Total Pageviews

Saturday 7 February 2015

再谈为何不要使用国产软件

天朝大部分PC用户都是小白,也就会个开机关机打开浏览器看个新闻刷刷社交网站玩玩小游戏。当然,没有人生下来就是PC精通者,高手都是从小白过来的;但问题在于太多的小白们只是满足于当一个小白,这出自于惰性,同时国产软件们也充当了无耻的帮凶。
先 以被大部分小白热捧的360为例:360安全卫士看上去功能真齐全啊:判断系统安全程度,查杀病毒木马(后来奇虎又推出了360杀毒),检测系统漏洞并自 动下载安装补丁,扫描并排除恶意插件,系统急救,系统重装,远程安全诊断......把一切都包了,所以深受小白们的喜爱。
不过360真的这么厉害?NO!
“判 断系统安全程度”:比如全新安装的Windows7,在开启自动更新、尚未安装任何第三方软件前,360安全卫士对其安全评估结果竟是0分 (满分100分)。这个0分意味着什么?Windows真的很不安全?实际测试发现,根据其安全警示清单一项一项 “优化或修复”后,评分逐步增加,但始终处于低位、不到60分,直到“优化浏览器”并“锁定首页”后,安全性评分迅速接近满分!事实上,所谓“优化浏览 器”就是“安装360浏览器并设定为默认浏览器”,“锁定首页”就是“修改首页为360导航”。需要修复的项目还有 (不限于):卸载“差评插件”百度浏览器工具栏、优化IE(实为篡改IE的首页、标签页、默认搜索引擎为360的有关服务)、删除收藏夹中对手的项目(百 度、腾讯、谷歌等)等等。
查杀病毒木马:玩单机游戏的诸位和程序员们还有翻墙的诸位对此最清楚:360把所有它不认识的程序都当作病毒木马处理, 误报率奇高无比,而且经常把翻墙软件当作病毒,不少人都发现装有360的PC上翻墙极为困难;而对于真正厉害的病毒木马,不止360,国产杀软都没有靠谱 过(当年的“熊猫烧香”KO了所有国产杀软,但那些著名国外杀软连病毒库都不用升级就搞定了熊猫)。
“检测系统漏洞并自动下载安装补 丁”:windows自带的windows update就可以做到这一点,而且360安全卫士甚至曾伪装成微软 Windows补 丁 安 装 程 序KB360018,以“IE6内核升级”的名义欺骗用户安装360浏览器。国外权威技术网站SystemExplorer已将360的这个假冒微软系统 补丁文件定为“100%安全威胁”,从而使后者遭遇微软调查。
“扫描并排除恶意插件”:近日,百度要求凤巢(百度搜索营销管理平台)用户安装安全 插件,以检验浏览器的安全性。而360以用户名义,给予这个插件以 “网友差评”标签,并通过其系统,认定该插件为“偷拍插件”。然后,在360安全卫士的“清理插件”功能下,直接诱导和恐吓用户卸载该插件。
360凭什么将百度这个插件定义为“偷拍插件”?凭什么要用户卸载?事实上,全球其他所有浏览器均对上述插件无异议。
" 系统急救":其借助傻瓜式的“一键修复”,导致用户在电脑上用什么、不用什么,都由360安全卫士说了算,至于是否都与安全性有关,一般用户自然看不出门 道,相反还会对360的这些“强奸”行为“感恩戴德”——这些用户原本连安装或卸载软件的操作都不熟练,而360安全卫士就是一台“傻瓜相机”。
事实上,360安全卫士不只是一台“傻瓜相机”,其云安全数据中心动态控制着一切,可以根据360自身需要更改其软件资料库、评分标准和权重,随时准备向对手发起“云查杀”以保护自身利益。
360的其他劣迹:360绿色网站的安全谎言:“偷梁换柱”浸润电商网银安全体系/
2月6日,360官网上一条 “网购首选,3亿用户的共同选择”的广告悄然上线。打开这条广告链接,以“网购安全”为主题的新款“360安全浏览器”赫然在目。
据《每日经济新闻》记者获得的360内部信息,360将借今年的“3·15”活动,大力推动与国内电商企业的合作,以将360安全浏览器植入电商领域。这则推广广告,正是这一步骤的前奏曲。

