4月8日起,微软即将停止Windows XP的服务,谁来保护2亿XP用户的安全?4月5日的XP挑战赛,更是让人毛骨悚然:先是比赛结果显示除360XP盾甲外,国产安全软件无一能在黑客之下幸免。随后第二天又爆出360XP盾甲在10秒钟内就被黑客攻破。整个XP挑战赛随即被识破是一场骗局,定性为一次公关事件,更有人直接指出背后疑似是某安全公司推动。
这场比赛的结果究竟该如何看待,这样的比赛到底有多大的参考意义?我们的XP系统是不是真的无法再安全地使用了?4月7日,人民网对腾讯安全负责人、腾讯公司副总裁丁珂进行了采访,丁珂首次针对“XP挑战赛”进行了表态。
腾讯副总裁丁珂
“互联网安全是件严肃的事情,而这场比赛近似儿戏,除了哗众取宠,没有任何意义。”在丁珂看来,要想保证公正的结果,首先要有公平的程序和规则,而整个XP挑战赛显然不完善。例如,主办方没有任何的相关资质,是一家去年9月刚刚注册,今年1月才备案的新公司;比赛中,没有符合资质的评审,技术把关也就无从谈起;而如何筛查报名者,怎么评价他们的技术能力和保证他们的正直也没有说明;再有,赛制也有问题,参赛版本也是未经腾讯确认,随意下载部署的。
丁珂在采访中透露,比赛之前腾讯并不知情。但据记者了解,360却为比赛提供了专用的竞赛用XP盾甲版本,而不是通常的用户版本;有消息称360为了这一比赛已经准备了将近一个月,而这一周期远远超前了“XP 挑战赛”的公布时间,意味着奇虎360有可能提前主办方已经知道了这场比赛。
知名黑客tombkeeper在其博客中则认为国外虽然有Pwn2Own这种类型比赛,但选手是来参赛的个人,而不是XP挑战赛的安全厂商。而比赛设计确实有问题,并且建议如果再搞类似比赛,应以“模拟真实环境”为第一要旨。
360首席隐私官谭晓生承认比赛的确存在一定的不合理性,360XP盾甲是4月4日刚出来的新版本,而攻擂者只有20个小时对其做研究,所以挑战成功的难度比较高。
针对XP挑战赛360使用沙箱(隔离)技术所以特别安全的说法,丁珂表明是否采用沙箱技术只是安全策略的不同,并不代表防护能力。如果把操作系统比成一座房子,都会留下一扇大门供人进出,用户能进去,黑客也能进去。沙箱的做法是直接将大门封死了,比较极端。从安全的角度考虑,这样当然是最安全的,黑客的确进不去了,门都没了。但问题是,用户也没办法进去了。事实上,有些用户也的确遇到了问题,例如微信网页版、搜狗输入法等无法正常使用,开机速度变慢,甚至蓝屏。
腾讯电脑管家XP专版,选择的是一种更先进合理的方式,大门依然敞开,但是在门口设置足够强的力量和敏锐的设备,一个个的筛查,做到既让用户进去使用房子,又不让黑客有机可乘。腾讯更注重在用户体验和安全可靠保障中达到动态平衡,所以腾讯电脑管家XP专版开启了XP黑客防御、XP系统加固、XP漏洞修复体系,保证用户使用既便捷高效又充分的安全可靠。
比赛大肆宣扬的所谓1分钟攻破安全软件,在丁珂看来也只是表演性质。1分钟攻破的背后需要事前用数星期或者数月的准备、在特定的软件版本之下来发现漏洞。如果单纯静止的看,是没有攻不破的安全系统的。而现实世界的真实情况是,在黑客挖掘系统漏洞的同时,安全厂商也在和他们竞赛先发现漏洞,先弥补。整个体系是在挖和补的博弈中,形成动态的生态安全。
“我们相信中国的安全企业有足够的能力守卫中国用户的电脑安全。并且会协助国家和政府探索出更有创新,更具前瞻的安全生态体系。保驾护航我们未来的便利生活,如移动支付、安全扫码。”丁珂毫不怀疑后微软时代XP用户的安全保障。事实上,微软也早就为用户做好了选择,4月4日就已经发布了官方认可的、以腾讯为首的XP系统保护企业名单,并联手腾讯、联想发起了“XP用户支持行动”。