危险的“360安全卫士”！“破坏性创新”其实是“创新型破坏”

水手

经过数月调查，《每日经济报道》提出命题说，360的成功不在于“破坏性创新”，而在于“创新型破坏”：通过破坏，打破既有规则，从中获得市场与利益。而这一破坏的基础，便是对互联网世界最基本的准则——最小特权原则的践踏。
360发家于 “360安全卫士”、“360安全浏览器”，而这两款产品甫一面世，便携带了这家公司的癌性基因：以违反“最小特权原则”为基石而构建。《每日经济报道》说，在“安全卫士”、“安全浏览器”软件中，360会植入非法程序，并通过该非法程序中的“后门机制”与360云端配合，形成全球独一无二的秘密内部机制。而当360要发动一场讨伐竞品的战争时，其便启动“V3机制”——通过“安全卫士”、“安全浏览器”，在用户电脑中私自卸载竞争对手的产品，私自安装自己要推广的产品，从而以最便捷的方式一举占领市场，这就是360常胜不衰的真正秘诀。

这不仅对行业有巨大的破坏性，对互联网秩序产生严重的破坏力，更是对整个社会产生“癌性浸润”，让原本的市场竞争转向了底层控制力的交战。于是，百度即将砸重金投向安全领域，最快将于今年上半年正式推出，这与经历“3Q大战”的腾讯进驻安全领域如出一辙。这样带来的直接后果就是，未来中国互联网将变成一个腾讯、百度、阿里、360“四国顶立”的擎天柱式体系。


最小特权原则


所谓最小特权（Least Privilege），指的是“在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权”；最小特权原则，则是指“应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。


这一特权最通俗的说法就是：你不要代替用户行使权力，你的特权越小越少越好。这样，才是对用户最大的保护。能不作为处，不作为。


“而奇虎360的‘基因变异’正体现在此处，表现为 ‘奇虎360原则’——以安全的名义，在用户知情或不知情的情况下，直接代表网民行使权益。”《每日经济新闻》采访的独立调查员说。


在深圳红树林，独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器，并打开网络通信监视工具，这时可以看到，360安全浏览器在其电脑后台上就像一只工蜂，始终不停地忙碌着。然后，独立调查员又打开IE、腾讯、猎豹、chrome等浏览器，每一个浏览器都很安静，没有任何动作。


“明明知道360在做不应该发生的事情，但不知道发生的是什么事情。这就是360留给中国所有安全专业人员最大的课题。”独立调查员说。



从这个图中可以看出，360安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录，然后进行压缩后上传至云端服务器；过去，上传的过程为明文上传，这对用户的隐私带来非常严重的威胁，在经历过几次大的泄密事件后，目前上传文件已经加密。


文件上传到360云端存储后，文件会立即在本地被删除，这招防御术非常凶狠，即使有人破解其行为，并获得文件证据，但因为随时的删除，很难将证据做实，变成死无对证的孤证。


用户电脑中的360安全卫士这一套运行机制都是事先预设好的，可以独立操作完成；但实际上，360云端（360安全数据中心）对用户客户端的360安全卫士具备直接控制能力。360云端不仅可以下达专门的指令（后文还将详述），同时一旦360安全卫士发现有人在监视其通信操作等，会发出安全警告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。


商业模式之裁判员+运动员


作为互联网安全厂商，最重要的特性，就是恪守“第三方安全”准则：不得随意代替用户作决定或处理；不得以安全的名义，为厂商自己牟利；不得在安全领域，既当运动员，又是裁判员。


但360恰恰就在这些方面，完全违背了安全厂商的基本准则。当360安全卫士、360安全浏览器植入用户电脑的时候，360便通过它们在用户知情或不知情的情况下，直接代替用户做决定，完成各种动作。这是360致胜的法宝。


比如，“电脑安全性评分”是360安全卫士最重要的基础性功能。360安全卫士会自动扫描客户端所在系统的“安全隐患”，不符合360“安全标准”要求的就扣分，但评分标准和权重并不公开。全新安装的Windows7，在开启自动更新、尚未安装任何第三方软件前，360安全卫士对其安全评估结果竟是0分 （满分100分）。，直到“安装360浏览器并设定为默认浏览器”、“修改首页为360导航”后，安全性评分才接近满分100。


独立调查员向 《每日经济新闻》记者分析说，360的发展路径，即从360软件产品底层技术构架开始，埋下不同于所有互联网公司发展的“癌变基因”，然后，此“癌变基因”通过浸润，向操作环境领域发展，再向工具软件、游戏平台发展，最终进入真正的互联网领域——导航、搜索、电商网站，以及电商网银体系等。


商业模式之V3升级机制


任何一个公司的软件在下载时，都必须基于用户的意愿。即使是微软的Windows软件，其升级或上线时，也是在微软公司的提示下，用户同意后，方可升级或上线。在这方面，用户具有知情权、同意权。任何剥夺或变相剥夺用户这两个权利的下载，都是违法的。对一些特别清晰而简单的下载或升级或优化，也可以通过“一键优化”或“一键修复”等来实施。


但360多年来并非依此执行。一方面，360通过“一键优化”或“一键修复”，绕过用户的一步步审核，要么将竞争对手的软件给优化掉，要么就是在下载中夹带“私货”，将其最想推广的软件悄悄直接代替用户下载了。另一方面，360甚至不需要用户的“一键优化”等，在暗中直接给用户的电脑（或手机）下载其推广的软件。这也就是业内人最为痛恨的“静默安装”，“静默升级”等。这就是360内部的“V3升级机制”。


据《每日经济新闻》记者调查，一键优化，是通过360安全卫士，即通过客户端执行；“静默安装”，则是直接通过云服务器发布指令执行的。而“V3升级”即是360产品线最重要的捆绑安装渠道，最主要的推广“母体”是360安全卫士与360浏览器。


在360，除产品、技术之外的员工，对V3机制知之甚少。即使是核心员工，也并非知道其中的全部路径。而要申请使用这一通道，更是需要非常复杂的申请手续，甚至据称，最终的拍板决定权，也仅在周鸿祎一人手中。即使在总裁齐向东已批准同意的情况下，最终仍需经过周鸿祎的批准。（作者 每日经济新闻 ）