据记者调查,360两年前开始布局电子商务安全领域,其最先打出的 “安全产品”是 “网银无忧”、“地址栏铭牌”,即360浏览器主推的“绿色网站认证”。
360向人们传递的信息是,“360绿色网站认证”可以确保用户使用网银以及电子商务交易安全。
众所周知,电子商务的交易安全,尤其是网银,一直是网民、乃至整个社会焦点关注的问题之一。欧美、日本等国家的网银安全体系非常复杂与发达,而国内的网银体系,也是在小心设想、小心求证的前提下,一步步地展开。
那么,360是否真的具备这个能力——取代网银服务提供者身份验证体系,由自身来充当网银“保镖”呢?
独立调查员怀疑360公司是否具备这个能力。于是,他进行了如下实验,以了解360绿色网站认证机制:
在本机模拟,将招行网银域名劫持到IP为50.63.127.126(xliar.com)的网站,并在目标服务器上构建相应目录体系和登录页文件,然后使用360安全浏览器访问招行大众版登录页,从而进入伪装的招行网银页面。
360网购保镖自动检测招行运行环境,几秒钟后完成检测,报告“本次检测未发现风险,现在可以放心网购了!”
此时浏览器地址栏铭牌显示为“招商银行”,点击后弹出“通过绿色网站认证”,披着“招行网银”外衣的劫持网址,即被360认证为招行官方网站。
而同样的操作,使用IE浏览器访问时,IE浏览器地址栏则会以非常显眼的方式告知用户“(网站数字)证书错误”,点击错误信息可知,该网站证书不属于招商银行网站。
事实上,用国际主流的浏览器均会弹出类似的错误提醒警示,用户收到信息后自然会停止交易、避免损失。
这意味着,如果一家诈骗网站通过域名劫持招商银行网站,所谓的“360绿色网站认证”并不能有效执行网银保镖的辨识功能,进行安全认证。
360安全浏览器的安全检查能力为什么会如此之低呢?

据 《每日经济新闻》记者了解,目前国际主流的认证机构为VeriSign,包括中国工商银行、中国建设银行、中国银行、中国农业银行均采用该机构认证。招商银行网页所显示的,也正是该机构的认证,这也作为网上银行安全的基本保证而得到公认。
而独立调查员演示的证据显示,360浏览器直接屏蔽认证机构VeriSign基于加密体系的可信认证,将其替换成了360绿色网站认证。
独立调查员提醒网购者,应信任银行网站自身的安全证书,并在整个交易过程中关注地址栏域名和安全证书中的域名是否一致,以及其根域名是否与官方域名一致,切勿轻易信任和依赖360的“绿色网站认证”。
独立调查员认为,这又是另一起360“破坏性创新”的典型案例:“一点技术含量也没有的网站身份认证,竟然可以公然取代国际上通行的网上银行安全认证体系。这就是360的非创新型破坏。”
然而,对于类似公然挑衅国际准则的行为,为什么监管部门可以坐视不管呢?
可 以预想的是,一旦360大规模启动“各大电商推荐安全购物使用360浏览器”活动,人们的网上购物均要依赖于 “360绿色网站认证”,360收获的将是又一次360式“癌性扩张”,而中国的网银体系又将会面临怎样的可怕变局?(我以前的科普文中解释过数字证书, 可以去看看)
再说说qq:还记得前几年的“3Q 大战”吗?当时的导火索之一就是 QQ 存在隐私问题——据说 QQ 软件会偷偷地扫描硬盘。后来腾讯官方也承认了这点,但是又辩解说这是“QQ 电脑管家”在进行安全检查。不过懂行的网友分析了“QQ 电脑管家”的行为,发现它扫描硬盘的过程更像是在收集用户信息,而不像是查杀病毒/木马。
像 QQ 这种用户量如此巨大的软件,朝廷肯定不会放过滴。所以 QQ 系统中早就安插了朝廷方面的监控工具(据说是部署在腾讯的服务器上)。如果你在 QQ 聊天过程中频繁涉及到一些敏感的政治词汇,就会引起六扇门的注意。相关报道如下:http://tech.163.com/05/0728/10/1POADRE500091589.html
  有些维权人士、异议人士、民运人士明显缺乏对党的斗争经验,居然敢用QQ相互联络。结果是:不光自己暴露了,还牵连了别人。这样的例子太多了,俺就拿前几天(4月20日)刚宣判的“严晓玲、范燕琼案件”来说一下。
   话说福建的年轻女子严晓玲神秘而离奇死亡。有些网友看不下去,在网上为她喊冤。结果捏,统统被福州警方捉拿归案——罪名都是“涉嫌诬告”,其中三人被判 有期徒刑。在办案过程中,咱们的公检法部门,充分利用QQ进行顺藤摸瓜,以迅雷不及掩耳盗铃之势,把这些维权者一网打尽。请看被捕网友郭宝峰的原话:
各 位,够胆就继续用QQ吧,监狱等着你们去闯。警方当时不但通过QQ把我们几个一网打尽,而且一个警察曾经拿着厚厚的一叠我和游兄的聊天记录让我签字,我完 全没有想到我和他说过如此多的话而且多数记录和本案没有直接关系。我拒绝签字,那位警察就说:“你不签也没关系,我们有证据。”
  这下知道QQ的利害了吧?
360和qq有一个共同点:管了太多的事,不管是什么软件领域,都要插一脚:杀毒,浏览,以及其他各种工具,总之就像有些父母一样,一定要控制小孩的一切。
其他有名的国产软件也有这种发展趋势,例如金山。
这些国产软件就像那个K公司:在现实生活中,我们都知道一个最简单的常识:小区的保安公司都是必须向业主收取服务费的。但是,某年某城市的一个小区,来了一个K保安公司,宣布他们将为小区提供免费服务。经过几轮波折,最终K保安公司实现接管小区保安业务。

