二步曲:检测样本“云遮雾障法”
近年来,360在安全产品评测方面,做了许多工作,但据业内专家、知情人士透露,360在评测中有许多地方“含糊不清”,“给这些评测结果打了问号”。赵伟便对《每日经济新闻》记者指出,“360的许多评测,值得好好推敲,不然会给这个行业开个坏头。”
一位深度参与相关评测工作的业内专家提供证据指出,2012年10月,360送检中国信息安全测评中心的测试样本“有问题”。
其主要问题有:其提供的样本监测目标,仅为针对其安全浏览器的登录管家模块:串号登录问题;评测报告并未注明所代表的产品版本,仅能看到评测模块的版本为“1.2.0.1071”;更为蹊跷的是,评测报告发表当日,从360官方下载的最新浏览器登录管家模块版本却是“1.0.8.1070”,明显低于送检版本,而送检版本属“未来”版本。
该专家进一步指出,2012年10月29日,360向中国软件评测中心送检了评测,评测目标是:360安全浏览器数据上传下载已加密,并经过用户许可;360安全浏览器可以正常安装和卸载;以及360安全浏览器的 “云查询”功能以密文方式加密传输。但技术验证报告,却没有注明具体的产品版本和模块版本。
中国人民大学教授石文昌也曾对这份由中国软件评测中心出具的测评结果表示质疑,主要表现在:第一,对安全评测思想及其中的EAL概念不了解;第二,对产品的安全性概念了解不够。
同样的问题也出现在“东方之星(Starcheck)认证”中。
所谓“东方之星(Starcheck)认证”,是国际上著名的评测认证,由美国西海岸实验室实施认证。如果达到“东方之星(Starcheck)认证”,则表明该产品已达到较高水平。
该次检测的产品版本是360安全卫士的5.1Beta版,其安装量很小。赵伟认为:“其不具备代表性”。
独立调查员认为,360在2月28日的媒体发布会上公开出示的所有第三方认证的产品等级测试均为黑盒测试范畴(EAL4及以上才是白盒测试级),而像此前独立调查员曝光的360浏览器后门机制,则到了白盒测试的深度。360以黑盒测试的结果来否定白盒测试结论显然是“隔靴搔痒”。
此外,独立调查员进一步指出,这些测评所涉及到的测试对象、测试性质均与其被质疑侵犯隐私权、不正当竞争等行为无关,其无法“自证清白”。
![S1FD8IYHLG]H}Y4)E()T0H9.png](../../zt2017/201807/W020180712352492550202.png)
