2010年12月31日,金山公司召开新闻发布会,指责360“收集3亿用户密码等隐私”、“上传内网文件地址”、“追踪用户上网行为”等,并通过弹窗发布所谓“一级安全预警”,宣称“上亿用户密码遭泄漏”,并公开建议用户卸载360。
金山公布的所谓“360收集用户隐私”,实为360网盾上传的不在360恶意网址库中的未知挂马网被木马毒病攻击的网址样本。金山公司在内的国内外安全软件厂商都采用的是相同的技术机制,金山公司明知自己的网址上传功能云查询是与360采取相同的技术机制,反而用虚构夸大事实的方式,甚至不惜损害用户利益,制造恐慌来达到其诋毁360公司的目的,这是一种对用户极不负责任的种做法。
为了以证视听,360公布网盾拦截未知恶意网页的工作原理。
一、360网盾拦截未知挂马恶意网页的过程
360网盾对未知挂马网页的拦截工作原理如下图所示:
▲ 360网盾拦截未知挂马恶意网址的工作原理
当用户浏览未知挂马网页时,由于未知挂马网页不在360恶意网址库中,360网盾无法立即加以拦截。但是浏览器加载该未知挂马网页后,网页中的恶意代码会运行,攻击浏览器,并通过浏览器进一步攻击和感染用户系统。这时,360网盾的行为检测就会发现浏览器的行为异常,确定用户在浏览未知挂马网页,从而拦截该攻击行为并向用户报警。同时,为了使其他用户在浏览此未知挂马网页时可以立即加以拦截,360网盾需要将攻击的恶意代码样本,尤其是触发360网盾报警的网址(URL)上报给服务器,由服务器进行进一步的甄别后加入到恶意网址库中。
需要说明的是:当未知挂马网页触发360网盾报警时,用户可能会同时浏览多个网页,360网盾是对浏览器程序的整体行为进行监控,只能发现浏览器有行为异常,目前技术上无法准确判断是哪个网页触发了报警,为了确保能够采集到未知挂马网页,360网盾会将触发报警时用户同时打开的网址(URL)一起上报至服务器,存储在可疑恶意网址日志文件中,由服务器进一步甄别出其中的恶意网页。这也是为什么可疑恶意网址日志文件中会包含一些知名网站和内网网址(URL)的原因。
上报至服务器的可疑网址日志文件全部由360云安全中心的恶意网页自动分析系统进行实时自动的分析处理,以鉴别出其中真正的恶意网址,并将其加入到恶意网址库中,从而使所有用户今后浏览该网页时即可立即拦截。对于鉴别出的正常的网页,其URL网址记录会自动从日志文件中删除。
根据上述原理,对可疑恶意网址日志文件有如下进一步说明:
① 当用户浏览未知挂马网页时,可能亦在同时浏览不符合安全编程规范的一些网站,其网址(URL)中带有用户名和密码,因此这些网址(URL)也被上报到服务器,出现在可疑恶意网址日志文件中,但是经分析这类网址(URL)数量比例极低,不到万分之一。
② 可疑恶意网址日志文件中有较多黄色网站的网址(URL),这是因为挂马网页通过是利用黄色网站进行传播,吸引用户浏览;
③ 由以上工作原理可知,360网盾仅是在未知挂马网页攻击并触发报警的瞬间,将用户同时正在浏览器网址(URL)上报给服务器,而不是持续地上报用户访问的网址(URL),因此不可能记录用户的上网行为,跟踪用户的上网习惯。
④ 在可疑恶意网址日志中记录有机器MID,这是为了更好的分析未知挂马网页的感染量和传播趋势,该MID是通过不可逆的散列算法生成的随机字符串,不可能反向推导出用户电脑的任何信息。