新浪科技訊 1月30日消息，央視《新聞直播間》欄目報(bào)道了色情網(wǎng)站如何利用數(shù)字簽名披上合法外衣。報(bào)道稱“有數(shù)字證書的程序被認(rèn)作是一個(gè)安全的程序，也得到了網(wǎng)絡(luò)安全公司和網(wǎng)民的信任。但是最近網(wǎng)絡(luò)上出現(xiàn)了數(shù)字簽名惡意的軟件，而軟件當(dāng)中甚至還隱藏著色情網(wǎng)站。”

    以下為本次節(jié)目文字實(shí)錄：

    演播室主持人：

    在生活當(dāng)中，我們每個(gè)人都有一個(gè)身份證份，其實(shí)正版的電腦軟件也有一個(gè)身份證件，叫做數(shù)字證書。長久以來，有數(shù)字證書的程序被認(rèn)作是一個(gè)安全的程序，也得到了網(wǎng)絡(luò)安全公司和網(wǎng)民的信任。但是最近網(wǎng)絡(luò)上出現(xiàn)了數(shù)字簽名惡意的軟件，而軟件當(dāng)中甚至還隱藏著色情網(wǎng)站。

    央視記者：

    我現(xiàn)在安裝一個(gè)在互聯(lián)網(wǎng)上找到的叫做“午夜影院”的一個(gè)程序，我們看看在安裝它的時(shí)候會(huì)發(fā)生什么樣的事情。這就跳出來一個(gè)網(wǎng)頁，顯然這個(gè)程序在運(yùn)行，它在進(jìn)行工作，但是并沒有提示我需要安裝某個(gè)軟件或者程序。現(xiàn)在程序已經(jīng)安裝完畢，我們看看有什么變化。原來這個(gè)桌面上有三個(gè)程序，現(xiàn)在我們看到增加了六個(gè)程序，而且最頂端的微軟的IE瀏覽器已經(jīng)不見了，取而代之的是一個(gè)相同的標(biāo)記，這個(gè)標(biāo)記我們點(diǎn)開的話，會(huì)發(fā)現(xiàn)它的主頁已經(jīng)變更了，而技術(shù)人員告訴我，這個(gè)主頁除非用一些專業(yè)的工具，否則普通的用戶是無法再把它的主頁修復(fù)回來的。

    360網(wǎng)絡(luò)工程師 王平：

    第一點(diǎn)，難以卸載。

    第二點(diǎn)，不經(jīng)過您的同意，在您的機(jī)器上安裝很多軟件。

    第三點(diǎn)，它會(huì)篡改您的首頁。

    第四點(diǎn)，會(huì)不停地彈廣告。

    像這些情況，就是典型的惡意流氓軟件行為。

    解說：

    這個(gè)惡意軟件安裝后，會(huì)自動(dòng)地彈出一個(gè)網(wǎng)站，通過這個(gè)網(wǎng)站可以直接連接到多個(gè)色情網(wǎng)站。然而令人奇怪的，就是這樣一個(gè)軟件居然擁有全球備受信任的第三方和證書授權(quán)中心威瑞信公司頒布的數(shù)字簽名。數(shù)字簽名顯示，軟件的發(fā)布者是一個(gè)叫做中諾世紀(jì)的公司，那么什么是數(shù)字簽名呢？

    天威誠信公司副總裁 李延昭：

    威瑞信是全球的CA中心，相當(dāng)于一個(gè)認(rèn)證中心。它給每一個(gè)合法企業(yè)發(fā)一個(gè)代表他企業(yè)的證書，代表企業(yè)的真實(shí)身份。企業(yè)對(duì)他所需要辦法的代碼或電子文件做一個(gè)數(shù)字簽名，來證明說這段代碼和這段文字是企業(yè)認(rèn)證過的。

    360安全專家石曉虹博士：

    你有數(shù)字簽名相當(dāng)于在這個(gè)文件或軟件上蓋了一個(gè)章，向用戶表明這是我做的，直接可以找到我。一般來說，沒有哪個(gè)惡意軟件比較愚蠢到說要在自己的惡意軟件上蓋一個(gè)章，讓所有人都知道是我做的。通常來說，安全公司會(huì)對(duì)有數(shù)字簽名的軟件提高它的信任級(jí)。

    解說：

    當(dāng)網(wǎng)民對(duì)將要安裝的程序無法確定是否安全的時(shí)候，會(huì)使用殺毒軟件進(jìn)行掃描。一般情況下，殺毒軟件不會(huì)對(duì)有數(shù)字簽名的軟件查殺和安全提示，而給予信任評(píng)級(jí)。由于網(wǎng)民的最后一道安全防線殺毒軟件給予信任，具有數(shù)字簽名的程序下載量通常很高。據(jù)360安全衛(wèi)士監(jiān)測，這軟叫做“午夜影院”的軟件，在網(wǎng)絡(luò)上的日下載量達(dá)到了60萬次。

    360網(wǎng)絡(luò)工程師 王平：

    我們發(fā)現(xiàn)這個(gè)軟件的確有問題，已經(jīng)將該公司的有問題的軟件全部列入黑名單進(jìn)行查殺。

    演播室主持人：

    一般壞人做了壞事情都會(huì)千方百計(jì)的隱瞞，但是午夜影院這款惡意軟件的發(fā)布者為什么要將自己的名字公開天下，那今后網(wǎng)民是否還應(yīng)該信任有數(shù)字簽名的程序呢？

    解說：

    記者聯(lián)系到了這款“午夜影院”惡意軟件發(fā)布者――中諾世紀(jì)公司。公司的負(fù)責(zé)人承認(rèn)，這是他們的程序，不過他宣稱公司已經(jīng)不再推廣這款軟件了。

