AD
张昊
“Windows XP(下简称"XP")退役”这件事因为一些并没有必然联系的偶发事件,而正在超出预期地发酵着。就在4月7日,微软正式停止对XP后续服务的前一天,一个名为“心脏出血”的基于SSL文件的漏洞被爆出,据说之后的两天,共计约2亿的网友访问了存在该漏洞的网站。
“这件事跟XP停止服务其实是完全独立的两件事。”360首席隐私官谭晓生称,“但毫无疑问,后者的影响太深远,在未来的3到5年里,你会看到越来越多的网络安全事件。”
民众的神经已经高度紧绷,媒体在不断地渲染,“心脏出血”会牵扯到所有跟网银、在线支付、邮件等私密信息相关的互联网服务。而此前,“XP十分钟之内必被感染”的言论也充斥在互联网上。从某种角度上讲,XP停服这件事成了近期所有信息安全问题的触发点。
但这反而成了国内几家安全厂商眼中的“天堂”。之前媒体还在猜测微软会因为用户的系统升级而成为最大的获利者,他们的逻辑是如果国内2亿多的XP用户中有一半升级到更高的操作系统,那么微软的收入就会超过100亿元。
而实际上这都太理想化,中国互联网信息中心的数据显示,有大约57%的中国XP用户抱着“能拖就拖”的心态,计划继续使用XP,仅有25.06%的被调查者会主动更换系统。“这个过渡期,保守估计也要1到5年。”北信源(300352,股吧)首席战略官胡建斌称,就连这家一直都很低调的安全厂商都趁势推出了专门的产品——金甲防线。
他们都在争一个超过60亿元的市场,这是机构预测的数字,整个过渡期会给这些安全厂商带来足够大的想象空间。而360和腾讯这两个巨头肯定有更多的想法,也许经过这一战,在它们较劲多年的信息安全领域,胜败就会定了。
匪夷所思的战争
微软并没有进一步的声明,现在的局势其实有点偏离他们的初衷。3月,他们曾先与腾讯等几家厂商结成了所谓的“扎篱笆”计划,意思就是让腾讯提供XP的后续服务,而名单中并没有360。
一个没有经过微软证实的传言称,微软之所以选择腾讯,正是因为后者愿意给前者提供系统升级的通道。而360此前在自己办公楼的外墙上挂出了“XP别怕,360负责到底”的巨幅标语,这让微软有些“误解”,360只关注安全,并没有考虑到微软未来的商业计划。
这在之后微软的公告中间接地得以验证。“扎篱笆”计划之后没过几天,微软就宣布了跟360的合作,“我们与国内著名的安全软件公司奇虎360一起合作,为国内广大XP用户持续提供过渡期间的安全防护服务,以及便捷的Windows 8升级方案。”公告的第一句便这样写道,而在前一次的公告中,微软并没有刻意提到腾讯需要有相关的“升级方案”。
中国政府在这件事上的态度也很强硬,即便没有公开的数字,但XP是政府采购规模最大的一款微软操作系统。在国内的2亿XP用户中,有很大一部分都是政府客户。
这个情况不仅仅存在于中国。英国政府花费了约550万英镑向微软购买了未来12 个月的XP和Office 2003 的后续支持,英国国家卫生署所使用的80万台电脑中,有85%还在用XP系统;荷兰也与微软达成了协议,它的情况和英国大致相同;美国的情况不算严重,但联邦机构使用的电脑中,也有10%仍在使用XP系统。还有更加庞大的金融体系,它的问题很复杂,因为全球95%的ATM机都还没有完成XP系统的升级。
对此,微软全球法律与企业事务副总裁兼副总法律顾问Rich Sauer 在接受经济观察报采访时表示,“银行的ATM机是放在封闭网络上的,而不是放在互联网上,所以从这个意义上来说,ATM用XP的安全性不是一个问题。当然我不是说它就没有安全问题,而是说它比起家庭(设备)面临的安全威胁小得多,银行对ATM所面临的风险他们是非常了解的。当然我们也在做一些支持,确保对银行的安全性威胁降到最小,我们帮助他们提供很多安全方面的加强措施,帮助他们过渡到新的操作系统。”
但中国政府的态度还是让微软不得不对中国实行区别化对待,方式就是与几家国内安全厂商战略性合作,在国外,微软并没有宣布官方指定的合作伙伴。这其中除了国内XP用户规模过于庞大的原因之外,微软想要通过云等新的战略层面的服务在中国重新夺回制高点,这自然需要“讨好”中国政府。
360和腾讯自然对这种状态求之不得,道理很简单,他们会成为这部分用户绝对的刚性需求。但难度在于过渡期将由他们来主导,这是对各家厂商技术水平的真实考验。因为他们不仅仅要提供杀毒服务,更多的任务会集中在要求更高的漏洞查补上,此前他们只要把微软自己发布的漏洞补丁推送给用户就可以了。
而如果一方出现些许差池,它丢掉的将不仅仅是XP用户,很多非XP用户也会因此而倒戈,这一点显而易见。双方早就开始花巨资在囤积信息安全方面的人才,“我们把行业挖人的标准提高了很多。”谭晓生说,在360的实验室里,江湖上的大牛已经不在少数了。
所以,微软并不十分理解现在的局势,一位不愿具名的微软内部人士称:“这个问题挺匪夷所思的,也只有在中国,停掉一个项目才会引发如此大的效应。”但现实情况是,到了这个阶段,每家安全厂商都不得不把它放在最重要的位置上。
