“XP停服”拷问中国网络安全(2)

攻防无止境

安全对于整个互联网来说，一开始并非主流的应用。时光如果倒退10年，互联网行业言必称门户，倒退5年言必称搜索。安全行业持续升温恐怕是最近2-3年的事情，原因可能在于互联网的各项应用持续深入，已经与普通人的日常生活息息相关。

另一方面，没有网络安全就没有国家安全已经成为共识。中央网络安全和信息化领导小组3月成立，无论是庙堂之高抑或江湖之远都已经感受到了某种氛围。一向以嗅觉灵敏、反应迅速的互联网行业更是迎来了进军安全领域的小阳春。

XP停服，更是成了中国网络安全公司的盛宴。

2014年2月份，360抢先推出了XP盾甲产品。

3月，腾讯、微软、联想等几个大佬级的公司联手推出了“扎篱笆计划”，称将为XP用户提供安全防护。这个计划的参与者相当广泛，除了三大巨头和一些安全公司外，亦包括了腾讯入股的搜狗公司。而在发布会上，金山公司CEO傅盛高调表态，XP用户支持行动希望通过联合防御体系，规范XP系统保护市场，制止利用XP漏洞恐吓用户的行为。

虽然在发布会现场，扎篱笆计划并未推出实质性的产品。但随后，腾讯和金山拿出了专门的XP防护专版产品。 金山毒霸承诺，将提供第三方的XP安全升级补丁及相关产品解决方案。

紧接着，百度卫士宣布将推出“XP用户解决方案”；瑞星杀毒宣布将为用户提供漏洞监控服务；北信源发布了北信源金甲卫士和企业版的北信源金甲防线两种具体的产品。

中国的XP用户们是否可以高枕无忧了？4月5日，微软XP系统退役的前三天，一家名为合天智汇的安全公司组织了一场专门针对XP系统的黑客攻击大赛。只有360、腾讯、金山三款针对XP的专版防护产品入选，成为黑客们攻击的目标，其它产品甚至没有入选。

比赛开始42秒，腾讯被爆；不到一分钟，金山被爆；只有360熬过了13个小时。腾讯公司副总裁丁珂回应称：“从专业角度看，所谓现场1分钟，更多可能属表演性质。客观说，没有任何软件是完美不可攻破的。现实世界也没有攻不破的安全系统的。如果不限制时间，再高安全级别的系统都迟早会被打破。”

360公司副总裁、首席隐私官谭晓生也坦言这个过程并不轻松：“攻防无止境。”

全球性安全组织Owasp中国区负责人、长城重点安全实验室主任陈亮认为，出现这样的状况是必然的：金山由于人员流失，技术实力已经不如以往；而腾讯毕竟是做社交应用起家，在安全领域的积累和沉淀不够。360则是一直专注于安全领域，尤其是在操作系统级别的安全防护上有丰富的经验，胜在综合能力强。

黑客们不到2分钟先后拿下腾讯、金山或许不乏“炫技”的意味，但有专业安全人士分析称，这次比赛在安全专业领域的重要性不啻于一次“反恐演习”，这背后折射出的是XP停服后形势严峻的网络安全环境。“就和体育比赛一样，挑战赛是在比赛环境下举行的，XP停服后是个漏洞百出的操作系统，到那个时候真实的网络安全环境只会比比赛环境更严峻、更复杂、更多变。”

其实国际上对此问题有着更加清醒的认识。海外知名云服务公司Evolve IP的首席技术官Scott Kinka就表示：“任何一个单独的桌面安全风险，都将在这之后被无限放大，因为微软不会再为这个老旧的系统提供官方修复。各种恶意软件将汹涌而至，而你的每一个密码、商业机密，以及个人信息，都将处于风险之中。” 云安全服务公司Qualys的首席技术官Wolfgang Kandek也深表赞同。

即便有专门的安全产品也并非能真正有用，这次XP挑战赛就是模拟XP停服后的系统安全真刀真枪比拼了一把。这也是大会组织的初衷之一，主办方合天智汇在比赛前接受媒体采访时就表示，“后XP时代”的信息安全一直备受关注，但国内安全厂商推出的防护软件究竟效果如何，普通用户委实很难辨别。

也有乐观的观点认为这次XP挑战赛开了个好头，一来是起到了重要的科普作用，通过这种“实战演习”的方式让大家意识到网络安全严峻形势，更能够帮助公众识别出那些“不安全”的安全软件，让略显神秘的网络安全逐步走向大众化。

“类似的比赛应该持续搞下去。”国家安全应急技术工程实验室主任杜跃进博士认为，今后如果由第三方来办赛，或者有中立的第三方机构能发挥监督作用，那么比赛的公信力和权威性将会得到进一步提升。

360是侥幸吗？

XP挑战赛的失败者们认为360赢得侥幸。而谭晓生则认为，之所以360能够在“守护XP”一战中取得领先，是360长期站在与黑客攻防的第一线，在安全领域有长期积累。“比如安全软件给系统打补丁就是360发明的，我们在防护微软系统安全上曾经获得微软全球18次致谢。”而这次被挑战的360安全卫士“XP盾甲”有系统加固、程序加固、补天热补丁、关键程序隔离四大引擎，其中隔离引擎的Sandbox（沙箱） 技术是攻击难度最高的，当天参加比赛的不少黑客都能攻破应用层面的漏洞，但都过不了沙箱技术。

谭晓生这样比喻： “如同给一辆桑塔纳装上宝马的发动机，并对整个轿车进行了加固。或者说，像个小区保安一样，为用户把门，有程序过来先问清楚，你是谁，从哪来，要做什么？查清楚户口才能放行”。

“以前黑客更多是技术专业人士，做病毒是为了炫技，但后来越来越多的黑客变成了就是要骗钱，有一个黑色产业链。”谭晓生说，“我们有网购先赔，每天就是为了保护用户的钱包和这些黑客们斗智斗勇，积累了大量的实战经验。”

360安全中心2013年共处理新型网购木马220例，平均每周更是接到200多个新增钓鱼网站举报，涉及网购钓鱼、网上博彩、兼职、游戏等多种欺诈形式。

在网购安全领域，360积累了一份大数据。今年3月12日，360发布了《2013年中国网购安全报告》。报告显示，去年共有30613例消费者反映网购被骗，其中22259例遭遇木马和钓鱼欺诈网站，剩余8354例都属交易纠纷。在网购欺诈中，上午10点到12点间是高峰时段，90后则是最容易上当被骗的群体。“这些数据背后是血淋林的教训。”谭晓生说。

到2014年1月，360的网购先赔开启用户已超过1亿人。谭晓生透露：“2013年，我们为将近3000名网购受害者挽回或部分挽回了损失，一共赔付了180万元。”(责任编辑：韩杰)