2010年12月31日,金山公司召開新聞發布會,指責360“收集3億用戶密碼等隱私”、“上傳內網文件地址”、“追蹤用戶上網行為”等,并通過彈窗發布所謂“一級安全預警”,宣稱“上億用戶密碼遭泄漏”,并公開建議用戶卸載360。
金山公布的所謂“360收集用戶隱私”,實為360網盾上傳的不在360惡意網址庫中的未知掛馬網被木馬毒病攻擊的網址樣本。金山公司在內的國內外安全軟件廠商都采用的是相同的技術機制,金山公司明知自己的網址上傳功能云查詢是與360采取相同的技術機制,反而用虛構夸大事實的方式,甚至不惜損害用戶利益,制造恐慌來達到其詆毀360公司的目的,這是一種對用戶極不負責任的種做法。
為了以證視聽,360公布網盾攔截未知惡意網頁的工作原理。
一、360網盾攔截未知掛馬惡意網頁的過程
360網盾對未知掛馬網頁的攔截工作原理如下圖所示:
360網盾攔截未知掛馬惡意網址的工作原理
當用戶瀏覽未知掛馬網頁時,由于未知掛馬網頁不在360惡意網址庫中,360網盾無法立即加以攔截。但是瀏覽器加載該未知掛馬網頁后,網頁中的惡意代碼會運行,攻擊瀏覽器,并通過瀏覽器進一步攻擊和感染用戶系統。這時,360網盾的行為檢測就會發現瀏覽器的行為異常,確定用戶在瀏覽未知掛馬網頁,從而攔截該攻擊行為并向用戶報警。同時,為了使其他用戶在瀏覽此未知掛馬網頁時可以立即加以攔截,360網盾需要將攻擊的惡意代碼樣本,尤其是觸發360網盾報警的網址(URL)上報給服務器,由服務器進行進一步的甄別后加入到惡意網址庫中。
需要說明的是:當未知掛馬網頁觸發360網盾報警時,用戶可能會同時瀏覽多個網頁,360網盾是對瀏覽器程序的整體行為進行監控,只能發現瀏覽器有行為異常,目前技術上無法準確判斷是哪個網頁觸發了報警,為了確保能夠采集到未知掛馬網頁,360網盾會將觸發報警時用戶同時打開的網址(URL)一起上報至服務器,存儲在可疑惡意網址日志文件中,由服務器進一步甄別出其中的惡意網頁。這也是為什么可疑惡意網址日志文件中會包含一些知名網站和內網網址(URL)的原因。
上報至服務器的可疑網址日志文件全部由360云安全中心的惡意網頁自動分析系統進行實時自動的分析處理,以鑒別出其中真正的惡意網址,并將其加入到惡意網址庫中,從而使所有用戶今后瀏覽該網頁時即可立即攔截。對于鑒別出的正常的網頁,其URL網址記錄會自動從日志文件中刪除。
根據上述原理,對可疑惡意網址日志文件有如下進一步說明:
1、當用戶瀏覽未知掛馬網頁時,可能亦在同時瀏覽不符合安全編程規范的一些網站,其網址(URL)中帶有用戶名和密碼,因此這些網址(URL)也被上報到服務器,出現在可疑惡意網址日志文件中,但是經分析這類網址(URL)數量比例極低,不到萬分之一。
2、可疑惡意網址日志文件中有較多黃色網站的網址(URL),這是因為掛馬網頁通過是利用黃色網站進行傳播,吸引用戶瀏覽;
3、由以上工作原理可知,360網盾僅是在未知掛馬網頁攻擊并觸發報警的瞬間,將用戶同時正在瀏覽器網址(URL)上報給服務器,而不是持續地上報用戶訪問的網址(URL),因此不可能記錄用戶的上網行為,跟蹤用戶的上網習慣。
4、在可疑惡意網址日志中記錄有機器MID,這是為了更好的分析未知掛馬網頁的感染量和傳播趨勢,該MID是通過不可逆的散列算法生成的隨機字符串,不可能反向推導出用戶電腦的任何信息。
二、360網盾攔截及上報未知掛馬惡意網頁為什么是安全的
360網盾上報的可疑網址URL中包含用戶名和密碼信息的幾率是極低的。根據上述工作原理,360網盾只有在滿足下述三個條件時才會上報可疑惡意網址:
1、用戶正在瀏覽未知掛馬網頁并受到攻擊時;
2、用戶同時打開了多個網頁進行瀏覽;
3、在同時打開的多個網頁中,恰好又登錄了那些存在編程安全漏洞的網站,其網址(URL)中加入了用戶名和密碼信息。
分析即可發現要全部滿足這三個條件的幾率是極低的:
1、用戶在日常網頁瀏覽時訪問到掛馬網頁的幾率是非常低的。雖然360每天能夠攔截到大量未知掛馬網頁的訪問,但分攤到3億用戶身上每個用戶發生的幾率是很低的。
2、在用戶瀏覽未知掛馬網頁時又同時打開了多個網站的情況也是比較少見的。
3、通常情況下,只有極少數不符合安全編程規范的網站,才會將用戶名和密碼信息編寫在網址URL中。
事實上,經過我們對可疑惡意網址日志文件的進一步統計分析,也確認了其中帶有用戶名和密碼信息的網址URL數量極少,而且其中只有少數可以被利用來登錄用戶賬號(從而有機會竊取用戶隱私信息),其數量不到萬分之一。
更進一步,可疑惡意網址日志文件由360惡意網頁自動分析系統實時自動處理,人工無法接觸,自動分析后判定為正常的網址URL會立即從日志文件中刪除。同時存儲可疑惡意網址日志文件的服務器均配置為不對外開放,搜索引擎是無法抓取到日志文件數據的。因此,可疑惡意網址日志文件在服務器端的存儲、處理方式是安全的。
最后,360網盾的可疑惡意網址上報已在360的《用戶隱私保護白皮書》中公開說明,用戶也可以方便地關閉可疑惡意網址上報的功能。
綜上所述,360網盾在實現未知掛馬網頁的攔截、上報及云端自動分析的整個過程,其技術方案設計是合理、安全的。之所以發生此次事件,經我們調查是因為一臺存儲可疑惡意網頁日志的服務器遭受攻擊,被黑客篡改了服務器的配置,打開了此服務器上日志文件的目錄索引,從而導致Google蜘蛛程序抓取到了尚未被自動分析處理的少量日志文件數據。
360網盾通過終端檢測、攔截未知的掛馬惡意網頁,并將可疑惡意網址上到云安全中心服務器進行自動化分析甄別,并更新到惡意網址庫,從而讓所有用戶可以對其立即攔截。這是云安全技術監測、攔截和采集惡意網頁最有效的方式,諾頓、趨勢、金山等云安全廠商也均采用相同的方式來實現惡意網頁攔截。
綜上所述,360網盾的功能是安全的,這是包括金山自己在內的國內外安全軟件對惡意網址攔截采用的通用機制,并不會侵犯用戶隱私,用戶可以放心使用。
進入論壇>>推薦閱讀
也許正因此,2010年的IT業界才會看到如此多的“巔峰對決”,雖稱不上“你死我活”,但激烈程度卻是近年來前所未見。2010年的國內形勢恰如一個宏偉的競技場,企業等盡可以在那里進行爭取勝利的較量,粗放的產業環境、>>>詳細閱讀
地址:http://m.sdlzkt.com/a/01/20111231/227713.html
網友點評
精彩導讀
科技快報
品牌展示