WoSign 安全警示：“360 安全卫士”的无知

“360 安全卫士”的无知 (发布时间：2009-12-31, 2009年第6号，总第72号)      近日，“ 360 安全卫士”连续发表了两篇文章： 国内首现有“身份证”的木马“执照凶手” 9 天感染百万用户 和 木马也办“身份证”数字签名面临信任危机 ，笔者只能说两句话“无知”和“无耻”。 无知在哪里？      (1) 任何稍微懂一点数字证书常识的人都知道：数字证书颁发机构在严格审核了证书申请单位真实身份后颁发代码签名证书给软件开发商后，软件开发商如何使用该证书，用此证书签名什么软件，与数字证书颁发机构没有任何关系。数字证书颁发机构唯一能做的是： 一经举报和查实，就可以立刻吊销此证书。 360 根本没有弄清楚 数字证书颁发机构 与 证书使用者 的角色和各自应该承担的责任！      (2) 稍有一点生活常识的人就应该知道没有证据的话不能乱说，而第二篇文章居然在没有任何证据的情况下断言我们 “ 在提供数字签名时并未严格审查 ”。此话的逻辑错误还在于：我们只是颁发数字证书给软件开发商，是软件开发商用数字 证书对其软件进行数字签名，并不是我们“在提供数字签名”，我们只提供数字证书。      (3) 数字签名证书就像公章，如果单位公章不慎遗失或被盗，捡到和盗者就拿去乱盖章。怎么能在没有任何依据的情况下指名道姓说是公章所有者在干坏事？这是法律意识无知，不仅仅是数字证书知识无知！      (4)  讲一点稍微深的知识：第一篇文章称“ 最早出现在 12 月 17 日清晨 ， 360 捕获木马样本后发现，该木马采用了数字签名 ”，此话与事实不符，请看该木马的签名截图，数字签名时间是 2009 年 12 月 24 日 ，此时间是有时间戳证明的。实际签名时间是 24 日， 360 怎么会在 17 日就截获有数字签名的的木马呢？      两篇文章都有此句话“建议用户将 360 杀毒配合 360 安全卫士使用，真正为电脑加上 “ 双保险 ” ”，大家一看就知道是炒作，无非是在说别家的杀毒软件不好，只有自己的好。这是一种损人不利己的炒作。 最后强烈建议大家：      赶紧彻底删除 360 安全卫士和 360 杀毒。推荐大家安装 Comodo 免费杀毒和防火墙软件： http://personalfirewall.comodo.com/或 点击 这里 下载。安装后，您会发现 Comodo 杀毒软件检测到 360 安全卫士和 360 杀毒的许多文件都是恶意代码，并不断地向外发送数据包，在干什么呢，大家自己去想吧！反正千万一定要赶紧彻底删除 360 安全卫士和 360 杀毒。

? 2002-2009 深圳市沃通电子商务服务有限公司 All Rights Reserved 中国深圳市高新技术产业园南区方大大厦 18 楼　邮编 :518057 网站使用条款       隐私声明       中国增值电信业务经营许可证编号：粤B-20040618 WoSign?、WoTrust?、超快SSL?、超真SSL?、沃通?、WoTone? 为深圳市沃通电子商务服务有限公司注册商标

http://www.wosign.com/advisories/360_Ignorance_shameless.htm

白文鸟

360才是现在的木马，还是国民级的

巨盾

在卡饭看到了：http://bbs.kafan.cn/thread-624974-1-1.html
深圳沃通有个回复的帖子，贴到下面

巨盾

TO: 石晓虹， 360 安全卫士， 北京奇虎科技有限公司
http://eblog.chinabyte.com/wotrust/109/8070609.shtml

     我们公司于 10 月 28 日 10 点 20 分收到贵公司的在线举报：举报 WoSign 颁发的微软代码签名证书的证书拥有者： HongZhongDe Operations Department ( 深圳市福田区宏中德经营部 ) 数字签名恶意软件，我们收到举报后立刻按照我们的数字签名恶意软件举报处理程序，采取了如下措施：

   (1)  于 28 日 11 点联系证书申请单位告诉有人举报的事实，要求证书申请单位两小时内给予有效解释和采取有效措施及时删除恶意软件；
   (2)  于 28 日下午 1 点把举报代码提交给美国总公司检测部门检查已经数字签名的软件是否属于恶意软件；
   (3)  于 31 日 12 点正式吊销此数字证书，使得证书拥有者不能再用此数字证书签名任何软件；
   (4)  考虑到在吊销证书之前，证书拥有者可能在数字签名恶意代码时使用了时间戳，所以我们采取了进一步行动，与 31 日 12 点 42 分要求美国总部人工修改证书吊销列表，使得吊销列表上的显示的吊销时间为证书签发时间，这样就保证了所有使用该数字证书签名的代码的数字签名都自动失效；
   (5)  1 月 4 日 18 点 58 分美国总部回复已经完成人工修改吊销列表，证书吊销时间已经修改为证书颁发时间。也就是说：我们采取行动保证了所有使用该数字证书签名的代码的数字签名都自动失效，从而从源头保证了恶意代码不能借数字签名来获得操作系统信任。

    如果贵公司需要我们提供证书持有者详细联系信息，本公司将依有关法律法规在力所能及的范围内予以协助。
    相信贵公司能从此事件中看出对软件进行数字签名的威力，只要软件有数字签名，就可以非常容易地让杀毒软件公司识别出软件签名单位名称，并第一时间联系证书拥有者和证书颁发机构，证书颁发机构就可以采取有效措施 ( 吊销证书 ) 使得数字签名永远失效！而对于没有数字签名的软件，即使贵公司发现有毒，也无法找到造毒者而无法采取相关的有效遏制行动。从这点来看，大家都应该一致倡导所有软件都必须进行数字签名，只有这样才能从根本上遏制病毒和恶意软件。

    最后，欢迎任何单位和个人举报将 WoSign 颁发的数字证书用于数字签名恶意软件的行为。谨告知： 数字证书颁发机构为第三方数字身份认证中立机构，其责任是严格验证证书申请单位的真实身份后颁发证书。并受理数字签名恶意代码举报，查实后吊销证书，并不承担其他责任。


深圳市沃通电子商务服务有限公司
2010.1.8

追风

360不是无知，是忽悠

迷失的六六

主题不适合发到这个区，移动到安全咨询区了。

王小二

老老实实做事 口水留着消化用。