欢迎访问兰州新闻网官方网站
设为首页 | 收藏本站
国际新闻 民生新闻
时政新闻 经济新闻
军事新闻 体育新闻
部委信息 政坛人物
时事观察 政策解读
法治生活 法律法规
安全生产 食品安全 生态环保
健康卫生 房产商情 财经在线
娱乐资讯 旅游天下 科技之窗
文化名人 文化产业
中华情缘 书画收藏
报料投稿 查询系统
您所在的位置:兰州新闻网 > 经济新闻 >

被曝产品内藏黑匣子 360称将诉《每日经济新闻》

时间: 2013-12-30 11:36 作者:威展 来源:网络整理 点击:

技术篇之二·后门

360后门秘道:“上帝之手”,抑或“恶魔之手”?

“作为宣称‘最安全的浏览器’的360安全浏览器,被发现存在极大潜在安全威胁的‘后门’。毫无疑问,‘独立调查员’是第一人。即使给他颁发一 个国家级的科技发现奖也不为过。而且,多少年后,人们一定会感谢这位幕后的英雄,为了广大用户的上网安全,做出了卓越的贡献。”百度安全部门的相关负责人 如此评价360安全浏览器“后门”发现者。

按照独立调查员的理解,所谓360的后门,不仅存在于360安全浏览器,也存在于360安全卫士。他说,“你这样来看,在你的小区,保安说,因 为安全的需要,你们要将房门的钥匙放一把在我身上,我可以随时来检查你家庭的安全。这本身已经非常大的不安全了,但你更不知道的是,这个保安公司,还在地 下挖有一条通道,可以直接从地下通过地道悄悄进入你的房间。而这个地道,就是后门。”

360后门秘道浮出水面/

2012年10月,当时“方周大战”正酣,独立调查员才注意到了360安全产品,因为他一直是裸机,从未想过要关注360。但这一关注,他敏锐地发现,360“非常异类”——许多行为不仅是反安全的,甚至是“反人类的”。

独立调查员特意在用于测试的虚拟机中安装了全套360产品,并由此发现360产品的许多 “不规矩行为”,他随手将这些发现发布在微博上,立即引起许多关注,但也遭到一些人的攻击。“有些人明显就是360的人在挑衅,这激怒了我,我这人不喜欢 耍嘴皮子,我是软件专业人员,我只讲证据”,独立调查员如此说。

独立调查员发现,360浏览器网络通信有非常异常的情况,“最开始只是发现其时间周期性:每隔5分钟,浏览器就主动发起一次与服务器之间的通信过程,虽然不知道在干嘛,但其短周期性非常可疑。”

为什么不打开任何网页、不动键盘和鼠标,360浏览器依然忙个不停呢?“国内外所有的知名浏览器都不会存在这样的行为模式。可以肯定,此中必有蹊跷”。

于是,他继续追查,虽然下载的文件名是文本文件(ini),但当他把数据包拼接成文件后一看 (当时尚不知道服务器IP地址对应域名,受服务器限制未能通过网址直接下载文件,也尚未注意到文件被暂存于临时文件夹),实际是个DLL(可动态加载的程 序模块)。“以我的知识和经验,很快意识到问题的严重性——以更新配置文件为耳目、周期性下载并加载执行小程序——这是一个后门。至于360利用它做什 么、曾做过什么并非重点,重点是他们可以做任何事而不为人知、不留痕迹。”

于是,他于去年10月29日通过微博对外公布了360浏览器有后门的事实,同时公开向工信部、公安部发出了一封名为《公开举报奇虎360公司——致工信部、公安部公开信》的举报信。

《每日经济新闻》记者注意到,在这封举报信中,独立调查员直接斥责道:“奇虎360公司的 ‘360安全浏览器’暗藏‘后门’,是用户系统安全和信息安全的严重潜在威胁”。

他举证说,360安全浏览器实为C/S架构木马系统的客户端,服务器群是se.360.cn(云架构,IP地址不定)。浏览器每隔5分钟即向服 务器请求新的“指示”。新的指示伪装成Ini(纯文本文件类型)发出,实际上是DII文件(Windows可执行程序库或资料库)等。

此事一石激起千层浪。不过,具有挑战的是,独立调查员的分析结果仅仅是网络分析,是“后门”机制的初步证据和技术推断,而非直接的铁证。正是因为这样,360开始在网络上对其进行质疑、攻击,甚至嘲讽。

