360安全认证“三步曲”奇招 “替身式”测试涉嫌作弊

每经记者 黄衫 发自深圳
近年来,奇虎360科技有限公司(以下简称360)旗下的相关安全产品,一直处于被舆论质疑的风口浪尖。为此,360在多种场合,向外展示了 “国内外三大权威机构”的相关认证,以自证清白。
然而,《每日经济新闻》记者调查了解到,“国内外三大权威机构”的相关认证也并不一定能证明360所有安全产品就是100%安全的,其中存在偷换标准概念、“替身式”测试以及360以“三步曲”的方式,为360产品勾勒“安全”与“合格”的外衣等作弊嫌疑。
一步曲:认证标准“跳高赛”自降“栏杆”
在跳高资格赛中,一般都会设立一个最低标准,比如1.80米获得资格赛。如果有队员将标杆从1.80米降低为1.60米,然后宣称获得资格赛资格,那算是典型的作弊。
360在安全产品安全等级概念方面,则涉嫌玩弄了这样的手法。
今年2月,360在发布的一份声明中宣称:360所有产品均“通过了中国信息安全测评中心的测评……以及国内外网络安全软件的各项标准,安全可信。”
周鸿?进一步补充说:“将安全浏览器送检两家评测机构检测,主要是因为方舟子质疑360浏览器的安全问题”,“360为此花了两个月时间得到了EAL2级检测结果,而国内没有浏览器达到这个级别。”
2月28日,在360召开的“媒体开放日恳谈会”上,360技术工程师声称,“只要过了EAL1,安全性就很有保证了,而EAL2级是公共系统要求,EAL4已经达到了美国军方的标准。”
EAL2级标准,果真是这样吗?
先来看一看,“EAL2”到底是怎样的一个安全级别标准呢?
安全专家李铁军向《每日经济新闻》记者介绍说,“国际上都把CC
(1999年12月正式颁布国际标准ISO/IEC15408《信息技术、安全技术、信息技术安全性评估准则》CommonCriteria,简称为CC)作为评估信息技术安全性的通用尺度和方法。”
李铁军进一步介绍说,CC将评估级分为7级,其分别为:
EAL1:功能行为与文档一致;对已知威胁提供了保护。低级安全保证。功能测试。
EAL2:低级到中级安全保证,但无完整开发记录,审查开发者所做的测试和脆弱性分析。结构测试。
EAL3:中级的独立保证的安全保证,彻查开发过程。
EAL4:中级到高级的独立保证的安全性,审查详细设计与重要实现(代码)。
EAL5~7:完全代码级。略。
独立调查员描述了“EAL2”在评估等级中的位置:“EAL2级评估仅比功能测试级 (EAL1)稍高一点,而诸如安全加强的高层设计(概要设计)、低层设计 (详细设计)、设计实现(代码)子集、安全策略模型、测试覆盖分析、问题跟踪覆盖、独立的脆弱性分析等重要的安全评估手段全部不涉及。”
中国安全专家、北京知道创宇信息技术有限公司创始人赵伟则指出,浏览器对于安全等级的要求比一般的软件产品高,而微软浏览器InternetExplorer则达到“EAL4+”级。此外,国内主流的防火墙厂商如华为、天融信等一般都达到EAL3。他说:“像所谓安全浏览器此类对于高度敏感的基于云服务的登录管家模块,最少要做EAL4级评估,只做到EAL2级评估纯属隔靴搔痒、无实际意义。”
由此可知,EAL2是安全产品的初级标准,而对360安全浏览器而言,其不仅不能证明其合格,反而证明了其只是一个非常初级的安全产品,但360却将EAL2作为宣扬其产品合格的依据。
二步曲:检测样本“云遮雾障法”
近年来,360在安全产品评测方面,做了许多工作,但据业内专家、知情人士透露,360在评测中有许多地方“含糊不清”,“给这些评测结果打了问号”。赵伟便对《每日经济新闻》记者指出,“360的许多评测,值得好好推敲,不然会给这个行业开个坏头。”
一位深度参与相关评测工作的业内专家提供证据指出,2012年10月,360送检中国信息安全测评中心的测试样本“有问题”。
