“XP挑战赛”是为 360 量身打造的一场秀

昨天,“XP挑战赛”落下帷幕。合天智汇新浪官方微博发布的最终战报(21:00)为:腾讯共有32人进行挑战,9人攻破。金山共有39人进行挑战,13人攻破。360共有30人进行挑战,无人攻破。

合天智汇微博

但在随后的23点37分,腾讯微博的 NetBeep 发微博表示,XP 挑战赛其实是零信用主办方为前科累累又极高调的“参赛者”360 量身打造的一场秀。

NetBeep 的微博

下面是所附带长微博的文字版本——

“目标机防护产品选择国内宣称可以保护 XP 的安全软件,包括 360 安全卫士(XP 盾甲)、腾讯电脑管家(XP 专属版本)和金山毒霸(XP 防护盾)。参照国际惯例,安装当前各个安全厂商的 4 月 4 日中午 12 点的最新版本(比赛时间为 4 月 5 日早上 8 点),并开启全部 XP 加固防护功能,本公司郑重承诺:安全软件版本来自各软件的官网,且没有经过任何修改。”

“挑战者控制目标机打开 IE8.0 访问问网站 http://10.1.1.25/attack.html,从目标机上获取指定的 doc 文件(比赛开始时临时分配路径)。”

1、主办方零信用

湖南合天智汇信息技术有限公司,2013 年 9 月注册,法人代表刘耀。其网站备案号湘 ICP 备 14001562 号,负责人郝晓静,2014 年 1 月备案。

一个新公司的所谓“本公司郑重承诺”,信用分有多少?

零。

零信用的主办方“合天智汇”为前科累累又极高调的参赛者“360”,这是什么节奏?

这是一场结局毫无悬念的秀,唯一悬念是“合天智汇”从“360”收了多少广告推广费。

2、“开启全部 XP 加固防护功能”后,唯有 360 启用对 IE 及 Office 软件开启虚拟隔离保护

沙箱处理后,限制部分敏感权限,包括但不限于文件读写、注册表读写等,或者“另起炉灶”转移实际读写对象,甚至完全禁用 UNC(通用文件资源路径规范,类似“\ComputerNameShareNameFileName”),而“合天智汇”主办的所谓竞赛项目“恰好”就是以网页脚本利用 IE 漏洞读取用户文件,且仅此一项。

而腾讯电脑管家(XP 专属版本)开启 XP 黑客防御、XP 系统加固、XP 漏洞修复体系,不包括特别隔离保护,安全沙箱并未归入 XP 专属安全功能集,而是继续留给用户根据需要而定。

显然,启用沙箱处理(或隔离保护),安全性更高,但部分功能不可用或受限。

因此,这个单项“竞赛”,在起点上就不公平,企图以“安全策略的不同”偷换为“防护能力的差异”,误导公众给予 360 安全产品防护能力“更高”的评价,从而达到贬低腾讯的目的。

3、“一分钟破解”实为“一分钟表演”

根据过去的各种安全产品测评记录可知,没有哪个安全防护产品能做到 100% 防护,即使微软继续支持 XP 安全更新都不行。

而此次所谓“竞赛”早已公告,且是一个没有安装最新补丁的 XP,存在大量不同威胁等级的已知安全风险,“黑客”可以提前近1个月做足准备,所谓“一分钟破解”实际上只是“一分钟表演”而已。

如果 360 的“XP 盾甲”不启用隔离保护,在同等条件下“一分钟破解”360 并非什么难事。

4、反对“极端安全主义”

安全防护产品需要解决的是在安全性与可用性、性能等用户体验的关键指标之间寻求最佳平衡,而不是只讲安全性、不讲可用性和性能,只讲安全性就是极端安全主义,是我们应该反对的。

事实上,”极端安全”比”平衡安全”更容易做到,而不是更难做到。

从平衡安全的角度来说,腾讯的安全策略更可取。

5、看看后果:各种莫名其妙的问题,用户搞不明白,360 揣着明白装糊涂基本不予回应。用户当问:“我需要这样的‘安全’吗?”

