安全专家万涛：360云查杀不透明存在安全风险

工信部介入调查奇虎360侵犯用户隐私问题成为安全业界的一起标志性事件，由“方周大战”和专项调查引发的安全软件信任危机正在蔓延开来。

　　工信部介入调查奇虎360侵犯用户隐私问题成为安全业界的一起标志性事件，由“方周大战”和专项调查引发的安全软件信任危机正在蔓延开来。

　　10月30日，在易观网络安全沙龙上，互联网威慑防御(IDF)实验室创始人、安全专家万涛就此分享了对安全行业现状的思考，尤其是针对公众熟知的“云杀毒”提出质疑，提醒安全厂商要正视“云杀毒”模式给业界带来的新挑战。

　　云查杀带来隐私安全新挑战

　　“云查杀”模式最早由360提出，虽然它未必就是真正采用云计算技术的“安全云”，但客观上有利于解决传统本地引擎库静态化的被动对抗问题，促使用户更多采用联网服务。挑战在于，“云查杀”模式使用户桌面成为杀毒软件的控制终端，可以随意控制软件终端采取行动。一旦被拥有者不良使用或遭黑客利用，就有可能同时带来隐私和安全的新威胁。

　　万涛认为，云带来了“资源集中”，这意味着更大的机会，也意味着更大的风险。历史上早已形成的“黑金”产业链已经转型，整条产业链与互联网商业模式紧密相扣。以前黑客攻击个人电脑，相对危害性比较离散。而在云时代，黑客对抗的是资源复合体，如果云服务商安全管理不善，就很可能被黑客“通杀一片”，网络犯罪者将获得极大收益。360的“云”今天就是这样一个信息集中的资源体，对于喜欢挑战的“掘金黑客”来说很有吸引力。

　　“无论是安全业界还是互联网产业，都应对具备掌控用户桌面生杀大权的‘云查杀’保持清醒的认识和高度关注。”万涛直言不讳，如果安全厂商运营的是一朵不透明的云，自身也很难逃避“监守自盗”的嫌疑和诱惑。

　　360“云查杀”症结就在于目前的“不透明”，运营机理和如何上传数据以及相关标准、流程都不为公众知晓，这种不透明没有规范的行为的确很难让用户不担心，一旦自身暴露安全缺陷也容易为黑客大开方便之门。

　　透明评测与开源代码是上策

　　恶性竞争容易造成劣币驱逐良币，甚至正规公司也被迫采用灰色手段。因为如果不适应“弱肉强食”的丛林竞争法则，自己就会率先出局。“灰比不过黑，做安全产品是为了让互联网更可信，如果自身没底线，就很可能让全行业都没底线，整个行业就毁了。”万涛毫不掩饰对当前安全行业的担忧。“如果互联网安全行业给大家感觉是一盆脏水，越来越浑浊，一定会使人们对互联网的前途与发展心怀戒心，而安全感是未来幸福发展的前提。”

　　万涛认为，“与其闭门不谈，不如主动一点儿”。他呼吁安全厂商参与到IDF实验室倡导发起的“技术公益：桌面开源代码行动”中去，并且通过与第三方共同协商认可的透明评测来规范行为，坚定用户信心。“安全厂商可以把特别核心的技术内容予以保护，比如引擎和病毒库，但涉及用户桌面端的系统控制权限机制和检测标准等，IDF倡导把这部分开源，组织安全爱好者一起来查找BUG，检测产品自身安全可靠性。”

　　在万涛看来，未来桌面开源(托管)运动可能是改变当前现状的可行性办法，按照他的设想，安全软件要把本地安装的模块组件，详细功能说明以及数据分析上传等行为做出说明，由中立的第三方(包括政府和民间)来评估，让有兴趣的安全程序员去验证。这样既帮助厂商完善产品，本身又是很好的教育用户的行为，告诉他们杀毒软件做什么样的事情是合理的、正常的。

　　针对360宣布将产品代码提交有关部门检测的行为本身，万涛表示，360软件使用的是云端控制技术，单检测桌面软件很难检测到问题，对整个过程与环境进行检测评估才能更好地说明问题。他建议360积极加入桌面开源代码公益运动，“现在的云查杀模式不透明，厂商可以考虑代码托管，有限开放等方式。就像当年微软遭遇后门质疑后主动向中国提供代码托管，授权厂商查看一样。而且，这也能帮助360避免‘云查杀’不透明带来的安全威胁和行业质疑。”