“XP挑战赛”主办方合天智汇：应该如何对待XP挑战赛的结果？

洋洋521

在XP系统正式停服前三天，一家民间公司合天智汇举办了一场“XP挑战赛”，以广发英雄贴的方式邀请黑客们对三款号称能防护XP系统的安全产品进行攻擂，这三款产品分别来自360、腾讯和金山。最终的比赛结果显示，腾讯42秒被攻破、金山1分34秒被攻破，360则坚守了13小时。

尽管比赛已经结束，但是比赛结果还是引发了安全圈的持续热议和关注。今天，比赛主办方合天智汇发布通过官微阐明了举办这场比赛的初衷和组织过程。据透露，合天智汇已将参赛者攻破相关产品的方法、代码等信息存放在第三方场所，并与产品被攻破的企业进行了联系，但这些企业没有给予任何回复，并不关心修复产品漏洞，而是不断对比赛发出质疑。

对此合天智汇表示：“只有那些能在被攻破后能承认问题、立即查找缺陷、并立即对缺陷进行修复和响应的产品，才是不断进步的产品。做产品就像做人一样，没有天生的十全十美，只有永远的进步与成长，只有这样才能受到大众的认可与青睐。”

以下为合天智汇官方博客文字http://blog.sina.com.cn/s/blog_eab03d570101ih49.html ：

4月5日21:00，由湖南合天智汇信息技术有限公司发起和主办的“XP挑战赛”鸣金收兵。此后，众多网站、论坛、微博等进行了大量的宣传报道和讨论，相关安全厂商成为了热议的焦点。俗话说“外行看热闹、内行看门道”，综观XP挑战赛引起的关注，也是如此。赛后，旁观者们有的力挺某甲，有的痛斥某盾，还有人假借合天智汇公司或员工的名义发表言论，这些言论明显不能代表合天智汇“第三方”的立场。当然，其中不乏有识之士从XP挑战赛中看出了举办方的真实用意。昨天晚上辗转多人收到一封邮件，传言江湖要开“XP挑战赛”的“公审”大会，会议的主题为“重塑安全秩序保护网民权益”的专家论证会，据来件：论证会以4月5日合天智汇公司举办的“XP挑战赛”及比赛结果为背景，将围绕主办方资质、比赛机制的合法性、比赛结果的公正性，相关企业的名誉损害及对互联网行业的危害性等几个方面进行论证。这就引出一个问题：应该如何对待XP挑战赛的结果?

从合天智汇官网、XP挑战平台官网等相关信息可以明白，合天智汇举办XP挑战赛的目的是：在互联网上开设公正、公开、公平的“XP+加固软件平台”公益性环境，通过公众参与打擂，对XP尚未发现的系统漏洞进行挖掘与通告，进一步增强各安全厂商产品针对XP的安全加固能力，增强我国现有XP用户的安全感，消除微软终止XP升级事件的民间恐慌情绪。

为使XP挑战赛广受关注并吸引有实力的挑战者参赛，合天智汇于3月26日在网络媒体启动相关活动宣传，并在宣传期间通过官方微博向被挑战安全厂商发送了相关消息。不过，因为公司名气太小，并没有引起各厂家的重视，也许各厂家对自己的产品深具信心而不必理会吧，总之合天智汇并没有收到各厂家的任何回应。媒体在报道XP挑战赛相关消息的同时，3月28日还发了一篇“‘XP攻击挑战赛’上线安全厂商无人应答”的报道。可见有些安全厂商确实没有关注合天智汇举办的XP挑战赛。

自3月26日XP挑战赛公开报名开始至4月3日报名截止，通过电话、邮件进行参赛者身份确认，挑战平台统计结果显示，通过审核报名人数为187人。4月4日中午12：00，合天智汇从各安全厂商官网下载了各XP加固产品，并将下载结果生成MD5和SHA1的标签，公布在湖南合天智汇网易官方博客、搜狐官方博客和新浪官方博客。同时，相关版本安装在XP环境上，搭建了挑战赛的比赛环境。所搭建的比赛环境使用虚拟机及虚拟网络实现，各参赛选手的操作环境通过访问控制限定其既不可访问外网，又不能相互进行访问，也就是说，各参赛选手的操作环境是完全封闭、相互隔离的。此受限的挑战环境确保了参赛选手的操作、代码在可控的环境中进行。

