知名白帽子、知道创宇安全专家余弦表示,安全测试虽然采取黑客进攻的模式,但本质是为了发现漏洞,及时修复。而不是借安全测试之名,行打击对手之实。
漏洞百出的比赛和违法的操作方式
尽管360公司曾经因为十几次不正当竞争诉讼等败诉而声名狼藉,但是此次比赛中360再次扮演的“小红帽的奶奶”角色仍颇为令人瞩目。
此外,此次“XP挑战赛”主办方资质、比赛规则等受到普遍质疑,尤其因为部分参与者“既是裁判员又是运动员”的双重身份,引发了行业关于此次挑战赛合法性及“不正当竞争”嫌疑讨论。
合天智汇在举办此次挑战赛之前,并未得到参与评测软件的授权,其本已经是违反行业规则的行为。同时,此次挑战赛没有赛程报道,没有评审,全部暗箱操作。很多人都是通过合天智汇、甚至有些重要结果和细节是通过360的微博才知道结果,严重存在黑箱操作的嫌疑。
更令人质疑的是,主办方在大赛举办前更改了比赛名称,删除了自身的虚假介绍。事后的新闻稿发布也显示,主办方的称谓已经心虚的由权威机构改为了“民间机构”。
对于主办方的诚信力,更有一位网友套用一条诈骗短信反讥主办方:“合着您号称我账户不安全,是为了让我把账户里面的钱打到您提供的安全账户上啊?” 王健进一步指出,如果主办方不诚信,则比赛的任何结果也无意义。
不仅比赛主办方是一家有多处虚假介绍的公司,比赛自身也是充满了各种不利于其他竞争对手的比赛条件和规则。谷明指出,参与此次评测的360XP盾甲实为为应对比赛而推出的“非正式版本”,用户在实际使用时会存在很多问题,严重影响用户体验。“用一个铁盒子盖住自己再比赛,这不是公平的竞争条件。”
安全论坛的用户对此响应颇为热烈。有专业安全人员在安全论坛上表示,在安装此“非正式版本“的Windows XP系统上,会出现用户电脑性能严重下降,甚至系统蓝屏、搜狗输入法和word文档等程序无法打开的情况。这种虚假安全方式不仅牺牲了用户体验,更是对用户的一种误导。
而在“XP挑战赛”后,众多没有办法取得比赛报名资格的高手黑客和白帽子们纷纷质疑比赛的结果。一名注册ID为“小小小乖兔”通过知名安全论坛卡饭论坛向赛事主办方送上“问候礼”--宣告10秒钟即攻破了360“正式版本“的XP盾甲,直接上传窃取了由360盾甲保护着的电脑上的文档,而360盾甲对此没有报警拦截能力,形同虚设。
不久最新的视频已经显示黑客用五秒钟攻破XP盾甲。
于志刚表示,当前国内安全行业缺乏有效的法律监督机制,虽然有《工信部20号令》以及《互联网安全自律公约》进行规范,但只有引导作用,并不具备法律效力。因此,如何有效制止国内安全行业企业不正当竞争行为是十分重要的。
针对此次“XP挑战赛”,余弦认为,国际通行安全测试形式本应是更好保护网民安全的重要评测,而“XP挑战赛”测试形式,则将其变成了恐吓用户、抹黑对手的工具。已经严重损害了国际通行安全测试在网民心目中的权威性,具有极大的破坏性,“是一个坏的开始。”