腾讯丁珂回应“XP挑战赛”：安全是件严肃的事

pizza

4月8日起，微软即将停止Windows XP的服务，谁来保护2亿XP用户的安全？4月5日的XP挑战赛，更是让人毛骨悚然：先是比赛结果显示除360XP盾甲外，国产安全软件无一能在黑客之下幸免。随后第二天又爆出360XP盾甲在10秒钟内就被黑客攻破。整个XP挑战赛随即被识破是一场骗局，定性为一次公关事件，更有人直接指出背后疑似是某安全公司推动。         这场比赛的结果究竟该如何看待，这样的比赛到底有多大的参考意义？我们的XP系统是不是真的无法再安全地使用了？4月7日，人民网对腾讯安全负责人、腾讯公司副总裁丁珂进行了采访，丁珂首次针对“XP挑战赛”进行了表态。                    腾讯副总裁丁珂         “互联网安全是件严肃的事情，而这场比赛近似儿戏，除了哗众取宠，没有任何意义。”在丁珂看来，要想保证公正的结果，首先要有公平的程序和规则，而整个XP挑战赛显然不完善。例如，主办方没有任何的相关资质，是一家去年9月刚刚注册，今年1月才备案的新公司；比赛中，没有符合资质的评审，技术把关也就无从谈起；而如何筛查报名者，怎么评价他们的技术能力和保证他们的正直也没有说明；再有，赛制也有问题，参赛版本也是未经腾讯确认，随意下载部署的。         丁珂在采访中透露，比赛之前腾讯并不知情。但据记者了解，360却为比赛提供了专用的竞赛用XP盾甲版本，而不是通常的用户版本；有消息称360为了这一比赛已经准备了将近一个月，而这一周期远远超前了“XP 挑战赛”的公布时间，意味着奇虎360有可能提前主办方已经知道了这场比赛。         知名黑客tombkeeper在其博客中则认为国外虽然有Pwn2Own这种类型比赛，但选手是来参赛的个人，而不是XP挑战赛的安全厂商。而比赛设计确实有问题，并且建议如果再搞类似比赛，应以“模拟真实环境”为第一要旨。         360首席隐私官谭晓生承认比赛的确存在一定的不合理性，360XP盾甲是4月4日刚出来的新版本，而攻擂者只有20个小时对其做研究，所以挑战成功的难度比较高。         针对XP挑战赛360使用沙箱（隔离）技术所以特别安全的说法，丁珂表明是否采用沙箱技术只是安全策略的不同，并不代表防护能力。如果把操作系统比成一座房子，都会留下一扇大门供人进出，用户能进去，黑客也能进去。沙箱的做法是直接将大门封死了，比较极端。从安全的角度考虑，这样当然是最安全的，黑客的确进不去了，门都没了。但问题是，用户也没办法进去了。事实上，有些用户也的确遇到了问题，例如微信网页版、搜狗输入法等无法正常使用，开机速度变慢，甚至蓝屏。         腾讯电脑管家XP专版，选择的是一种更先进合理的方式，大门依然敞开，但是在门口设置足够强的力量和敏锐的设备，一个个的筛查，做到既让用户进去使用房子，又不让黑客有机可乘。腾讯更注重在用户体验和安全可靠保障中达到动态平衡，所以腾讯电脑管家XP专版开启了XP黑客防御、XP系统加固、XP漏洞修复体系，保证用户使用既便捷高效又充分的安全可靠。                  比赛大肆宣扬的所谓1分钟攻破安全软件，在丁珂看来也只是表演性质。1分钟攻破的背后需要事前用数星期或者数月的准备、在特定的软件版本之下来发现漏洞。如果单纯静止的看，是没有攻不破的安全系统的。而现实世界的真实情况是，在黑客挖掘系统漏洞的同时，安全厂商也在和他们竞赛先发现漏洞，先弥补。整个体系是在挖和补的博弈中，形成动态的生态安全。        “我们相信中国的安全企业有足够的能力守卫中国用户的电脑安全。并且会协助国家和政府探索出更有创新，更具前瞻的安全生态体系。保驾护航我们未来的便利生活，如移动支付、安全扫码。”丁珂毫不怀疑后微软时代XP用户的安全保障。事实上，微软也早就为用户做好了选择，4月4日就已经发布了官方认可的、以腾讯为首的XP系统保护企业名单，并联手腾讯、联想发起了“XP用户支持行动”。

