经过数月调查,《每日经济报道》提出命题说,360的成功不在于“破坏性创新”,而在于“创新型破坏”:通过破坏,打破既有规则,从中获得市场与利益。而这一破坏的基础,便是对互联网世界最基本的准则——最小特权原则的践踏。
360发家于 “360安全卫士”、“360安全浏览器”,而这两款产品甫一面世,便携带了这家公司的癌性基因:以违反“最小特权原则”为基石而构建。《每日经济报道》说,在“安全卫士”、“安全浏览器”软件中,360会植入非法程序,并通过该非法程序中的“后门机制”与360云端配合,形成全球独一无二的秘密内部机制。而当360要发动一场讨伐竞品的战争时,其便启动“V3机制”——通过“安全卫士”、“安全浏览器”,在用户电脑中私自卸载竞争对手的产品,私自安装自己要推广的产品,从而以最便捷的方式一举占领市场,这就是360常胜不衰的真正秘诀。
这不仅对行业有巨大的破坏性,对互联网秩序产生严重的破坏力,更是对整个社会产生“癌性浸润”,让原本的市场竞争转向了底层控制力的交战。于是,百度即将砸重金投向安全领域,最快将于今年上半年正式推出,这与经历“3Q大战”的腾讯进驻安全领域如出一辙。这样带来的直接后果就是,未来中国互联网将变成一个腾讯、百度、阿里、360“四国顶立”的擎天柱式体系。
最小特权原则
所谓最小特权(Least Privilege),指的是“在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权”;最小特权原则,则是指“应限定网络中每个主体所必须的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小”。
这一特权最通俗的说法就是:你不要代替用户行使权力,你的特权越小越少越好。这样,才是对用户最大的保护。能不作为处,不作为。
“而奇虎360的‘基因变异’正体现在此处,表现为 ‘奇虎360原则’——以安全的名义,在用户知情或不知情的情况下,直接代表网民行使权益。”《每日经济新闻》采访的独立调查员说。
在深圳红树林,独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器,并打开网络通信监视工具,这时可以看到,360安全浏览器在其电脑后台上就像一只工蜂,始终不停地忙碌着。然后,独立调查员又打开IE、腾讯、猎豹、chrome等浏览器,每一个浏览器都很安静,没有任何动作。
“明明知道360在做不应该发生的事情,但不知道发生的是什么事情。这就是360留给中国所有安全专业人员最大的课题。”独立调查员说。
360的危险逻辑
从这个图中可以看出,360安全卫士对用户在电脑上进行软件操作、文档操作等所有操作举动均秘密进行监视、记录,然后进行压缩后上传至云端服务器;过去,上传的过程为明文上传,这对用户的隐私带来非常严重的威胁,在经历过几次大的泄密事件后,目前上传文件已经加密。
文件上传到360云端存储后,文件会立即在本地被删除,这招防御术非常凶狠,即使有人破解其行为,并获得文件证据,但因为随时的删除,很难将证据做实,变成死无对证的孤证。
用户电脑中的360安全卫士这一套运行机制都是事先预设好的,可以独立操作完成;但实际上,360云端(360安全数据中心)对用户客户端的360安全卫士具备直接控制能力。360云端不仅可以下达专门的指令(后文还将详述),同时一旦360安全卫士发现有人在监视其通信操作等,会发出安全警告以阻止继续操作并限时自行禁止。这也给破获工作带来相当程度的干扰。
商业模式之裁判员+运动员
作为互联网安全厂商,最重要的特性,就是恪守“第三方安全”准则:不得随意代替用户作决定或处理;不得以安全的名义,为厂商自己牟利;不得在安全领域,既当运动员,又是裁判员。
但360恰恰就在这些方面,完全违背了安全厂商的基本准则。当360安全卫士、360安全浏览器植入用户电脑的时候,360便通过它们在用户知情或不知情的情况下,直接代替用户做决定,完成各种动作。这是360致胜的法宝。
比如,“电脑安全性评分”是360安全卫士最重要的基础性功能。360安全卫士会自动扫描客户端所在系统的“安全隐患”,不符合360“安全标准”要求的就扣分,但评分标准和权重并不公开。全新安装的Windows7,在开启自动更新、尚未安装任何第三方软件前,360安全卫士对其安全评估结果竟是0分 (满分100分)。,直到“安装360浏览器并设定为默认浏览器”、“修改首页为360导航”后,安全性评分才接近满分100。
独立调查员向 《每日经济新闻》记者分析说,360的发展路径,即从360软件产品底层技术构架开始,埋下不同于所有互联网公司发展的“癌变基因”,然后,此“癌变基因”通过浸润,向操作环境领域发展,再向工具软件、游戏平台发展,最终进入真正的互联网领域——导航、搜索、电商网站,以及电商网银体系等。
商业模式之V3升级机制
任何一个公司的软件在下载时,都必须基于用户的意愿。即使是微软的Windows软件,其升级或上线时,也是在微软公司的提示下,用户同意后,方可升级或上线。在这方面,用户具有知情权、同意权。任何剥夺或变相剥夺用户这两个权利的下载,都是违法的。对一些特别清晰而简单的下载或升级或优化,也可以通过“一键优化”或“一键修复”等来实施。
但360多年来并非依此执行。一方面,360通过“一键优化”或“一键修复”,绕过用户的一步步审核,要么将竞争对手的软件给优化掉,要么就是在下载中夹带“私货”,将其最想推广的软件悄悄直接代替用户下载了。另一方面,360甚至不需要用户的“一键优化”等,在暗中直接给用户的电脑(或手机)下载其推广的软件。这也就是业内人最为痛恨的“静默安装”,“静默升级”等。这就是360内部的“V3升级机制”。
据《每日经济新闻》记者调查,一键优化,是通过360安全卫士,即通过客户端执行;“静默安装”,则是直接通过云服务器发布指令执行的。而“V3升级”即是360产品线最重要的捆绑安装渠道,最主要的推广“母体”是360安全卫士与360浏览器。
在360,除产品、技术之外的员工,对V3机制知之甚少。即使是核心员工,也并非知道其中的全部路径。而要申请使用这一通道,更是需要非常复杂的申请手续,甚至据称,最终的拍板决定权,也仅在周鸿祎一人手中。即使在总裁齐向东已批准同意的情况下,最终仍需经过周鸿祎的批准。
哎。360。你怎么说?
全文见此。