其主要问题有:其提供的样本监测目标,仅为针对其安全浏览器的登录管家模块:串号登录问题;评测报告并未注明所代表的产品版本,仅能看到评测模块的版本为“1.2.0.1071”;更为蹊跷的是,评测报告发表当日,从360官方下载的最新浏览器登录管家模块版本却是“1.0.8.1070”,明显低于送检版本,而送检版本属“未来”版本。
该专家进一步指出,2012年10月29日,360向中国软件评测中心送检了评测,评测目标是:360安全浏览器数据上传下载已加密,并经过用户许可;360安全浏览器可以正常安装和卸载;以及360安全浏览器的 “云查询”功能以密文方式加密传输。但技术验证报告,却没有注明具体的产品版本和模块版本。
中国人民大学教授石文昌也曾对这份由中国软件评测中心出具的测评结果表示质疑,主要表现在:第一,对安全评测思想及其中的EAL概念不了解;第二,对产品的安全性概念了解不够。
同样的问题也出现在“东方之星(Starcheck)认证”中。
所谓“东方之星(Starcheck)认证”,是国际上著名的评测认证,由美国西海岸实验室实施认证。如果达到“东方之星(Starcheck)认证”,则表明该产品已达到较高水平。
该次检测的产品版本是360安全卫士的5.1Beta版,其安装量很小。赵伟认为:“其不具备代表性”。
独立调查员认为,360在2月28日的媒体发布会上公开出示的所有第三方认证的产品等级测试均为黑盒测试范畴(EAL4及以上才是白盒测试级),而像此前独立调查员曝光的360浏览器后门机制,则到了白盒测试的深度。360以黑盒测试的结果来否定白盒测试结论显然是“隔靴搔痒”。
此外,独立调查员进一步指出,这些测评所涉及到的测试对象、测试性质均与其被质疑侵犯隐私权、不正当竞争等行为无关,其无法“自证清白”。(见表1)
三步曲:与评测机构间存关联性关系
从上表中不难看出,在对360产品的评测中,漏洞不少。这些评测项目如此过关,除了与360本身有关外,评测机构在评测中,似乎也存在不够严谨的现象。
而这些评测机构,似乎也与360公司在关系上,“过于接近”。
从公开信息中可以查到,2012年3月,工信部发布了《关于申报2012年度电子信息产业发展基金招标项目的通知》,中国软件评测中心智能移动终端测试实验室对相关项目进行了积极的研究和探讨,并最终和北京奇虎科技有限公司携手成功申报了《移动互联网智能手机终端个人信息保护软件研发》项目。这一信息表明,360与中国软件评测中心有重大项目合作关系。
而中国信息安全测评中心是代表国家具体实施信息安全测评认证的实体机构,奇虎360公司副总裁石晓虹代表360公司,先后参与了国家计算机网络与信息安全管理中心、中国信息安全测评中心等多家单位的科研项目,并作为项目负责人。这些项目包括:无线局域网访问系统安全技术要求研究、基于硬件虚拟机的安全技术研究、Vista体系结构分析研究、多引擎恶意代码检测技术研究与开发、Vista内存安全机制分析等10余项。
独立调查员认为,“作为中立的评测机构,保持独立性是最为重要的,但这些机构与360有这样密切的关系,这样的评测很容易有失偏颇。”
此外,独立调查员还指出,360近期尽管做了许多“自证清白”的工作,但它所提供的“第三方测评”,其测试对象只是产品本身,不涉及其产品运营体系。而旗下囊括服务器(云安全中心)和客户端(安全卫士、杀毒、浏览器等)在内的360相关产品之下,360并非传统的独立软件提供商,而是同时兼具其产品的提供商和超级用户的角色,因此其一般用户的系统安全和信息安全风险并非目前的测评标准或规范所能涵盖,这是公共云计算时代在安全领域的崭新课题。这些都是其所谓“权威认证”无可辩驳的硬伤。
(出于对记者人身安全的考虑用化名)

您可能还喜欢…

发表评论

邮箱地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>