22667999

安全是件严肃的事, 所以腾讯这个不严肃的公司就轮不上这事了

红芽芋

不知道楼主是学什么的，不过奉劝楼主少给企鹅洗地，洗的不好会越洗越黑的

西伯利亚渔夫

不是有人发过了么

hddu

红芽芋 发表于 2014-4-8 11:55
不知道楼主是学什么的，不过奉劝楼主少给企鹅洗地，洗的不好会越洗越黑的

个个都是洗地工。

破军

企鹅跟数字的差距不在节操上，这上面没差距。

差距在手段上，以后招人别光招码代码的，也招点出幺蛾子的。

pizza

破军 发表于 2014-4-8 12:57
企鹅跟数字的差距不在节操上，这上面没差距。

差距在手段上，以后招人别光招码代码的，也招点出幺蛾子的 ...

专注产品要比耍些小手段炒作有意义的多~

相关问题上举两个例子：先不管该测试是否正规合规 是否公平公正 只看测试用的版本——测试用版在现在及以后都不会发行（防护并不适合网民使用） 就如仅进行检出测试 那么各种文件都报的“高启发”结果可能会相当好看；一个系统中有微软office办公套件时 就应为对应威胁进行防范 但若以禁用word的方式宣称已对相关威胁进行防范则并不妥当 此为木马行为；比赛前进行了长期准备 预留漏洞使用&赛中采用不合理的防御机制 进行了非常规限制 都不能体现现实环境中杀软的防护能力

破军

pizza 发表于 2014-4-8 13:04
专注产品要比耍些小手段炒作有意义的多~

话是不错的，只是放在企鹅头上它不敢当，企鹅对用户耍的小手段真的不算少。

还是前面那句话，节操上真的没啥差距。

pizza

破军 发表于 2014-4-8 13:15
话是不错的，只是放在企鹅头上它不敢当，企鹅对用户耍的小手段真的不算少。

还是前面那句话，节操上真 ...

当然都会尽一切可能让企业更好发展 国外有谷歌 微软 赛门铁克 等 国内有腾讯 华为 阿里 等 他们互有合作也有竞争 甚至也打过官司 不过这不同于奇虎360那样的不择手段 性质上是不一样的

不完全列举：

奇虎360恶意引导卸载多家应用商店 http://bbs.kafan.cn/thread-1634543-1-7.html

360诋毁其他产品以炒作并强推自家产品 http://tech.china.com/news/net/d ... 30929/18070607.html

最高法判决360不正当竞争 http://tech.cnr.cn/techgd/201402/t20140225_514930549.shtml

劫持截流其他产品以牟取不当利益并强推自家产品 http://bbs.kafan.cn/forum.php?mo ... 90&pid=30256394

“老赖”周鸿祎被惩戒 http://bbs.kafan.cn/thread-1701654-1-1.html

破军

pizza 发表于 2014-4-8 13:25
当然都会尽一切可能让企业更好发展 国外有谷歌 微软 赛门铁克 等 国内有腾讯 华为 阿里 等 他们互有合 ...

数字的“不择手段”，要看怎么看了，其实也可以理解为“法无禁止即可为”，甚至“法无威慑即可为”，从这个角度数字的理念很先进哦。恐吓用户、抹黑对手、雇佣水军……这些伎俩谁是始作俑者其实老网民都清楚，能混到现在的款式不是光靠运气的。