K公司入驻后,当然全部换上K保安人员,并迅速换上K公司特产的小区监控系统——在小区的每一个视角都安装了监视体系。业主们觉得,这真是天下难找的大好事啊,居然能够免费获得最好的安全保卫。

不 久,K公司出于安全考虑,将物业公司辞了,换上K安全物业公司;再接着,小区园林服务公司也换成K安全园林公司;再接着,业主所有私家车都装上了K安全 GPS导航;再接着,K安全物流、K安全农贸、K安全服饰、K安全电视、K安全电脑、K安全冰箱与热水器、K安全门控与门锁……小区业主的所有一切都被换 上了K安全的标志。

K安全公司能将业主的这一切统统换掉,只有一个原因:那就是,这一切“安全”方面的服务,都是免费的。

但有一天,B业主夫妇在家中行房事时,黑暗中发现家中有异样,打开灯一看,一个保安正在床前监控着这对夫妇的云雨过程。这对夫妇羞愤难当:你是怎么进来的?

保安说:我有钥匙,出于对你们性生活安全的考虑,我有权保护你们。

B业主夫妇找来安全方面的专家,来保护自己的安全隐私,结果却发现,保安不仅在夫妇行房事时可以进来“免费观赏”,他们在任何时候都可以自由进出业主的房间;他们不仅在小区的任何公共空间安装了监控系统,同时在业主室内的任何一个视角,都秘密安装了监控器。

这对夫妇决定召集全小区业主反对K保安公司的所有侵犯行为。

但让小区所有业主异常惊讶的是:就在开庭前一天,网络上突然出现大量B业主夫妇的信息,比如,B业主女臀部有三颗痣的图片在网络上大量流传;B业主夫妇的工资单被晒;B业主男与前女友10年的情书来往从其前女友的电脑中被挖出来。

B业主夫妇顿时陷入网络漩涡

……
当 然,有人会反驳我,认为多数国产软件并没有这么流氓,还是可以一用。好吧,我先介绍一个软件开发领域最重要的原则:最小特权原则。所 谓 最 小 特 权 (LeastPrivilege),指的是“在完成某种操作时所赋予网络中每个主体 (用户或进程)必不可少的特权”;最小特权原则,则是指“应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失 最小”。
这一特权最通俗的说法就是:你不要代替用户行使权力,你的特权越小越少越好。这样,才是对用户最大的保护。能不作为处,不作为。
不得随意代替用户作决定或处理;不得以安全的名义,为厂商自己牟利;不得在安全领域,既当运动员,又是裁判员。
请问,哪个国产软件做到了这点?
输入法?《国产软件的隐私问题 @ Solidot》http://internet.solidot.org/article.pl?sid=08/03/24/0624233,其中提到了:拼音加加2004v3.02,新华五笔,这两个软件已经发现有后门和敏感词汇汇报功能的存在,会在不知不觉中泄漏隐私。请注意俺标了粗体的“敏感词汇汇报功能”。这类功能很显然是为朝廷量身定做滴。
  虽然这篇报道只提到了“拼音加加、新华五笔”这两款,但这【不】表示其它输入法就【没有】问题——可能只是尚未发现而已。

