2013年7月,国内知名软件商奇虎360再度遭遇信用危机,其在2013年3月发布的“360浏览器获国内外三大权威机构认证”被怀疑有作弊行为。此举不仅是对中国社会公信的挑战,也涉嫌欺诈中国全体网民,行为极其恶劣。
缘起:三大权威机构认证只为“洗白”360浏览器?
2013年初,《每日经济新闻》(后简称为《每经》)刊发《360黑匣子之谜--奇虎360“癌”性基因大揭秘》专题报道,对360系列软件存在泄露隐私的安全问题进行了详细剖析,引起了公众的关注。为此,奇虎360公司召开新闻发布会,利用弹窗、网站专题等方式表示上述报道为不实新闻,并且起诉《每经》。2013年3月,奇虎360通过多个媒体发布《三大权威机构认证 360浏览器成隐私保护先行者》一文,声称360浏览器同时获得中国软件、中国信息安全测评中心,国际知名安全评测机构英国西海岸实验室国内外三大权威认证,认证360安全浏览器安全可靠,标志着中国浏览器的隐私保护水平达到了国际领先标准。
图:360浏览器声称获得的三个认证
360认证涉嫌作弊?还原EAL的真相
此外,《每经》记者有什么发现呢?原来,360浏览器通过的“国内外三大权威机构”的相关认证涉嫌作弊,其中存在偷换标准概念、“替身式”测试等行为。2月28日,在360召开的“媒体开放日恳谈会”上,360技术工程师声称,“只要过了EAL1,安全性就很有保证了,而EAL2级是公共系统要求,EAL4已经达到了美国军方的标准。”
但很不幸,EAL2级标准没有360声称的那么高深。安全专家李铁军介绍,“国际上都把CC(1999年12月正式颁布国际标准ISO/IEC15408《信息技术、安全技术、信息技术安全性评估准则》CommonCriteria,简称为CC)作为评估信息技术安全性的通用尺度和方法。CC将评估级分为7级,信息安全产品的测评认证分为7 个级,并分别对应CC 评估标准的7 个级别(EAL1--EAL7)。评估保证级1(EAL1) --功能测试;EAL2--结构测试;EAL3--系统地测试和检查; EAL4--系统地设计(代码);EAL5--半形式化设计和测试;EAL6-- 半形式化验证的设计和测试;EAL7--形式化验证的设计和测试。
打个比方,EAL1就是功能测试,举个实例看一个电视,能出来影子不,有没有声音;而EAL2就是打开电视机看看,其电路部分齐全不齐全; EAL3则是从方方面面对电视机进行测试;EAL4以上的测试才牵涉到电视机的设计部分(等同于软件的代码)部分。
中国安全专家、北京知道创宇信息技术有限公司创始人赵伟指出,浏览器对于安全等级的要求比一般的软件产品高,而微软浏览器InternetExplorer则达到”EAL4+“级。此外,国内主流的防火墙厂商如华为、天融信等一般都达到EAL3.他说:”像所谓安全浏览器此类对于高度敏感的基于云服务的登录管家模块,最少要做EAL4级评估,只做到EAL2级评估纯属隔靴搔痒、无实际意义。“
其实,专业人士也都知道,360浏览器到底有没有偷窃用户隐私的后门,是要对代码进行彻底审查才知道的啊,但这只有在EAL4+以上级别才有可能,所以360没有像IE一样真刀实枪的干,而是玩了个花招,弄个了EAL2糊弄一下老百姓,结果很不幸,还被逮了个正着。
360送检上演穿越:用未来版检测结果证明过去是清白的
如果说EAL这些检测体系太复杂,咱们老百姓看不懂也就算了。但更惊悚的一幕还在后面,在送检中国信息安全测评中心的时候,360居然玩起了”穿越“,将未来的版本狸猫换太子,以”未来版“的检测结果证明过去是清白的。
一位深度参与相关评测工作的业内专家提供证据指出,2012年10月,360送检的测试样本”有问题“,其主要问题有:其提供的样本监测目标,仅为针对其安全浏览器的登录管家模块:串号登录问题;评测报告并未注明所代表的产品版本,仅能看到评测模块的版本为”1.2.0.1071“;更为蹊跷的是,评测报告发表当日,从360官方下载的最新浏览器登录管家模块版本却是”1.0.8.1070“,明显低于送检版本,而送检版本属”未来“版本。
该专家进一步指出,2012年10月29日,360向中国软件评测中心送检了评测,评测目标是:360安全浏览器数据上传下载已加密,并经过用户许可;360安全浏览器可以正常安装和卸载;以及360安全浏览器的 ”云查询“功能以密文方式加密传输。但技术验证报告,却没有注明具体的产品版本和模块版本。
如果这个事实成立的话,估计360浏览器就是负荆请罪也不够给网民赔礼的,这不是典型的挂羊头卖狗肉的行为吗?
STARCHECK认证是山寨版?美国西海岸实验室网站的蹊跷
那么,360引以为傲的通过了 ”东方之星(Starcheck)认证“,据说是国际上着名的评测认证,由美国西海岸实验室实施认证。如果达到”东方之星(Star check)认证“,则表明该产品已达到较高水平。
但事实上,就在我们想深入了解一下STARCHECK认证的时候,却发现了一项蹊跷的事实--不论是谷歌或是在美国西海岸实验室的官方网站上,压根就搜索不到STARCHECK认证,相反,其官方认证的体系是Checkmark.
图:美国西海岸实验室的官方网站截图
再寻找一下Starcheck的来源,就真相大白了。原来,在中国网”西海岸实验室落地中国的报道中,就明确提出了,近日,西海岸实验室中国测评认证机构--赛可达实验室正式对外宣布西海岸实验室落地中国,并颁发第一批”东方之星(Starcheck)“测评证书。可见,这个Starcheck只是个中外合作的认证项目,难怪在国外的官方网站上提都没有提,这样的”权威性“可见一斑。
而《每经》还通过调查发现,360和评测机构的关系也很不一般。从公开信息中可以查到,2012年3月,工信部发布了《关于申报2012年度电子信息产业发展基金招标项目的通知》,中国软件评测中心智能移动终端测试实验室对相关项目进行了积极的研究和探讨,并最终和北京奇虎科技有限公司携手成功申报了《移动互联网智能手机终端个人信息保护软件研发》项目。这一信息表明,360与中国软件评测中心有重大项目合作关系。而奇虎360公司副总裁石晓虹代表360公司,先后参与了国家计算机网络与信息安全管理中心、中国信息安全测评中心等多家单位的科研项目,并作为项目负责人。知名博主独立调查员认为,”作为中立的评测机构,坚持独立性是最为重要的,但这些机构与360有这样密切的关系,这样的评测很容易有失偏颇。“
不过,这些都还是其次。最为关键的是什么呢?独立调查员指出,360提供的”第三方测评“,其测试对象只是产品本身,不涉及其产品运营体系。换而言之,就是说,360如果涉嫌窃取隐私,肯定是团伙作战,既有客户端的软件,也有服务器的指令,而这整个体系,是当前这些测评都无法也不可能去真正评测的。如此看来,这些所谓的”权威“认证,更像是360本身编织的”皇帝新衣“,而随着事实真相被一点点揭露出来,360所谓的”安全产品“也渐渐露出了原形。