以安全的名义 2.0

Posted by c4pr1c3 on November 6, 2010

写在前面的话

最近一段时间的互联网实在欢乐非常,从数字安全公司360“揭秘”数字娱乐公司腾讯“窥私”开始,到昨天腾讯宣布“有你没我”战略,今天腾讯又联合“5大”互联网软件厂商联合声明和360不兼容之后,有人称双方的这一系列行为是“一场战争”,有人说这是“狗咬狗”,还有人说是“XX保卫战”。不过,在我看来,这其实是中国互联网历史上最盛大的一次娱乐狂欢。名人和草根,砖家和五毛,网民和市民,都以评价、支持和鄙视数字安全或数字娱乐为乐。公说公的,婆说婆的。QQ拥趸们津津乐道于周董的流氓出身和3721旧事,360蜜们对QQ的“一山不容二虎”、“垄断”和“抄袭”是深仇大恨。在360强有力的“草根”公关路线(自下而上)指导下,互联网的舆论大势似乎对360更有利一些。而腾讯,则依仗着自己11位QQ号用户的庞大阵容基础,走的是一条“抱团”(自上而下)公关路线,暂时是“得势不得分”。

圈内人在说

TK教主:http://hi.baidu.com/tombkeeper/blog/item/de42347f2f24031828388ad4.html

道哥:http://hi.baidu.com/aullik5/blog/item/6947261effc12dc7a7866941.html

我之前说过

以安全的名义:http://www.huangwei.me/blog/2010/08/21/security-as-a-slogan/

我现在要说

我,作为一个曾经的安全圈内、娱乐圈外,现在的娱乐圈内、安全圈边上的非典型安全研究人,写这篇文章的目的不是为了点评谁对谁错,我想尽可能的不带感情色彩的谈谈“双方吵架”这件事情的一些内涵和启示。

首先,安全的价值在于保护“信息”的机密性、完整性和可用性,没有之一。IT企业的价值就是使“信息”转化为财富,同样没有之一。数字安全公司之于用户的价值在于“信息可控安全”,数字娱乐公司带给用户的价值是“信息自由流动”。正如,教主所说:“随着近年微软对安全的逐渐重视,国家对网络犯罪打击力度的增强,眼瞅着网络安全的形势就要变了,360可能也意识到了这一点,觉得自己的核心竞争力开始随环境变化要减弱了,所以逐渐试着去触碰别的边界。这样,和腾讯之战显然是早晚的事”。从价值的角度来说,360对用户的价值作用正在减弱,而腾讯对用户的价值作用却在与日剧增,360与其坐以待毙,为何不奋起一搏?

其次,从纯安全技术的角度来说,360公司虽然人少,但由于术业有专攻,和庞大的腾讯帝国相比,在软件安全技术上是完全可以做到玩弄“胖QQ”于股掌之间的。“扣扣保镖”虽然昙花一现,但足见360的快速响应技术能力。尽管腾讯一直坚称这是360蓄谋已久的持续开发,但在我的映像里还记得,腾讯曾经在08年的时候使用过强制“安全登录软键盘”技术,而该技术的核心——键盘过滤驱动实际上是购买的韩国一家安全公司的。可能由于腾讯内部技术人员能力有限,一直没能很好解决键盘过滤驱动稳定性问题,短时间应用了一段时间后,在后续版本中又悄无声息的去除了这个既影响软件稳定性,又并没有带来多少安全性提升的“鸡肋”驱动,改用3环hook。就凭这一点,360公司的某些牛牛岂能不“嘲笑”腾讯的技术无能,所以有“扣扣保镖”这样一个“安全辅助”软件的快速诞生完全是可能的。(事实上,“扣扣保镖”最开始提供的下载版本还是个未加壳的调试版本,这能是精心策划、正常产品流程下的发布吗?)

再有,从国情的角度来说,中国的哪一家安全厂商敢说自己不在为和谐社会服务?当然了,360和腾讯都为和谐社会做出过重要贡献,并得到了相关部门的内部和公开表扬。因此,别看这哥俩,现在为了商业利益吵得不可开胶,大有你死我活的架势。但请各位看官放心,目前双方更多的是在动嘴皮子,实质的相互“攻击”还未全面爆发。倘若真的“开战”了,我希望不是“零日”满天飞,搞的人心惶惶的。腾讯我真不了解,360手里肯定是有的,起码我就知道一个未经证实的。但郭嘉是不会允许他俩真干起来的,这是郭嘉的底线。商业道德底线?我看不如说是商业道德笑话。你再底线,敢碰碰郭嘉的底线吗?

这次争端,我猜不出它什么时候会结束。但我想,两败俱伤是不可能的,一方完胜也是不可能的。最有可能的结果就是短时间内双方各流失一部分用户到其他同业竞争对手手里,360做出妥协,腾讯过过嘴皮子瘾,网民娱乐疲劳了。

最近正好看了一本书,叫做《只有偏执狂才能生存》。联系360周董的个人经历,从3721到中国雅虎,到360。再看看马化腾,从“抄袭”ICQ开始,到12年坚持做QQ。似乎都在印证着这一点:只有偏执狂才能生存。试看周董和马总,在接下来的时间里如何发招、拆招和接招。

P.S. 刚才看到腾讯在其官网显著位置刊登了《QQ用户安全保卫战始末》,里面赫然写着“权威安全机构公布360外挂软件存在后门,会威胁QQ用户资料安全。我们也提醒广大QQ用户注意安全防范,下载新软件的时候要格外慎重,也避免将您的密码和好友信息等资料复制转移给第三方。” 腾讯敢把权威安全机构的名字写出来吗?我在此给出“权威安全机构”的链接,可怜的瑞星娱乐公司,本想借此宣传一下公司,结果腾讯还不给面子。更可怜的是,连搜索引擎都不把瑞星的原始公告排在搜索结果的前列。