合天智汇如此行事的目的是保证所使用的XP加固产品是公开免费使用的产品，这些产品能在不修改原设计代码的前提下，接受任何个人或机构的评测，同时也是作为版本的取证。从加固产品下载结果看，各安全厂商均在4月3日、4月4日推出了新的XP安全加固产品版本。这里不排除厂商为应对XP挑战赛进行产品更新的可能性。

4月5日8:00，XP挑战赛如期按时举行，由于活动期间挑战平台遭遇来历不明的DDoS攻击，造成活动结束时间延迟一小时。

挑战活动结束后，合天智汇将所有参赛环境、参赛者提交的代码等与挑战赛活动相关的信息封存。4月6日至4月7日，合天智汇组织专业人员对所有挑战成功的结果进行了复盘、审核，证明所有结果都是独立完成，且攻破的结果有效。合天智汇将所有比赛结果封存后，也便于后续对比赛结果进行审核、复盘，或随时进行操作有效性检验。同时，合天智汇将参赛者攻破相关产品的方法、代码等信息存放在第三方场所，并与产品被攻破的企业进行了联系，但这些企业没有给予任何回复。

XP挑战赛活动暂时结束了。虽说合天智汇出于公益目的、站在广大XP用户的立场举办了此次活动，但活动结果也受到了部分安全厂商的质疑。这些厂商在自己的产品被攻破后，首先关心的不是自己的产品是如何被攻破的(他们没有向合天智汇索要挑战结果)，而是在媒体大肆质疑XP挑战赛的所谓合法性、公正性，质疑合天智汇的资质和后台，质疑合天智汇与某厂商有合作黑幕，甚至说合天智汇此举扰乱了互联网安全行业的秩序。还有厂商的负责人说在挑战赛前并不知情，说别人的产品是专为比赛准备的。试问举办此类活动需要何种资质?如果没有公开的评测，难道一直要等到广大XP用户的切身利益受到了伤害才能证明产品的不可靠吗?公开免费的产品难道接受不了大众的公开评测?媒体大肆宣传还不知情?难道面临产品即将受到检验，一个负责任的安全公司应该不只是针对大赛做准备，更应该永远准备着受到评测或挑战。自己的产品被攻破、声誉受到一定的影响，就说扰乱了互联网安全行业的秩序，可见我们的安全公司多么脆弱。企业的声誉从何而来?靠产品、靠服务、靠市场!所以，做安全加固的企业首先应该更关心产品品质，这才是赢得用户的正道，否则就是在重演皇帝的新装的寓言，而且有过之无不及。安徒生没有讲皇帝“卸下”新装后如何，而我们却在上演“裸奔”的续集。难道否定了合天智汇XP挑战赛的合法性，自己的产品就没有问题了吗?产品在那，漏洞在那，随时都可以复盘。裸奔可以休矣!

究竟应该如何看待XP挑战赛后的结果，广大XP用户最有发言权。无论XP加固产品是在有资质、有知名评委的情况下被攻破，还是在XP挑战赛被攻破，都说明产品有待完善。只有那些能在被攻破后能承认问题、立即查找缺陷、并立即对缺陷进行修复和响应的产品，才是不断进步的产品。做产品就像做人一样，没有天生的十全十美，只有永远的进步与成长，只有这样才能受到大众的认可与青睐。

羽扇纶巾

个人觉得,用户可以自己测试,再定取舍.
对于不懂攻防的用户,各安全厂商可提供样本及咨询.

chongbin1114

支持。不抓老鼠反怪养猫人的白猫不是好猫。我们用户关心的只是安全性。

li13911

这话说的真好！文采优美，鞭辟入里，像是一巴掌一巴掌在打某些厂商的脸！

拉普达

国民是好忽悠的。

彪悍滴麦兜

不管白猫黑猫，能抓老鼠的猫就是好猫，产品的好坏用户个人才有评价权，群众的眼睛是雪亮的。

怎么样了

失败者不是不想修复漏洞,  是没有能力.

hddu

怎么样了 发表于 2014-4-16 21:39
失败者不是不想修复漏洞,  是没有能力.

只有微软有能力修复XP漏洞，其他的都是浮云。

怎么样了

hddu 发表于 2014-4-16 22:08
只有微软有能力修复XP漏洞，其他的都是浮云。

微软已经停止修复XP补丁

而企鹅及其旗下安软厂家XP防御盾的漏洞也没本事弥补 , 或者说补了也无济于事 , 所以它们才回去怪罪攻击者

22667999

的确啊，腾讯不去修复漏洞，天天忙着发软文来掩盖自己几十秒钟被破的事实。

不过估计是没技术修复漏洞吧。