◇个性化词库同步

  “词库同步功能”,大伙儿应该不陌生吧?目前主流的输入法都会根据输入频率存储用户的“个性化词库”。“个性化词库”是为了提高输入效率的——比如当你的输入出现二义性,你经常选中的那个候选词会出现在靠前的位置。
   所谓的“词库同步功能”,就是把你本机的个性化词库同步到云端。这个功能对那些拥有多台电脑的网友而言,是有帮助滴。但是这也带来了隐私的风险。因为个 性化词库存储在云端,那么该输入法厂商就可以对你的“个性化词库”进行分析,从而了解你本人的种种信息。假如说你经常用输入法进行网络聊天、撰写邮件、写 文章、等等,那么你的个性化词库包含的信息量就非常非常大。
  而且俺有充分的理由相信,朝廷六扇门的人肯定会去分析存储在云端的“用户个性化词库”。
迅雷?◇暴露你的私有文件
   正常的 P2P 下载软件,只会上传“用户共享出来的目录里的文件”。但是迅雷可没有这么规矩。据说它会擅作主张,查找你电脑硬盘中的文件。如果某个文件正好是当前的热门 下载,迅雷就会把该文件上传给其他正在下载的用户(以此来“提速”)。这种做法从某种程度上暴露了你的隐私。顺便说一下:这种搞法除了引发隐私问题,还会 (在未经你许可的情况下)浪费你的网络带宽和硬盘性能。从某种意义上讲,这就是“耍流氓”。
◇收集你的下载网址——并有可能暴露你的【私有网址】
  跟“360安全浏览器”类似,迅雷也会把每一个用户的每一个下载网址收集到自己的服务器上。迅雷公司这么干是为了尽可能多地收集“下载源”,但也导致了一个严重的隐私问题——迅雷公司掌握了你所有的下载历史。
  如果你用迅雷下载的网址是一个【私有网址】,那么这个私有网址不但会被其他迅雷用户看到,还会被别人用来下载。
播放器? 最后再来聊聊媒体播放类的软件。媒体播放软件主要有“视频播放”和“音乐播放”两大类(当然,也有些是二合一的)。不论是“视频播放”和“音乐播放”,播放软件都【有可能】收集你播放的媒体信息,然后发送到厂商的服务器上。
  举例:
  请看2007年的一篇报道——《暴风排行榜正式发布 1.4亿用户观影习惯揭晓 @ 网易科技》http://tech.163.com/07/0803/09/3KV9TFAR000915AS.html。暴风影音是如何统计出几亿用户的“观影习惯”?它收集用户的“观影习惯”,得到用户许可了吗?
  经读者在评论中提醒,除了上述这种方式(播放器主动发送媒体信息),还有一种方式是利用“自动下载字幕”这一功能。比如“射手影音”提供的“智能字幕”功能,会自动去射手网匹配字幕。此时,字幕服务器会收集到你正在播放的视频信息。
其他安全软件?◇国产安全软件有靠谱的吗?

