演播室主持人:
在生活当中,我们每个人都有一个身份证份,其实正版的电脑软件也有一个身份证件,叫做数字证书。长久以来,有数字证书的程序被认作是一个安全的程序,也得到了网络安全公司和网民的信任。但是最近网络上出现了数字签名恶意的软件,而软件当中甚至还隐藏着色情网站。
央视记者:
我现在安装一个在互联网上找到的叫做“午夜影院”的一个程序,我们看看在安装它的时候会发生什么样的事情。这就跳出来一个网页,显然这个程序在运行,它在进行工作,但是并没有提示我需要安装某个软件或者程序。现在程序已经安装完毕,我们看看有什么变化。原来这个桌面上有三个程序,现在我们看到增加了六个程序,而且最顶端的微软的IE浏览器已经不见了,取而代之的是一个相同的标记,这个标记我们点开的话,会发现它的主页已经变更了,而技术人员告诉我,这个主页除非用一些专业的工具,否则普通的用户是无法再把它的主页修复回来的。
360网络工程师 王平:
第一点,难以卸载。
第二点,不经过您的同意,在您的机器上安装很多软件。
第三点,它会篡改您的首页。
第四点,会不停地弹广告。
像这些情况,就是典型的恶意流氓软件行为。
解说:
这个恶意软件安装后,会自动地弹出一个网站,通过这个网站可以直接连接到多个色情网站。然而令人奇怪的,就是这样一个软件居然拥有全球备受信任的第三方和证书授权中心威瑞信公司颁布的数字签名。数字签名显示,软件的发布者是一个叫做中诺世纪的公司,那么什么是数字签名呢?
天威诚信公司副总裁 李延昭:
威瑞信是全球的CA中心,相当于一个认证中心。它给每一个合法企业发一个代表他企业的证书,代表企业的真实身份。企业对他所需要办法的代码或电子文件做一个数字签名,来证明说这段代码和这段文字是企业认证过的。
360安全专家石晓虹博士:
你有数字签名相当于在这个文件或软件上盖了一个章,向用户表明这是我做的,直接可以找到我。一般来说,没有哪个恶意软件比较愚蠢到说要在自己的恶意软件上盖一个章,让所有人都知道是我做的。通常来说,安全公司会对有数字签名的软件提高它的信任级。
解说:
当网民对将要安装的程序无法确定是否安全的时候,会使用杀毒软件进行扫描。一般情况下,杀毒软件不会对有数字签名的软件查杀和安全提示,而给予信任评级。由于网民的最后一道安全防线杀毒软件给予信任,具有数字签名的程序下载量通常很高。据360安全卫士监测,这软叫做“午夜影院”的软件,在网络上的日下载量达到了60万次。
360网络工程师 王平:
我们发现这个软件的确有问题,已经将该公司的有问题的软件全部列入黑名单进行查杀。
演播室主持人:
一般坏人做了坏事情都会千方百计的隐瞒,但是午夜影院这款恶意软件的发布者为什么要将自己的名字公开天下,那今后网民是否还应该信任有数字签名的程序呢?
解说:
记者联系到了这款“午夜影院”恶意软件发布者——中诺世纪公司。公司的负责人承认,这是他们的程序,不过他宣称公司已经不再推广这款软件了。
记者:
我想问一下,咱们那边是不是有一个午夜影院的程序啊?
中诺世纪公司总经理 常明:
午夜影院是很早以前推广的时候用的名字,后来把它去了。
记者:
现在在网络还能看得见。
常明:
看不见,我们早就清除掉了。
解说:
与这位负责人的说法不同的是,根据网络安全公司的监测,这款软件是近期才大量出现的。
360网络工程师 王平:
前段时间大量用户反馈,这个软件弹广告。最让人吃惊的就是,这个软件还拥有真实的数字签名。
解说:
对于为什么要在恶意软件上输入数字签名,而让使用者可以找到软件发布者,这位负责人是这样解释的。
中诺世纪公司总经理 常明:
因为那是我们为了好推广,为了下载量和安装量高。
记者:
你们当时是把好几款(软件)放在一起了?
常明:
好几款,没有吧。就是我们的浏览器,还有一些我们合作(软件)捆绑在里边。
记者:
咱们也跟色情网站合作吗?
常明:
因为以前吧,很多是艺术照,后来我们在清理这段,正好在年前,现在我们清理,将那些色情网站都去掉。
天威诚信公司副总裁 李延昭:
我们管的就是企业的真实身份,他敢用自己的真实身份去做这种事,那他真要为他的行为承担所有责任了。
解说:
数字签名发售企业天威诚信公司相关负责人介绍说,当企业出现违规行为可以吊销数字证书。
天威诚信公司副总裁 李延昭:
我们有吊销机制,类似银行的黑名单吊销机制。我们所发出去的每一张证书都是有实效的,比如一年、三年、五年。我发现这个企业,比如说跟申请证书当时的情况发生了巨大的变化,比如说企业倒闭了,或者说企业用证书签了一些非法的东西,我们可以给他吊销。
天威诚信公司市场部经理 刘燕翔:
我们经过监测,确实是含有一个恶意软件程序。
第一, 我们现在已经完成了内部调查,已经确认了这个证书是我们公司签发的。
第二, 在调查当中,已经搜集了申请公司提交的所有的鉴证资料。
第三,我们跟威瑞信公司沟通,随时可以去进行吊销这张证书的流程。
解说:
事实上,午夜影院不是唯一的一个具有数字签名的恶意软件。
去年12月,网络安全公司先后发现了两款带有数字签名的程序,数百万台电脑遭到侵袭。与午夜影院不同的是,这两款程序是纯粹的木马程序,而这款木马程序因为有合法身份证,在开发传播时享受了杀毒软件的免杀待遇。
360网络工程师 石晓虹:
但是很多情况下,网民去下载安装一个软件,里边有数字签名,如果不是大公司发行的软件,数字签名的公司不是大公司,是小公司。从这次这个事情来看,也不能保证它的安全性。
天威诚信公司市场部经理 刘燕翔:
我的建议有两点:
第一, 我们的互联网用户在下载相关软件的时候,还是要下载那些自己比较清楚了解、信任的公司发布的软件。
第二,用户发现带有数字签名的软件有一些问题时,需要及时向我们数字认证中心举报,以便我们采取相关措施,以免造成更大的损失和影响。
演播室主持人:
据我们了解,第三方和证书授权中心所颁布的数字签名在全球具有很高的信任度,所以网民往往会对数字签名的软件放松警惕。但是我们看到的刚才的这组报道却在提醒我们,我们不会因为一个人有驾驭执照就敢放心的坐他开的车一样,数字签名并不意味着安全。而刚才报道中所提到的午夜影院发布者中诺世纪公司目前已经涉嫌发布色情内容,所以有关部门应该对其进行查处。
附:央视新闻频道新闻直播间报道
午夜影院:隐藏在合法外衣下的色情网站
http://www.letv.com/ptv/vplay/531957.html
午夜影院:“数字签名”面临信任危机