|
|
||||||||
日前 360 又被《每日經(jīng)濟新聞》的報道推到風口浪尖。自 2 月 26 日開始《每日經(jīng)濟新聞》連發(fā)多篇報道指責 360“安全問題”。7 月 4 日發(fā)文稱"360 在用戶隱私信息獲取方面,已經(jīng)突破了道德和法律的底線”。本次報道披露的期貨證券信息泄露的問題,涉及到互聯(lián)網(wǎng)金融安全,在業(yè)界反響巨大。在 2 月份《每經(jīng)》首次對 360 進行長篇報道后,360 旋即逐條反駁并起訴對方。這次 360 聲稱將追加對《每經(jīng)》的起訴。
據(jù)網(wǎng)友爆料,《每經(jīng)》及其隸屬的《成都商報》已經(jīng)被國內某互聯(lián)網(wǎng)巨頭老板投資。因此其報道被質疑為互聯(lián)網(wǎng)公司商戰(zhàn)中的輿論攻防戰(zhàn)役。撇開公司之間的恩恩怨怨,冷靜思考,移動互聯(lián)網(wǎng)時代我們究竟需要什么樣的安全?誰來給我們安全感?
一、免費顛覆傳統(tǒng)殺毒軟件
周鴻祎憑著其倡導的“破壞式顛覆”的微創(chuàng)新哲學,從安全助手入手,先是與卡巴斯基等老牌殺毒軟件合作,進而繼續(xù)推出自有殺毒軟件,并且永久免費。憑“免費”這一殺手锏顛覆了傳統(tǒng)的殺毒產業(yè)。卡巴斯基、瑞星、金山毒霸、江民等殺毒軟件在市場上一瀉千里,搖搖欲墜。
四處尋求破解版殺毒軟件、跪求殺毒軟件泄露秘鑰等行為已經(jīng)是懷舊的過去式。那時候包年殺毒套餐超過 100 元,仍然有大量用戶趨之如騖。彼時互聯(lián)網(wǎng)病毒和木馬泛濫,熊貓燒香作者李俊還沒“進去”,360 安全助手之父、金山網(wǎng)絡 CEO 傅盛也還臣服于周鴻祎麾下。
360 憑著其“免費+增值”的核心模式,快速攻城略地,成長為中國第二大桌面客戶端,最終成功登陸納斯達克。基于免費殺毒軟件,360 建立了一個流量王國。利用客戶端導入的流量,與瀏覽器協(xié)同,將流量貢獻給網(wǎng)址導航和游戲。形成一套穩(wěn)健的商業(yè)模式。這個模式的核心是流量。因此 360 客戶端需要不斷彈出通知窗口,引導用戶點擊進而獲取用戶流量,并在后端變現(xiàn)。
隨之而來的干擾。用戶需要面對各種彈窗。與安全衛(wèi)士沒任何關系的新聞、游戲、娛樂、資訊都殷勤地彈來彈去,讓人膩煩。除了 360,迅雷等其他客戶端均深諳彈窗大殺器的魄力。如同鴉片一樣,客戶端們明知道彈窗會傷害用戶體驗,但仍然樂此不疲。除了彈廣告,據(jù)報道 360 也曾有過利用更新補丁的通道推廣自家產品的行為。
我們享受了免費的福利,為此付出一定的時間成本、視覺污染成本,也是合情合理。但隱私問題卻是每個用戶最忌憚的底線。
二、隱私安全取代病毒成為最大的安全問題
移動互聯(lián)網(wǎng)時代,互聯(lián)網(wǎng)更加生活化。PC 正在變?yōu)楸姸嘤嬎阍O備的一種,而且不是最重要的。PC 將來可能只是用來完成一些大型的工程類任務的工具。例如繪圖、編程、編輯、制表等。病毒和木馬發(fā)源于 PC,在 PC 上具有更大的破壞力。但移動互聯(lián)網(wǎng)并不是病毒和木馬的樂土。
在傳統(tǒng) PC 互聯(lián)網(wǎng)上,自從熊貓燒香病毒的大規(guī)模爆發(fā)之后,伴隨著李俊“進去”,大規(guī)模破壞性病毒也銷聲匿跡。這既有 360 等安全軟件的病毒查、殺、防技術的功勞,也有 WINDOWS 正在變得爭氣有關系。XP 時代病毒層出不窮核心原因還是 WINDOWS 系統(tǒng)的千竅百孔的漏洞。WIN7 開始漏洞減少,因此越來越安全。
這都讓大規(guī)模病毒更難出現(xiàn)。