2014/3/1

“昨天安装了360XP盾甲后,微信网页版无法登陆!”

http://help.360.cn/5030804/259247971.html

2014/3/14

“360的XP盾甲打开后,设置了关键程序隔离引擎,然后局域网打开的对应程序(如Excel)编辑后无法保存!保存时提示已被其他程序占用。”

http://help.360.cn/5030804/259335307.html

2014/3/15

“下了360xp盾甲以后开机从20秒变成了2—3分钟 机子变得好卡 而且有时候会蓝屏 是什么问题?”

http://help.360.cn/5030804/259348644.html

2014/3/21

“在安装了360XP盾甲系统后,把word、excel、PP等软件都置于它的保护下了,可是今天,不知何故,搜狗拼音输入法,无法在上述三款软件下正常使用……”

http://help.360.cn/5030804/259375858.html*(截止发文时,帖子已不存在。——闪闪的星
注)*

2014/3/25

“自从装了XP盾甲后,在EXCELWORD页面上就不能用搜狗输入法输入文字了,用什么方法解决?”

http://help.360.cn/5030804/259401929.html

2014/3/31

“今天中午安装360遁甲之后好像出了问题了.显示进去浏览器左下角显示什么验证,基本1分钟才会显示出来.网页游戏登陆到账号密码就是无法显示出来.另外的QQ空间也是能进去.但是游戏也是玩不到……”

http://help.360.cn/5030804/259437437.html

2014/4/5

“我打开XP盾甲,然后就鼠标不能动了,然后过了一会就蓝屏了……”

http://help.360.cn/5030804/259468291.html

而实际上,在当天的18时39分,腾讯电脑管家就发微博表示“没有任何机构邀请我们参赛”,“此前微软更是选择腾讯电脑管家作为首个合作的XP系统防护产品”。

腾讯电脑管家的微博

“保护XP的根本问题在于防御漏洞攻击。本期挑战以XP SP3 无补丁环境 作为目标机(模拟微软停止服务后漏洞百出的XP系统)。”官网的这段话也明显误导了广大电脑用户,使其认为微软停止服务后,XP 就一身漏洞了——它居然不把原来的补丁算回事!

再结合科技杂谈家的《XP挑战赛“一分钟攻破”遭质疑,360被批作秀》,我们看到,“XP挑战赛”疑点多多,其结果万万不可认真对待;360 也不是那么强大的。

当然必须指出的是,你拥有信仰自由。我们在批评一个事物的时候必须有充足的证据,像另外一篇报道就显得十分不可信。我们一定要辩证思维;因而无论你是否完全信服本文的观点和论据,我还是希望你最好明白:没有能让你电脑百分百安全的安全软件,不能轻易掉进它们的宣传和作秀的陷阱中。

最后引用胡适先生的一句名言作为结尾:大胆假设,小心求证。

若无特别说明,本文系原创,遵循 署名-非商业性使用 3.0 (CC BY-NC 3.0) 协议,转载文章请注明来自【闪星空间】,或链接上原文地址:http://shansing.com/read/335/

8 条评论

  1. 我一直感觉尽管明天微软停止提供对xp的支持也对电脑产生不了太大威胁,在今天若弄不好电脑也会中毒,而明天若弄得好也不会中毒,我看很多报告说得4月8日一到xp的电脑就完了似的

    1. 你是对的。连微软自己都承认,大多数中国用户在过去的时间里并不使用 Windows 自动更新服务。其中一部分人不打补丁都没事,另外一些人使用第三方软件修复漏洞。实际上,漏洞修复已经到今天这个地步了,可以停止了,让安全软件防护去吧。

  2. 我也感觉这次XP停更事件360是最大赢家。。就算竞争对手,都是拿360来作比较,其优劣已不言而明啦

    1. 明显 360 的地位不可小觑啦。但是是不是实力的问题那我就不评论了。

  3. 很多公司继续提供服务啊

    1. 没错,但是微软“承认”的(联合的)厂商不包括 360 哈哈

  4. 差不多,特别是赛前8小时就已经出结果了- -360这是有多黑啊

  5. 360?呵呵,你吹上天我也不会用了,8 年算老用户了吧,亲眼看着 360 变成垃圾。

发表评论»

NO SPAMS! 不要发垃圾评论哦!

表情