是去年写的一篇旧文,适时流氓软件的说法刚刚烹制出炉。现如今,争端再起,最热闹的莫过于“两虎之争”。撇清恩怨是非需要很漫长的回溯,互联网快餐时代的芸芸众生想必也没什么心力去听陈芝麻的旧事,大家看着热闹就行。
在我看来,很有意思的就是还真没见过哪家公司能像雅虎中国这样姿态恶劣地对待前任总裁。人或许有为一己之私而心胸不开阔,乃至于见利忘义的时候,但一秒钟几十万上下的现代高科技企业也摆出有奶便是娘,睚眦必报的姿态,真叫人叹为观止。闲话不多说,还是贴旧作吧
在我看来,很有意思的就是还真没见过哪家公司能像雅虎中国这样姿态恶劣地对待前任总裁。人或许有为一己之私而心胸不开阔,乃至于见利忘义的时候,但一秒钟几十万上下的现代高科技企业也摆出有奶便是娘,睚眦必报的姿态,真叫人叹为观止。闲话不多说,还是贴旧作吧
最近流氓软件被炒得沸沸扬扬,查了查,始作俑者有两个,瑞星公司和北京网络行业协会。
沸沸扬扬的焦点是北京网络行业协会“点名批评十大流氓软件”。也不知为什么,所有的报道都将“北京网络行业协会”简称为“网络行业协会”,一个地方性社会团体组织经这一简写,俨然成了整个网络行业和信息安全领域的代言人。
诚然,权威性不完全由组织规模大小决定,况且这是北京市公安局主管的协会。北京网络行业协会的章程却在“副会长、理事、常务理事的入会条件”中写着这样一条:“(五)、能够给予协会资助的,副会长50000元、常务理事30000元、理事单位10000元。”
原来如此。
在瑞星的网站上可以看到一条触目惊心的新闻,转载自新浪。标题是“网络行业协会点名十大流氓软件 责令限期整改完善”,里头罗列了十大遭投诉最多的“流氓软件”。上榜的门槛远比当个理事单位要低,有10个人投诉就差不多够“八强”了。
在人气稍旺的bbs,常能看到这样的发言“加油,争取顶上‘十大’”,楼主使劲吆喝,但一般不拉到二三百票是很难上榜的。对照下,北京网络行业协会公布的“十大”未免也太逊了些,于是有人怀疑排名靠后的几个“流氓”没准还是反向炒作,自行“灌水”来搏知名度的——这很符合当今文娱界的思维方式。
媒体们报来报去,大多对投诉统计从何而来一律含糊其辞。惟独信报很敬业,12日见报的文章称,“截至7月7日,北京市网络行业协会设立的“流氓软件”网络调查专门网站上,网民举报帖达到3624条,有20多万人投票抗议“流氓软件”的恶行。”笔者不敢松懈,很认真地找到了这个所谓的专门网站——一个无需注册的留言板([url]http://www.netbj.org.cn/discuss.asp[/url])。虽然在发布前有审核控制,但通篇的投诉五花八门,有说病毒的,有说涉黄网站的,而且大多语焉不详。
协会不是执法机构或行政管理部门,张嘴敦促、批评,闭嘴责令可能自己也觉得底气总显不足。后来据说由于某些颇为不爽的厂商做出了激烈反应,“十大”新闻在各大门户刊出不久就都撤了回去,落得虎头蛇尾。惟独瑞星倔强地保留了立此存照的记录。
([url]http://it.rising.com.cn/newsite/channels/info/security/security/200507/12-095019945.htm[/url])
“十大”由来原来如此。“流氓软件”一词更有意思。网上有一篇被广泛转载的出自《东方早报》的文章称“万事达国际信用卡公司宣布说,位于亚利桑那州土桑市的一家信用卡数据处理中心的电脑网络被侵入,4000万张信用卡账号和有效日期等信息被盗,盗窃者采的手段正是在这家信用卡数据中心的电脑系统中植入一个‘流氓软件’。”
好厉害的“流氓软件”,它究竟怎么定义?
“流氓”,辞典上说“原指无业游民,后来指品质恶劣、不务正业、为非作歹的人”。“流氓软件”,瑞星网站上说“恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等都处在合法商业软件和电脑病毒之间的灰色地带。它们既不属于正规商业软件,也不属于真正的病毒;既有一定的实用价值,也会给用户带来种种干扰。”这样的界定看不出准确含义,也自然难以划分准确的范围。捧出这样一个大而化之的概念来,可能是想堆塑一个标靶,以向“假想敌”宣战为由头来进行炒作——清除spyware的工具问世多年,百花齐放,再不搞个新概念岂不是要活在别人的阴影下?
谁是“流氓”?北京网络行业协会充分相信群众的眼光是雪亮的,以屈指可数的投诉量为准。但受投诉最多的就是危害最大、潜伏最深的么?我不这么看。
spyware、浏览器劫持泛滥确实是目前威胁个人和企业用户信息安全的棘手问题,新出现的spyware和蠕虫病毒捆绑的情况更应当警惕。但笔者认为,没有流氓软件,只有流氓行为。之所以这么说,首先是因为这类软件(插件)的优劣与使用者的目的和操作方法往往相辅相成,将3721网络实名用得不亦乐乎的人也不在少数。其次,解决安全问题不是为了打击“十大”、“八大”,而是要惩治威胁用户信息安全的行为。
笔者认为,当务之急的不是辩驳谁是“流氓”,谁有“黑幕”。而是信息安全厂商和互联网企业应当在政府主管部门和行业协会的指导下坐到一起,针对弹出广告窗口、入驻浏览器工具栏、收集用户私人信息等行为制订一系列分级规范。依照行业公认的规范来评析当前的现象,确保用户能得到必要的明晰提示,对为揽访问量而不择手段的厂商进行约束。
“十大”发布后不久,瑞星又起草了一个“软件产品行为安全服务规范”。规范有了,但能否行得通还有待考验,在此先给起草人提点建议——去掉杀毒软件主界面上的滚动新闻吧,这可是违反了“软件的可操作性原则”和“软件的安全安装原则”呢。
曾经有半路出家的安全厂商像卖大力丸一样吆喝防火墙——在中关村摆下两台ping都ping不通的机器,然后号称谁攻破了就能拿走五十万(也可能是100万或者5万,待考)。虽然有猫腻,但“大力丸营销法”终究是个辛苦活儿,为吸引眼球好歹得拿铁棒子在自己身上抡几下。看“流氓软件”的一系列炒作,更像是有人打算用铁棒子把倒霉的敲肿了,围观的唬晕了,然后我说什么就是什么,我是流氓我怕谁?
附注:
“流氓软件”一词生造的起源,在新京报近日的采访报道中或可找到一些端倪。原文如下:
对于流氓软件的叫法,毛一丁称,将此类干扰用户的软件命名为“流氓软件”并不是瑞星的行为,而他也并不同意此类叫法涉及道德问题的观点,“命名的事,是协会做的。我们先出了篇文章,叫流氓软件,后来协会开研讨会,有人提出改成灰色软件之类的,但协会秘书长在会上一直这样称呼,所以就这样叫下来了。”(《北京网络协会点名3721等10厂商,限期整改》)