“他们以为我只会网络抓包呢!”独立调查员表示。于是,为了做实360的后门机制,他决定反向分析浏览器本身的程序库,并详细分析出“后门”机制的内部执行流程。

然而,这并非一件容易的事情。“因为没有软件源程序、更没有设计文档,所以分析难度相当大。给你个软件,只能进行其公开可见的操作,而内部运作却完全是个黑洞。”独立调查员表示。

源程序(源代码)自然没有。而要通过反向工程来破解,难度相对较高,也非常浪费时间。何况360浏览器软件规模不小,而且还有很多内置的扩展程序。

“我首先用排除法把扩展组件挨个干掉,我删掉一个扩展组件,如果后门机制还在,说明与这个扩展组件无关。”独立调查员最开始的直觉是后门应该在 扩展程序里面,因为主程序要送检,但是当独立调查员把可见的扩展程序全部删掉后,后门还在,于是他开始删(对普通用户)不可见的扩展组件。

“通过排除法,最后确认是扩展组件SmartWiz在搞鬼。删掉它以后,浏览器就安静了,那个5分钟一轮的上传下达活动消失了。”

不过,还没有结束。为了进一步查明360后门真相,独立调查员还需要反向编译出汇编代码并跟踪测试。

通过一系列技术过程,独立调查员掌握了360浏览器在SmartWiz整个组件里与360服务器间建立通信、下载、临时存储、加载执行、删除(销毁证据)的流程,同时也知道了其时钟控制调度机制(5分钟间隔定时器)。

360后门的安全之殇/

360安全浏览器设计出来的后门,恰恰给用户带来了极大的不安全。

为了让用户知道这个后门的恶劣程度,一直涉足互联网安全工作的腾讯集团副总裁曾宇,对没有后门的浏览器的重要性做了解答(如左图)。

一般个人用户的电脑中,90%以上为windows系统,这套系统与互联网之间的联系,是需要浏览器来实现的,同时,因为浏览器的闭环作用(可以理解为没有缝的鸡蛋壳,除非用户特别授权),其也是windows系统与互联网之间的天然屏障,任何来自于其他云端的指令等,都不会穿透 这层保护而到达windows系统。这样,用户电脑中的windows系统得到最好的保护,所有执行的指令,都是来自于用户自己。

而IDF互联网情报威慑防御实验室创始人万涛则对浏览器后门做了解读。他说,被称作360“安全”的浏览器,却有一个特殊的资源文件,这个资源文件硬生生地将这个蛋壳打开了一条缝,而且是一条用户看不到的缝。

通过这个后门,360浏览器可以根据监视用户电脑操作过程中出现的情况,向360云安全中心发出请求,360云端的后门服务体系根据请求,给出相应的DLL,即windows可执行程序库。这个DLL通过360浏览器的后门,直接进入用户的windows系统。

此时,这个DLL好生了得,它甚至已不受浏览器的控制,它在用户windows系统中可做的事情包括但不限于:

获取用户的文件,并上传到云端;

读写、增删用户的文件;

监听用户通讯;

更改windows系统的注册表或重要的设置参数;

悄悄卸载竞争对手的产品,等等。

同时,这个DLL还可以通过这个后门,直接对互联网发出指令,包括但不限于:

自动从360服务器下载软件来安装或运行;

代替用户直接进行电子商务操作;

释放木马或病毒、创建常驻系统的服务,等等。

360是否做了这些呢?如果做了,对其自身又会有怎样的价值呢?会对行业、用户带来怎样的伤害呢?没有人知道答案。

“搞清楚这些细节后,我就着手重现后门机制的运作,让本来不可见的过程变得可见,以做可视化演示,让大家不仅能感知而且能 ‘看到’360暗设的这道‘后门’。”独立调查员表示。

在他看来,360那个后门每5分钟都会找360服务器下载一个DLL并加载执行,但它是个后门,隐蔽性第一,因此DLL无论如何不会现身,不存在弹出对话窗口或消息框,因此需要给它模拟一个测试环境。

(责任编辑:威展小王)

国际新闻

更多>>

民生新闻

更多>>

最新文章

推荐文章

关于我们 | 机构介绍 | 报社动态 | 联系我们 | 版权声明 | 招聘信息 | 查询系统
Copyright©2021 www.12423.cn Inc. All Rights Reserved.兰州新闻网 企业信息
信息来自网络,如有疑问请联系管理员处理!邮箱:501734467@qq.com