都不可見,這并非360安全衛(wèi)士的后門���,而是其固有功能�����,但此功能對用戶而言是個黑匣子�,這個黑匣子對用戶隱私安全形成理論上的可能威脅�。
獨立調查員感慨道,對于360上傳這些商業(yè)機密數據的情況�����,目前外界還知之甚少���。不過可以想象的是���,一旦360服務器被黑客攻克,或者這些數據被360泄露或濫用�����,對中國網絡和經濟安全可能是災難性的���。
據陳明回憶說���,上述隱私素材均為當年從upload.360safe.com網站下載所取�����。
2010年12月30日6時38分�,百度貼吧上一位名為“愛wu痕”網友發(fā)布了一條信息:看看這里面360都搜集了什么??����?這條信息后面附上了一個360存儲收集用戶信息的下載地址���。
“上述公開鏈接被谷歌搜索爬蟲抓取后�,進入谷歌網頁庫���,被網友搜索到�����,大公開�。”陳明表示���,他也在第一時間按照上述鏈接網址下載了相關的數據�����。
此后�����,更多的專業(yè)人士加入了下載���、分析的行列,甚至他們在安全論壇“kafan”討論此事�����。很快�����,360員工發(fā)現(xiàn)了服務器信息泄露的事實�,隨后在當天10時30分左右關閉了upload.360safe.com/url_files/目錄瀏覽權限,12時30分左右移除了此文件目錄�。
360服務器記錄的內容�����,為何會被谷歌抓取泄露�?這可能是眾多人看到這些被泄露在外的信息時的最大疑問���。
“當時�����,360在第一時間對外表示�����,其服務器外泄用戶隱私的真相,是360一臺服務器遭黑客攻擊�����,導致少量數據外泄�����,被谷歌搜索引擎抓取�����。”但在陳明看來���,“此次360服務器用戶隱私的數據泄密更有可能的原因是目錄權限沒配置好�����,而不是遭遇黑客攻擊�����。黑客攻擊獲取到用戶隱私數據后應該是直接使用以謀利�����,怎么會通過貼吧論壇的方式無償對外公開呢�?”
據《每日經濟新聞》記者了解�����,根據搜索引擎爬蟲(一種自動獲取網頁內容的程序)原理���,那些未被公開網址的目錄或文件�,網絡訪問者(包括網民和搜索引擎爬蟲)是無法瀏覽或抓取的,而一旦網址被公開�,搜索引擎爬蟲再次光臨該網站時,就能順藤摸瓜地抓取到那些目錄或文件���。
這正是360服務器隱私數據鏈接被張貼在百度貼吧后很快被谷歌搜索引擎爬蟲抓取���、并被網民搜索到的原因,否則那些隱私數據即使出現(xiàn)權限控制問題�����,也是一個信息“孤島”�����,爬蟲照樣觸不可及���。
獨立調查員進一步指出,360已經建立了一套“孤島”信息收集機制���,其抓取的部分信息會直接在360搜索引擎上展現(xiàn)�����,而更多更隱私的內容或許會永遠躺在360服務器中�,直到被挖掘利用、或被泄露�����。
一個可以借鑒的真實故事是:去年9月�,百度工程師針對360搜索展開的“鬼節(jié)捉鬼”實驗已經證明:只要使用360瀏覽器訪問“孤島”頁面,360服務器很快就能抓取這些頁面內容�����,并完全在360搜索中展現(xiàn)出來���。
隨后一個月�,百度某高管在一次面向全國100家媒體開放日的非正式會議上���,現(xiàn)場演示了一個360搜索引擎抓取手機用戶支付結果頁面的截圖�。這些頁面與支付寶付款結果頁面類似�����,上面也有用戶姓名、手機號等敏感信息�。根據360搜索頁面結果(見圖片1),“http://buy.#/umpay/cot/app-proxy.html?od=MjAwMDEyMzIxNzM3LDQ1LDlMzNiNGQ1NjJjYTljY2RlZTAxOThiZDYxMzZjNDY2&op=sh”這么復雜的鏈接�,爬蟲是如何發(fā)現(xiàn)的?它的出處在哪里���?為何搜索結果的數量有39萬之多�?為什么直接點擊無法訪問�?360此舉動引發(fā)了相關政府部門的介入。
(出于人身安全考慮�����,本稿件署名均為化名)
觀點
360被指侵門踏戶 逾越安全邊界
此前360方面曾公開對外表示�,安全軟件上傳網址監(jiān)測是行業(yè)慣例,帶有用戶名和密碼的網址記錄是由網站登錄機制造成的�,并非安全軟件有意上傳。
而獨立調查員認為���,這是360為自己侵犯用戶隱私的行為所找的借口���。在他看來,所謂云安全只是輔助機制���,安全軟件應盡可能排除可信的主流網站 (所有網銀���、政府網站,以及主流門戶���、新聞門戶���、社交門戶、搜索門戶等)���,而不是收集并上傳所有網址�;且在上傳網址時���,應排除網址中的訪問請求參數等個人信息(網址中問號后接的全部子串)�����。另外�,360即便要上傳網址�,也沒有必要將其長期保留在其私有服務器內。安全廠商在驗證其上傳的網址�����、確認是安全網址后,即應在做必要統(tǒng)計后廢棄�,更沒理由與用戶機器唯一識別碼成對地存儲在服務器上。否則���,這款軟件究竟是安全軟件還是間諜軟件�����?是為了用戶還是為了監(jiān)視用戶���?他認為有充分理由對這些問題打一個很大的問號。
“360明知大量訪問請求參數屬于用戶�����,而不屬于訪問目標網站�。任何安全軟件必須假設并接受‘用戶本人無惡意’,這是對用戶最起碼的尊重���,除非其目的是監(jiān)控用戶而非監(jiān)控網站�����。云安全軟件可以在明確告知并取得用戶同意的前提下���,上傳瀏覽網址的非用戶參數部分,以分析和阻止可能的惡意網址�����,且不得記錄用戶機器識別信息�。這是最基本的隱私保護原則,而360安全衛(wèi)士完全不符合此原則要求�,罔顧用戶隱私權以及由此衍生的財產權等個人權益?����!?/font>
“至于用戶所訪問網站的技術實現(xiàn)方式�����、安全等級等�,與360公司有什么關系呢?退一步講�����,即使目標網站允許直接訪問此類絕密信息,也不是360就可以做的���?!豹毩⒄{查員進一步分析說�����,“更為嚴重的問題在于�,金融、證券方面的信息���,在互聯(lián)網上是與國家安全�、軍事等同等重要的禁區(qū)���,屬于高壓線的范疇���,互聯(lián)網安全企業(yè)理應自覺回避,但360竟然毫不避嫌全面收集�、形同監(jiān)視,我無法理解其真實動機���。這才是此事件最為嚴重的焦點�����?!?/font>
一個不容忽視的細節(jié)是:360服務器如今還有沒有這些用戶隱私?這些被360非法獲取的用戶機密數據是否曾被濫用���,至今這依然是個待解的黑匣子之謎。
?����。ㄇ刭?����、吳數���、黃衫)
