一场名不见经传的“XP挑战赛”,却在微软宣布停止XP系统更新服务的中国互联网安全行业掀起轩然大波,包括其主办方资质、比赛机制的合法性、比赛结果的公正性、对相关企业的名誉损害及对互联网安全行业秩序的破坏性都受到了业界专家的普遍质疑,而支持者声音则认为合规合法的网络安全测试赛对行业发展有着十分积极的促进价值。
4月15日,由《互联网周刊》发起的一场主题为“重塑安全秩序,保护网民权益”的研讨会在京举办,互联网安全专家及著名法律学者位列出席,共同就“XP挑战赛”的合法性及社会价值进行了探讨,对此次比赛中的争论焦点做了研判和解读,并呼吁行业构建公平、公正的竞争环境。
( 国内法律专家、互联网安全专家、媒体代表参加会议)
国际通行安全测试重在“防御”而非“攻击”
“通过安全测试以促进行业交流,提升互联网产品和服务的防御能力,是国际上比较同行的做法,但是合理的做法是同厂商一起来组织这一类的活动,厂商可以在第一时间获取漏洞和攻击方法的细节,尽快进行修复来保护最终用户,这才是真正有意义的比赛。”知名安全专家、KEEN Team团队成员谷明介绍,国际通行安全测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,是为了证明网络防御按照预期计划正常运行而提供的一种机制,全球诸如“Pwn2Own”等顶级的安全比赛,都属于国际通行安全测试的范畴。
谷明认为,安全测试的合法前提是“同厂商合作”,其目的是为了发现并验证测试方系统或服务存在安全漏洞,以帮助解决提供可靠的安全防御举措,并第一时间保护最终用户。与国际同行的安全测试不同,此次XP挑战赛最大的缺陷在于并没有和相关产品厂商合作,其中作为被测试方的金山、腾讯均表示“并未接收到任何比赛邀请,也没有参加任何国内相关比赛。”
中国政法大学教授法学专家于志刚表示,比赛主办方在没有取得授权的前提下,单方面宣布比赛结果并通过媒体大肆传播,给“当事方”的金山、腾讯等公司品牌声誉造成了极大的损害!看似与国际安全测试相近,实则已经违规,受到侵害的金山、腾讯公司可以通过法律途径维权。
KEEN Team是国内知名白帽子团队,刚刚在全球顶级安全赛事Pwn2Own比赛囊获双料冠军。作为KEEN Team成员,谷明表示,Pwn2Own等国际知名安全测试比赛,事先获得微软、苹果、谷歌等公司的认可并且建立合作关系,参赛者会将自己发现的漏洞详情提供给相关厂商,以便迅速推出修复方案,保护产品声誉和用户安全,也避免了漏洞被黑客利用带来的经济损失。
安全测试的正确目的在于“防御”而非“进攻”。知名白帽子、知道创宇安全专家余弦说道,安全测试虽然采取黑客进攻的模式,但本质是为了发现漏洞,及时修复。而不是借安全测试之名,行打击对手之实。
挑战赛真实性存疑,受骗用户可维权
此次“XP挑战赛”主办方资质、比赛规则等受到普遍质疑,尤其因为部分参与者“既是裁判员又是运动员”的双重身份,引发了行业关于此次挑战赛合法性及“不正当竞争”嫌疑讨论。
合天智汇在举办此次挑战赛之前,并未得到参与评测软件的授权,其本已经是违法行为。同时,此次挑战赛没有赛程报道,没有评审。很多人都是通过合天智汇、甚至是360的微博才知道结果,严重存在黑箱操作的嫌疑。
谷明表示,参与此次评测的360XP盾甲实为为应对比赛而推出的“非正式版本”,用户在实际使用时会存在很多问题,严重影响用户体验。在开启全部防护情况下会将比赛规则中要求攻破的应用进行隔离。有专业安全人员在论坛上表示,在安装此“非正式版本“的Windows XP系统上会导致系统性能严重下降,甚至系统蓝屏、搜狗输入法和word文档等程序无法打开的情况。不仅牺牲了用户体验,更是对用户的一种误导。
而在“XP挑战赛”后,一名注册ID为“小小小乖兔”通过卡饭论坛向赛事主办方送上“问候礼”--宣告10秒钟即攻破了360“正式版本“的XP盾甲,直接上传窃取了由360盾甲保护着的电脑上的文档,而360盾甲对此没有报警拦截能力,形同虚设。
浙江理工大学教授,反不正当竞争法专家王健表示,通过所谓的“XP挑战赛”,来打击竞争对手的行为,实际上已经触犯了《反不正当竞争法》。同时,受到挑战赛虚假宣传而造成损失的网民,可以通过法律手段进行维权。
(反不正当竞争法专家王健现场发言)
于志刚表示,当前国内安全行业缺乏有效的法律监督机制,虽然有《工信部20号令》以及《互联网安全自律公约》进行规范,但只有引导作用,并不具备法律效力。因此,如何有效制止国内安全行业企业不正当竞争行为是十分重要的。
针对此次“XP挑战赛”,余弦认为,国际通行安全测试形式本应是更好保护网民安全的重要评测,而“XP挑战赛”测试形式,则将其变成了恐吓用户、抹黑对手的工具。已经严重损害了国际通行安全测试在网民心目中的权威性,具有极大的破坏性,是一个坏的开始。
《互联网周刊》主编蔡钰表示,举办此次研讨会,希望通过探讨并论证“XP挑战赛”的合法性、危害性,重塑互联网安全行业规则和秩序,推动行业自律,保护网民的基本合法权益,为中国互联网行业的健康发展献言建策,共同推动中国互联网安全法制化进程。
研讨会上,与会专家呼吁重塑“后XP时代”国内网络安全行业新秩序,安全行业企业共同抵制恶意营销及诋毁,禁止恐吓用户,加强行业自律。