3Q大战暂时落下帷幕,而国家信心安全评测中心对360扣扣保镖的评定结果也已经有了初步结论,认为“360扣扣保镖(版本号v1.0.0.1005 )”不是病毒或木马,但笔者发现,这次评定结果还有以下疑点:
1、版本号v1.0.0.1005的扣扣保镖没问题,其他版本号呢?
2、这个“病毒”的界定标准是什么呢?是说伤害用户电脑才是病毒呢?还是伤害其它公司利益?还是病毒传播率广?
3、外挂算不算病毒呢?
4、这次检测方法为什么是黑盒测试而不是白盒测试呢?
针对以上疑点,笔者分别请教了相关专业人士,得出以下结论:
1、QQ保镖非一日之功。如果说哪个程序员一晚上就研发出QQ保镖,那他就是天才程序员,可以代替比尔盖茨了。所以,在360与腾讯打这场硬仗之前,一定早就花几个月时间与团队研发好了保镖软件,而且肯定有许多不同的版本,这些版本也各有用途,有的是攻击性明显的、有的是攻击性隐蔽的、有的是做给用户看的、有的是做给政府看的……而很可能,送到国家检测中心的那个版本号的保镖是相对稍微干净的,净化后的病毒就只是一段普通代码而已……
2、美国一名黑客因为入侵银行系统,而被判刑为终身监禁(没有死刑),之所以判刑这么重,在于他侵犯了银行的利益,让银行蒙受了损失,让银行的客户有资料泄漏的潜在风险。对于360扣扣保镖来说,也明显的侵犯了腾讯的利益,直接隔断了腾讯的广告收入,对于普通网民来说,可能让电脑死机、网银密码丢失才是病毒,但对于腾讯公司来说,360绝对是最大的“病毒”,要在美国,是要判很重的刑的,可毕竟我们是在中国……
3、网络上有段子说360爱QQ,QQ拒绝,360就强制自己爱QQ,当其保镖。段子归段子,但360的确是强加给QQ一个外挂:扣扣保镖。玩网络游戏的都知道,有人喜欢使用外挂,但是游戏公司对外挂深恶痛绝,因为外挂破坏游戏平衡,最终损坏的是玩家利益。对于扣扣保镖这款明显的“外挂”,其危害性不亚于游戏公司的外挂,甚至比病毒对公司的伤害还大。
4、一般软件测试分为黑盒和白盒两种。黑盒是从用户的角度,从输入数据与输出数据的对应关系出发进行测试的。很明显,如果外部特性本身设计有问题或规格说明的规定有误,用黑盒测试方法是发现不了的。而白盒测试又称为结构测试或逻辑驱动测试,能深度的测试程序安全。打个比方说,我们测试一块猪肉是否是注水的,黑盒就是在黑屋里看一看,而后者是要在聚光灯下,用刀切开看看的,显然白盒比黑盒更准确也更深入。可惜的是,这次送检的QQ保镖是黑盒检测……
如果以上4点分析正确,那可以进一步推断出扣扣保镖的真实的评测全过程:
第一步:偷天换日
把有问题的扣扣保镖撤下,换成问题小或没问题的送入国家评测中心……漏洞:送检的扣扣保镖版本号只有一个,那其他的呢?很可能被升级后代替或销毁了……
第二步:瞬间转移
将对腾讯公司的损害包装成对用户的好处……问题是,360在挑起这起争端后,对用户究竟带来了哪些好处?QQ无法正常使用,QQ音乐丢失,QQ宠物不见了,QQ秀变成一片惨白……这对用户就是好处?
将坏的说成好的,将对象从腾讯换成用户,真够聪明的,这也只有360才能做得出来。可惜啊,大家都盯着桌面,而忽视了受害者以及最终会损害到用户的利益……
漏洞:为什么360老是提用户,用户,用户什么的。暂不说360的做法对用户究竟是利是弊,但你为啥不提给腾讯带来的损失?如果每家公司都这么一搞,切断对方的盈利渠道,破坏对方的盈利模式,那全天下的公司都不用开了,员工都下岗吧。
第三步:化大为小
“外挂”比起病毒来,听着总不是那么侧耳。从玩网游到种菜,谁没尝试过用外挂呢?可惜人们忽视了,外挂能带来一时的快感,但长远来看,是会毁掉一个游戏或一个产品的……
漏洞:强制的、强加的外挂,谁能拒绝?如附身之蛆,甩是甩不掉的……
第四步:避重就轻
采用黑盒测试,从表面测试扣扣保镖非“病毒”,而从白盒测试呢?根据杀毒厂商瑞星发布的检测数据来看,“瑞星发现360安装目录下存有一个内容经过360加密文件。经解密后为一个拥有一万多条私隐记录的信息库。”
360的扣扣保镖不是病毒为什么要保存用户隐私?它又是怎么获取这些隐私的呢?当然只有当事人360自己知道……不过可叹的是,国家的检测部门竟然和民间的检查结果不一致,伤心了……
漏洞:瑞星为什么能发现病破解加密文件?
经过以上4步演绎,360的扣扣保镖成功的洗白了自己,化黑为灰,很好的保全了自己……只不过,天网恢恢疏而不漏,360还是留下了漏洞……