    記者：

    我想問一下，咱們那邊是不是有一個(gè)午夜影院的程序?。?/P>

    中諾世紀(jì)公司總經(jīng)理 常明：

    午夜影院是很早以前推廣的時(shí)候用的名字，后來把它去了。

    記者：

    現(xiàn)在在網(wǎng)絡(luò)還能看得見。

    常明：

    看不見，我們?cè)缇颓宄袅恕?/P>

    解說：

    與這位負(fù)責(zé)人的說法不同的是，根據(jù)網(wǎng)絡(luò)安全公司的監(jiān)測，這款軟件是近期才大量出現(xiàn)的。

    360網(wǎng)絡(luò)工程師 王平：

    前段時(shí)間大量用戶反饋，這個(gè)軟件彈廣告。最讓人吃驚的就是，這個(gè)軟件還擁有真實(shí)的數(shù)字簽名。

    解說：

    對(duì)于為什么要在惡意軟件上輸入數(shù)字簽名，而讓使用者可以找到軟件發(fā)布者，這位負(fù)責(zé)人是這樣解釋的。

    中諾世紀(jì)公司總經(jīng)理 常明：

    因?yàn)槟鞘俏覀優(yōu)榱撕猛茝V，為了下載量和安裝量高。

    記者：

    你們當(dāng)時(shí)是把好幾款(軟件)放在一起了？

    常明：

    好幾款，沒有吧。就是我們的瀏覽器，還有一些我們合作(軟件)捆綁在里邊。

    記者：

    咱們也跟色情網(wǎng)站合作嗎？

    常明：

    因?yàn)橐郧鞍?，很多是藝術(shù)照，后來我們?cè)谇謇磉@段，正好在年前，現(xiàn)在我們清理，將那些色情網(wǎng)站都去掉。

    天威誠信公司副總裁 李延昭：

    我們管的就是企業(yè)的真實(shí)身份，他敢用自己的真實(shí)身份去做這種事，那他真要為他的行為承擔(dān)所有責(zé)任了。

    解說：

    數(shù)字簽名發(fā)售企業(yè)天威誠信公司相關(guān)負(fù)責(zé)人介紹說，當(dāng)企業(yè)出現(xiàn)違規(guī)行為可以吊銷數(shù)字證書。

    天威誠信公司副總裁 李延昭：

    我們有吊銷機(jī)制，類似銀行的黑名單吊銷機(jī)制。我們所發(fā)出去的每一張證書都是有實(shí)效的，比如一年、三年、五年。我發(fā)現(xiàn)這個(gè)企業(yè)，比如說跟申請(qǐng)證書當(dāng)時(shí)的情況發(fā)生了巨大的變化，比如說企業(yè)倒閉了，或者說企業(yè)用證書簽了一些非法的東西，我們可以給他吊銷。

    天威誠信公司市場部經(jīng)理 劉燕翔：

    我們經(jīng)過監(jiān)測，確實(shí)是含有一個(gè)惡意軟件程序。

    第一，我們現(xiàn)在已經(jīng)完成了內(nèi)部調(diào)查，已經(jīng)確認(rèn)了這個(gè)證書是我們公司簽發(fā)的。

    第二，在調(diào)查當(dāng)中，已經(jīng)搜集了申請(qǐng)公司提交的所有的鑒證資料。

    第三，我們跟威瑞信公司溝通，隨時(shí)可以去進(jìn)行吊銷這張證書的流程。

    解說：

    事實(shí)上，午夜影院不是唯一的一個(gè)具有數(shù)字簽名的惡意軟件。

    去年12月，網(wǎng)絡(luò)安全公司先后發(fā)現(xiàn)了兩款帶有數(shù)字簽名的程序，數(shù)百萬臺(tái)電腦遭到侵襲。與午夜影院不同的是，這兩款程序是純粹的木馬程序，而這款木馬程序因?yàn)橛泻戏ㄉ矸葑C，在開發(fā)傳播時(shí)享受了殺毒軟件的免殺待遇。

    360網(wǎng)絡(luò)工程師 石曉虹：

    但是很多情況下，網(wǎng)民去下載安裝一個(gè)軟件，里邊有數(shù)字簽名，如果不是大公司發(fā)行的軟件，數(shù)字簽名的公司不是大公司，是小公司。從這次這個(gè)事情來看，也不能保證它的安全性。

    天威誠信公司市場部經(jīng)理 劉燕翔：

    我的建議有兩點(diǎn)：

    第一，我們的互聯(lián)網(wǎng)用戶在下載相關(guān)軟件的時(shí)候，還是要下載那些自己比較清楚了解、信任的公司發(fā)布的軟件。

    第二，用戶發(fā)現(xiàn)帶有數(shù)字簽名的軟件有一些問題時(shí)，需要及時(shí)向我們數(shù)字認(rèn)證中心舉報(bào)，以便我們采取相關(guān)措施，以免造成更大的損失和影響。

    演播室主持人：

    據(jù)我們了解，第三方和證書授權(quán)中心所頒布的數(shù)字簽名在全球具有很高的信任度，所以網(wǎng)民往往會(huì)對(duì)數(shù)字簽名的軟件放松警惕。但是我們看到的剛才的這組報(bào)道卻在提醒我們，我們不會(huì)因?yàn)橐粋€(gè)人有駕馭執(zhí)照就敢放心的坐他開的車一樣，數(shù)字簽名并不意味著安全。而剛才報(bào)道中所提到的午夜影院發(fā)布者中諾世紀(jì)公司目前已經(jīng)涉嫌發(fā)布色情內(nèi)容，所以有關(guān)部門應(yīng)該對(duì)其進(jìn)行查處。