小算盘
360开始猛推它的“XP盾甲”,它的野心不仅仅是在个人用户层面。它还专门推出了一款针对政企用户的产品——360天擎加固版。它的卖点就是用户可以通过一个控制中心,来控制局域网中各个搭载不同操作系统的终端。
腾讯也上线了新版本的“电脑管家”。在4月8号之前,各家针对XP的安全产品就开始上量。据北信源提供的数据显示,他们的“金甲防线”下载量过去几个月都保持匀速增长,但本周却突然增加了五倍,企业版的下载数量更是增加了十倍。360的推广方式更广泛和直接,其产品安装量惊人,360公布的数据显示,360安全卫士XP盾甲的开启量已在4月8日前突破2亿大关。在推广方面,360显然更积极,腾讯虽然最早宣布与微软合作,但之后并没有更实质的进展。
更有趣的是,4月5日,由一家名为合天智汇的公司举办的“XP挑战赛”高调开场。比赛的规则就是由187名黑客向360安全卫士XP盾甲、腾讯电脑管家XP专属版本、金山毒霸XP防护盾三款产品发起13小时的攻击。而大赛结果出乎意料,腾讯和金山在2分钟之内便被黑客攻破,而且之后还有多人多次攻破,而360以规定时间内没被攻破而胜出。
腾讯在当天就发出了声明,拒绝承认比赛结果,而在第二天的声明中,它又提到360所采用的“沙箱”技术虽然的确能防住黑客的攻击,但也锁住了一些功能,使得用户无法正常使用电脑,“就像两家银行比安全,一家把大门全部关闭不能正常提供服务,一家开门营业,这样没有可比性。”
谭晓生的回应是:“我们从2006年就开始用这种技术,并不是有了沙箱之后,用户什么事情都不能干,而是现在越来越多的系统和软件都开始用沙箱。”他提到包括苹果的iOS系统和谷歌的Chrome浏览器其实已经在使用沙箱技术了。
事实上,微软在操作系统的升级换代中,已不断引入沙箱等新的安全机制,使Win7/Win8对漏洞的免疫力显著提升。但XP是一款有着13年历史的“老”系统,来自微软的官方数据显示,XP用户遭入侵的风险是Win8的6倍。
微软停止XP补丁服务后带来的主要风险是漏洞得不到修复。这意味着,黑客可以利用漏洞远程入侵和控制XP用户电脑,盗取电脑上任意文件和账号密码。“系统有漏洞,就像一个房间的墙壁损坏,小偷可以随便出入。”中国国家信息安全漏洞库特聘专家袁仁广认为,“以往安全软件只能防木马病毒,对漏洞缺乏抵抗力。在冲击波蠕虫爆发、伊朗核设施被Stuxnet(震网)破坏、谷歌公司遭遇极光攻击等安全事件中,黑客攻击都是通过漏洞发起,安全软件基本形同虚设。”
尽管目前很多安全厂商宣布保护XP,也纷纷推出XP定制版本。但是在袁仁广看来,真正针对漏洞攻击进行完善加固的产品不多,“给老旧房子加装了铜墙铁壁”其实并不容易。
从2006年至今,Windows XP相关漏洞已修复了近1100个,不过已知的、公开的漏洞利用方法却是很有限的。“漏洞是子弹,漏洞利用方法是枪”,360 XP盾甲的理念是对漏洞利用方法进行针对性的防御,相当于废掉了漏洞攻击者的枪,即便有再多子弹也无法发射。
抛开公关的成分,这个事件对腾讯的打击不小,因为并没有多少用户去在意360究竟有没有像腾讯说的那样去“作弊”,现实情况就是腾讯阵营的两个产品都不合格,这会极大地降低用户对腾讯产品的信任度。
360提供的数据显示,目前已有超过2亿的用户安装并激活了XP盾甲,覆盖了国内80%左右的XP用户。4月8日,他们又宣布在原有网购赔付的基础上,翻倍提升XP用户的保障金额度。这项赔付政策是针对那些安装了360安全卫士,却依然因为钓鱼或木马遭受经济损失的用户。
但两家的一冷一热势必不会是常态,因为腾讯肯定不会坐视竞争对手抢走所有的市场份额。据一位不愿具名的安全行业人士透露,几家觊觎XP用户的厂商都在对产品做进一步完善,而真正的大战随时都有可能爆发。
可现在的当务之急还是尽快地用合格的产品去稳定所有用户的情绪,至少行业的一些传言的确在破坏着安全厂商的节奏。微软的一个客户经理这几天接到了无数的电话,他们中的大多数都在担心这几家国内的安全厂商是否有足够的能力去提供后续服务。
“我们爱所有windows的用户,但是XP已经有13年之久了,如果再加上初始三年的开发期,已经是16年之久的系统,换句话说它已经很老了。在这段时间我们给它提供补丁也好,给它进行维持,试图加以对它进行支持,这些事情我们都做了。但是现在我们得出结论认为,这套系统已经不符合现代生活的需要了,尤其是在数据安全方面。所以为了考虑到数据的安全性,你最好的办法就是过渡到新的操作系统上。”微软全球法律与企业事务副总裁兼副总法律顾问Rich Sauer 说。为了鼓励用户的迁移,微软和 360、腾讯共同推出的Windows 8优惠升级计划,价格只相当于原价的三折。“但很显然,几家厂商都不会在近期内去全力地配合我们,毕竟它们都在XP的产品上花了不少钱,这种混乱的状态反而是它们更接受的。”一位不愿具名的微软内部人士称。
