4月8日,微软停止对Windows XP系统的技术支持,国内安全厂商纷纷以为用户负责的坚定态度,主动从微软手中接过系统保护的重任。微软官方相继与腾讯、金山、360、百度等安全厂商推出联合防护方案并公之于众。
微软的本意是奉(Bi)劝(Po)用户升级,而一众安全厂商却自告奋勇料理后事,我仿佛听到微软咬牙切齿地对说:“你们这帮热心肠,整天给我帮倒忙。感谢你们#&¥……”
广大用户当然不会考虑微软的感受,否则也不会有央视口中的几百兆大小的Ghost XP。面对这么多负责任、爱用户,提供免费服务的安全厂商,我们应该毫不犹豫地送出32个赞。做好事都抢着干,谁说中国人冷漠来着?
事情如果只发展到这里,XP退休的事也算圆满。然而,一个名叫合天智汇的公司在清明节组织了一场小小的比赛……
本文要讨论的话题正是来自这场比赛。前面啰嗦这么多,是想让各位看官准备一个良好的情绪,不要每时每刻都剑拔弩张,尤其不要像某数字公关那样。相由心生,有容乃大。
合天智汇举办的 “XP挑战赛”引起了不小的争议,具体的内容大家可以去百度,我在这里表达一些自己的看法。其实在安全领域,一场单一产品的攻防赛(针对XP系统),规模也不大,奖金也不高,按理说不该引起这么大的波澜。但是国内的安全圈自嘲为娱乐圈,那就必然会发生点什么。这要归功于某些想象力无下限、执行力无上限的公关。
对于这场倍受争议的“XP挑战赛”,我首先认为它是一件好事。通过这样的比赛,让用户知道微软XP退休意味着什么,唤醒用户对XP系统安全的重视,营造一个良好的网络安全环境。
但是,由于主办方在几个环节的不合理操作,以及某媒体的“未卜先知”,不免让人产生怀疑:难道这又是一场安全厂商导演的闹剧?正面效果大打折扣,把好事办成了坏事。
关于整个事件的疑点,大家也讨论得差不多了,不了解的同学可以去百度一下“十问XP挑战赛”。我这里主要说三点:
第一,主办方未获厂商授权,操作不透明。
主办方“湖南合天智汇信息技术有限公司”在新浪认证博客中主动承认,“合天智汇于3月26日在网络媒体启动相关活动宣传,并在宣传期间通过官方微博向被挑战安全厂商发送了相关消息。不过,因为公司名气太小,并没有引起各厂家的重视,也许各厂家对自己的产品深具信心而不必理会吧,总之合天智汇并没有收到各厂家的任何回应。”
国际通行的做法是什么呢?知道创宇安全专家余弦讲了Pwn2Own的情况, Pwn2Own大赛每家厂商都有授权,还会赞助比赛的奖金或者奖品,比赛结果需要授权来公布。
反观这次比赛,厂商都没有回应,就更谈不上授权和赞助了。在这种情况下依然举行比赛,何言公开透明?至于比赛的奖金来源,就目前看来,主办方有这个经济能力也好,有非公开层面的流程也罢,都不是一种良性的机制。
第二,主办方未能保证活动的公平性。
有安全业内人士在微博评论,“比赛应该使用主要广泛的产品,而且必须保持一定时长,闭幕(避免)出很安全,但其实没法用的测评版本。”,“所以我昨天说……有人做了准备,有人猝不及防……每一个系统都有人在研究,最新的……还没那么快。所以……”
安全攻防是一个动态过程,所谓的一分钟攻破,背后可以是一个月的努力。合天智汇也在博文中承认了“不排除厂商为应对XP挑战赛进行产品更新的可能性”。
对于比赛本身,来自国内顶级白帽子团队KEEN Team的谷明指出, 360沙盒限制了一些读取文件的权限,而比赛设定的一个目标就是访问UC word文档并上传服务器——“这种比赛有点量身订作的味道”。
KEEN Team多次参加Pwn2Own大赛并获奖,对国际比赛规则非常熟悉。谷明强调,国际比赛的惯例是所有参赛的软件必须在默认设置的状态下,本次比赛在这一点出现硬伤。“我们自己用的360安全卫士,(沙盒)默认状态是没有打开的,比赛当中是开启的。360刚好利用了这个,规则上可能还不是太清晰的。”他说。
没有公平的规则,结果便失去公信力。
第三,公关宣传有越界之嫌。
所谓界限,即商业宣传合理的界限,尤其是针对一类技术比赛的时候。对一个存在争议的比赛结果片面引用宣传,进一步瓦解了比赛的公信力,而主办方并未作出任何反应。
那么,类似的安全赛事应该怎样办?
其实也不复杂, Pwn2Own便具有代表性:赛前要获得厂商授权,可以从厂商处拿到赞助,比赛有完全公开的媒体报道,攻击结果向厂商回馈。这种赛事的目的是帮助厂商优化产品,有助于安全技术的创新,是一个良性循环。简言之,国际知名赛事更多是技术分享,各方面都比较规范。
综上所述,从合天智汇有意组织这场比赛来看还是在国内安全界开了个好头,只是由于自身经验不足,最后被厂商当枪使唤。
最后要说,让所有人的努力回到最初的目的——为了用户安全。我们鼓励这种比赛机制,但是从无到有、从有到优需要一个过程,在这个过程中,允许有试错的机会。今后不论是谁主办这类比赛,都希望能够创造一个公平、公正、公开的环境。愿厚积薄发,勿急功近利!
转自http://www.enet.com.cn/security
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
