清明节开展的一场“XP挑战赛”,引发中国互联网安全行业对其包括主办方资质、比赛机制的合法性、比赛结果的公正性、对相关企业的名誉损害及对互联网安全行业秩序的破坏性等方面的普遍质疑。
4月15日,由《互联网周刊》发起的一场主题为“重塑安全秩序,保护网民权益”的研讨会在京举办,互联网安全专家及著名法律学者就“XP挑战赛”的合法性及社会价值进行了探讨,对此次比赛中的争论焦点做了研判和解读。
安全测试重在“防御”
“通过安全测试以促进行业交流,提升互联网产品和服务的防御能力,是国际上比较通行的做法。”知名安全专家、KEEN 团队成员谷明介绍,国际通行安全测试是通过模拟恶意
黑客的攻击方法,来评估计算机网络系统安全的一种评估方法,是为了证明网络防御按照预期计划正常运行而提供的一种机制,全球诸如“Pwn2Own”等顶级的安全比赛,都属于国际通行安全测试的范畴。
谷明认为,安全测试的合法前提是拥有“公开透明的规则”,并且“同厂商合作”,其目的是为了发现并验证测试方系统或服务存在安全
漏洞,以帮助厂商解决并提供可靠的安全防御举措,并第一时间保护最终用户。与国际同行的安全测试不同,此次XP挑战赛最大的缺陷在于规则没有和相关产品厂商合作。
中国政法大学教授法学专家于志刚表示,比赛主办方在没有取得授权的前提下,单方面宣布比赛结果并通过媒体大肆传播,给“当事方”的金山、腾讯等公司品牌声誉造成了极大的损害!看似与国际安全测试相近,实则已经违规,受到侵害的金山、腾讯公司可以通过法律途径维权。
安全测试的正确目的在于“防御”而非“进攻”。知名白帽子、知道创宇安全专家余弦说道,安全测试虽然采取黑客进攻的模式,但本质是为了发现漏洞,及时修复。而不是借安全测试之名,行打击对手之实。
挑战赛真实性存疑
此次“XP 挑战赛”主办方资质、比赛规则等受到普遍质疑,尤其因为部分参与者“既是裁判员又是运动员”的双重身份,引发了行业关于此次挑战赛合法性及“不正当竞争”嫌疑讨论。
合天智汇在举办此次挑战赛之前,并未得到参与评测
软件的授权,其本已经是违法行为。同时,此次挑战赛没有赛程报道,没有评审。很多人都是通过合天智汇、甚至是360的
微博才知道结果,严重存在黑箱操作的嫌疑。
谷明表示,参与此次评测的360XP 盾甲实为应对比赛而推出的“非正式版本”,用户在实际使用时会存在很多问题,严重影响用户体验。在开启全部防护情况下会将比赛规则中要求攻破的应用进行隔离。有专业安全人员在论坛上表示,在安装此“非正式版本“的Windows系统上会导致系统性能严重下降,甚至系统蓝屏、搜狗输入法和word文档等程序无法打开的情况 。不仅牺牲了用户体验,更是对用户的一种误导。
浙江理工大学教授,反不正当竞争法专家王健表示,通过所谓的“XP挑战赛”,来打击竞争对手的行为,实际上已经触犯 了《反不正当竞争法》。同时,受到挑战赛虚假宣传而造成损失的网民,可以通过法律手段进行维权。
于志刚表示,当前国内安全行业缺乏有效的法律监督机制,虽然有《工信部20号令》以及《互联网安全自律公约》进行规范,但只有引导作用,并不具备法律效力。因此,如何有效制止国内安全行业企业不正当竞争行为是十分重要的。