病毒的特征是具備自我復制擴散能力的惡意程序。其目的更多是破壞性,潛伏時起到控制電腦成為“肉雞”,爆發(fā)時直接影響電腦正常工作。病毒本身是一套簡單且粗暴的運作模式。在魔高一尺道高一丈的大環(huán)境下,病毒制造者們紛紛轉戰(zhàn)其他更有掘金機會的“黑客市場”。熊貓燒香李俊出來后,沒有選擇繼續(xù)做病毒事業(yè),日前因涉嫌網(wǎng)絡賭博被警方控制。
PC 上的殺毒軟件沒了存在感。于是,電腦輔助管理、開機時間排名等功能成為殺毒軟件的標配。智能手機上并未出現(xiàn) PC 端類似的大規(guī)模病毒。背后的原因源自以下幾個方面:
首先,有 PC 操作系統(tǒng)的教訓在,智能手機操作系統(tǒng)設計時對安全性進行了更充分的考慮。例如 Root 權限、安裝強制確認、一鍵還原等方面的設置。
其次,兩大智能手機操作系統(tǒng),安卓為開源系統(tǒng),具有更好的自我修復能力和漏洞發(fā)現(xiàn)能力,因為人人可以幫助其發(fā)現(xiàn)漏洞;而 iOS 則依靠 AppSotre 的人工審核機制防止病毒。
再次,智能手機操作系統(tǒng)先進的自我升級機制,也優(yōu)于 PC 操作系統(tǒng)。這讓依賴系統(tǒng)漏洞的病毒機會又少了一些。
最后,智能手機所處的網(wǎng)絡環(huán)境,限制了病毒程度的快速傳播。
從市場已有產品來看,主打手機殺毒的網(wǎng)秦雖然成功上市,但其裝機量、收入等指標卻不樂觀。傳統(tǒng)的殺毒軟件例如 360 和金山,前者主要是做手機輔助管理,其次才是安全。金山則主推電池醫(yī)生,管電池甚至比管病毒還重要。
但是,移動互聯(lián)網(wǎng)的安全訴求卻比 PC 更加重要。PC 病毒影響的是工作是娛樂,造成的是經(jīng)濟損失。而移動互聯(lián)網(wǎng)的安全問題將影響我們的真實生活。
移動互聯(lián)網(wǎng)與人們的生活更加緊密的聯(lián)系,智能設備具備的通信、攝像頭、錄音、定位等物理條件,存儲的通訊錄、照片、通訊記錄等數(shù)據(jù),承載的個人身份識別如短信驗證碼、微信的任務,導致手機的安全隱憂也從防病毒防木馬變?yōu)榉离[私泄露。人們丟失手機的痛苦,可能更多是來自號碼的丟失,數(shù)據(jù)的丟失,隱私的泄露。
PC 在移動互聯(lián)網(wǎng)時代承載的使命也在發(fā)生著巨變。電子商務、網(wǎng)銀等功能,使得 PC 上的安全訴求從防病毒變?yōu)殡[私安全。移動互聯(lián)網(wǎng)時代,我們需要的不是殺毒,而是安全地生產、流通和消費信息。我們不只是需要設備安全,更需要信息的安全,即隱私安全。
三、我們需要什么樣的安全服務?
既然隱私安全成為最核心的安全隱憂,那么新時代的安全軟件的功能也將從查毒殺毒防毒變?yōu)殡[私保護。我們需要的不只是一款軟件,而是一套確保隱私安全的機制,或者體系。安全軟件只是其中的一個組件。
1、如何確保互聯(lián)網(wǎng)服務的安全
瀏覽器安全正在成為基礎安全要求。
PC 端的發(fā)展趨勢是越來越多的任務需要通過瀏覽器完成。不論是上網(wǎng)沖浪還是購物,都需要使用瀏覽器。開著電腦的同時往往會開著瀏覽器。而云計算、云應用的成熟也使得更多的數(shù)據(jù)、應用從本地硬盤向云端轉移。在 PC 上這個轉移的通道便是瀏覽器。這使得瀏覽器的安全與操作系統(tǒng)層面的安全同等重要。
這也是為什么主流瀏覽器都在主打安全概念的原因。360 安全瀏覽器、獵豹瀏覽器都在強調自己的安全。獵豹瀏覽器甚至還推出了賠付服務。使用獵豹時,出現(xiàn)因安全問題導致的損失可以申請理賠。
問題是,瀏覽器是否安全只有瀏覽器自己知道。國內瀏覽器盡管使用了開源內核,但并未將整個瀏覽器向 Chrome 一樣開源。其能做什么、能獲取哪些數(shù)據(jù)、收集了哪些數(shù)據(jù),對用戶來說,是黑匣子。