  对这个问题,俺倾向于【否定】的回答。虽然俺无法拿出确凿证据来证明“每一款国产安全软件都有问题”,但是俺可以给出如下一些分析供参考。
   刚才提到过,在安全软件中植入后门具有某种天生的优势——其一,杀毒软件或木马查杀软件天生就需要扫描硬盘;其二,杀毒软件或木马查杀软件天生就需要定 期升级特征库(在线升级就需要联网)。于是乎,假如某款国产的杀毒软件或木马查杀软件达到【足够大】的装机量,通常会受到朝廷“有关部门”的青睐。对于国 产软件公司而言,如果“有关部门”找你谈话,要求你在软件中植入后门,你有胆量拒绝吗?显然没有。
浏览器?比如奇虎大力推广的“360安全浏览器”。这款浏览器会把“用户访问的网址、网址对应的 cookie、用户在地址栏输入的内容”等信息上传到奇虎的服务器上。具体的报道请看《中科院报告:360产品存在三大隐私安全问题 @ 新浪科技》http://tech.sina.com.cn/i/2012-11-23/08517825584.shtml。说到这里,俺顺便感叹一下:奇虎/360 的老板周鸿祎,当年就是做流氓软件起家的(老网友应该还记得臭名昭著的“3721插件”)。如今已经过了10多年了,这厮真是“狗改不了吃屎”啊。
  说到浏览器,再次罗嗦一下:
其一,千万别用【国产的】浏览器
其二,全球三大桌面浏览器,在隐私保护方面的排序是:Firefox 优于 Chrome/Chromium 优于 IE
可以看到,国产软件根本就没有靠谱的,而且那几家大公司尤其恶劣:将你的pc上的主流软件都换成他们自家的产品,以“方便”“安全”为名绑架了你的pc,从此以后,你干什么都要经过他们的许可。这还是你的PC吗?你是用户,还是那些软件是用户?
再来谈谈操作系统:天朝曾经搞了两个抄袭无下限的山寨linux(麒麟,红旗),当然,没人用。如今大部分人应该都在用win7或win8。这里扯一句,还在用XP的,请速度升级到win7或win8,千万不要相信《日人民报》上方叫兽的忽悠。
但 正版系统可不便宜,于是有些人就选择了Ghost系统:已破解好的镜像,里面预装有一堆国产软件,通常打着“安全”“便利”“绿色”的旗号,但实际上刚好 相反:GHOST系统很可能有着制作者设置的后门,一旦你使用了GHOST系统,其他方面再怎么防范都没有用。而且GHOST系统自带的多是前面提到过的 流氓软件,无法卸载干净。
信息安全最薄弱的环节永远是用户,用户要是那种喜欢让软件控制自己的PC的懒汉小白,他知道再多信息安全知识也没用。不 是流氓软件成就了小白,而是小白成就了把自己当成用户无限制扩大权力的流氓软件。天朝多数用户都没有隐私意识,对侵犯隐私的软件无限忍让,那也就别怪天朝 软件的下限越来越低!
如果把大陆比作一台PC,那么共匪就是一个恶心的GHOST系统:所有的软件(操作系统是政府,安全软件是政法委及各级法院 警察局等外加军队,浏览器和播放软件是中宣部及其下属单位,输入法是党媒,下载器是教育部及被它控制的学校)都由它指定,我们这些用户不仅无权进行修改, 连进行正常操作都需要得到它的同意,而且所有的个人资料都是对它透明的。我们用户无权修改操作系统设置(天朝的“公仆”是屁民选出来的吗?),无权修改安 全软件的规则(天朝哪个法律立法时得到了多数屁民的同意?),无权重新安装更好的安全软件(欺负屁民的匪警就没几个被审判过!),无权自由浏览下载信息 (中宣部和教育部只会让屁民们看到它们想让屁民们看到的),无权自由在网上发表看法(党媒输入法只接受利于党的信息,而且即使在本地进行编辑都会被“寻衅 滋事”),无权更换任何一个软件(这么多部门,哪一个的成立得到了屁民们的同意?哪一个发表的规定得到了多数利益相关人的同意?),更无权重装操作系统 (“坚持中国特色社会主义道路”,谁在坚持?)。
我想问一句,谁是用户?谁有权操作这台PC?谁能使用这台PC做自己想做的事?你还是这个霸道的GHOST系统?
即 使如此,仍然有那么多小白用户非常享受,还为此叫好:“伟大光荣正确的操作系统以及其自带的软件们在方方面面都"为用户服务",用户就是不能有对这台PC 的修改权,用户的一举一动就是要被这个GHOST系统管束着,要不然这台PC就会出问题”;当专业人士指出操作系统已十分落后,与当今主流软件服务均不兼 容时,他们说;“这是本台PC的特色,绝不能丢,一丢就会出问题”;当专业人士指出他们无法自由进行输入时,他们说:“反正我安分守己,不去输入敏感词句 就可以了”;当专业人士指出他们只能浏览到浏览器想让他们看到的信息时,他们说:“那些被封禁的信息都是其他PC的用户造的谣,封的好”;当专业人士建议 修改操作系统设置时,他们说:“那些设置不是我应该管的,英明的操作系统知道该怎么设置最好”;当专业人士指出下载器只能下载一堆谎言并强迫用户阅读时, 他们说:“这些能让我家的小用户变得听话,而且英明的操作系统不可能那么坏,欺骗用户这么久”。
这种PC倒贴钱都不会有人要,可还有一群傻子用户天天见不得对这PC的一句批评,天天义务为这台PC的缺陷辩护,还盲目仇视其他PC。现在这台PC的实际用户不是你这个自干五,笨蛋!