再往上一層互聯(lián)網(wǎng)服務如搜索引擎也在提供安全服務。百度有類似獵豹瀏覽器的賠付制度。使用百度搜索,遇到木馬網(wǎng)站帶來損失,可以向百度理賠。而對安全性要求高的如淘寶、支付寶、網(wǎng)銀都有自己的安全防范手段。例如瀏覽器控件、軟鍵盤等方式。
PC 上,我們不再僅僅需要電腦是安全的,更需要使用電腦上網(wǎng)時,使用的各項服務是安全的。
2、如何確保智能設備的安全
網(wǎng)秦已經(jīng)證明,將 PC 的殺毒模式搬到移動互聯(lián)網(wǎng)無法解決安全問題。
智能設備上,操作系統(tǒng)有一層權限管理體系,對應用的權限進行約束。但由于用戶不夠重視的問題,導致大量的 App 趁虛而入,超出職責范圍,獲得了本不需要的高權限例如通訊錄、定位等。這些 App 可以將用戶的隱私數(shù)據(jù)上傳到云端。
在服務器端本身也有大量的數(shù)據(jù)。例如電商購物數(shù)據(jù)、云存儲數(shù)據(jù)、郵件、通訊錄等。
因此,移動互聯(lián)網(wǎng)的安全,更多是云端的安全。我們需要防備的是 App 們、服務提供商們對我們數(shù)據(jù)的濫用。盯住他們,就可以一定程度保障隱私安全。
3、安全軟件如何確保隱私安全?
殺毒軟件幫我們監(jiān)控電腦、監(jiān)控瀏覽器、監(jiān)控網(wǎng)銀的時候,誰來監(jiān)控他們?
這是 360 與每日經(jīng)濟新聞的爭端的深層次原因。殺毒軟件如何自證清白,向世人證明自己沒有跨過邊界獲取不該獲得的信息?沒有收集甚至泄露用戶的隱私信息?
PC 上安全客戶端仍然有存在的必要。病毒已很久沒有大規(guī)模爆發(fā),但裸奔還是少數(shù)人的冒險。千萬分之一的風險也值得防范。目前 PC 客戶端的殺毒軟件除了 360,另外一個玩家是老牌殺毒軟件金山。最近搜索巨頭百度推出殺毒軟件,高調加入了殺毒軟件陣營。
百度殺毒軟件進入的是一個紅海市場。為了差異化,其抓住其他殺毒軟件被廣為詬病的隱私安全等問題,宣傳自己是“綠色殺毒、安靜保護”,即不窺私、不騷擾、不脅迫。說白了,百度想告訴世人不需要的數(shù)據(jù)我不拿,不搞彈窗,也不威脅恐嚇小白用戶推自家客戶端。因為百度推殺毒軟件并不是為了賺錢也不是為了推廣業(yè)務,純粹是一種防御手段。
問題是,每個殺毒軟件都可以宣稱自己的綠色安靜的。不騷擾和不脅迫是否做到,世人還有眼睛可以監(jiān)控,但不窺私就很難監(jiān)控了。有效的證明方式是:開源。向世人開放自己的源代碼,做的事情一目了然。
矛盾在于,殺毒軟件與病毒、木馬之間本身就是一場貓鼠游戲。如果將自己開放,在病毒、木馬制造者面前則充分暴露了自己,讓其可以預防殺毒軟件甚至針對性地自我升級,后果可能更嚴重。國內外殺毒軟件大多封閉。金山衛(wèi)士早在 2010 年便開展了開源計劃,開放程度和效果不得而知。但這種態(tài)度是值得鼓勵的。
折中的方式是選擇性地小范圍開放。納入行業(yè)第三方監(jiān)管、或者政府相關部門的監(jiān)管。殺毒軟件的原理、代碼對監(jiān)管者是透明的。我們信任這些監(jiān)管者,由這些監(jiān)管者幫用戶確認殺毒軟件沒有越權。這是最可行,也是急缺的。
終極安全是人的安全。小白用戶用任何安全軟件也可能被騙,專業(yè)用戶“裸奔”被騙的幾率也小之又小。云端的隱私安全,則需要“人治”,再強大的技術也無法去約束云端數(shù)據(jù)掌握者的行為,通過監(jiān)管體系才能確保隱私安全。安全任重而道遠,最終的狀態(tài)或許是由工具、技術、監(jiān)管甚至法律法規(guī)形成一套綜合的安全體系,為我們的數(shù)字生活保駕護航。(阿超)
