导语:
软件商们并不欢迎由黑客转变而成的研究者公布他们产品中的安全漏洞——这使得他们的产品看上去很糟糕。对我们而言,了解到我们的产品系统处于危险中也是一件痛苦的事情。但是黑客们使得软件商们诚实——至少我们是这样认为的。但是现在我们了解到,有些黑客开始如软件商们虚假地大肆宣传其产品那样不可信。
正文:
欺骗也是一种黑客行为,它是指一种对于并不存在的虚假安全漏洞的作弊性演示;而这样的欺骗却已经成为上月Black Hat美国安全会议中传出的重大新闻。在该会议中两条分别由独立的安全研究者宣布的最吸引眼球的新闻头条已被证实是虚假的。
其中的一条是说据传在Cisco防火墙产品中存在有一个容易被利用的安全问题,但是该问题却无法被重现。另一条是据研究者称在Apple的WiFi驱动中存在有更易被利用的漏洞,但是后来发现该漏洞事实上并不能被用来攻击Apple的产品。
所以,IT时代最后的神话之一诚实的黑客也不过如此
心中的黑客
我仍然相信有诚实的黑客存在。今年,已经有十余个安全问题被Black Hatters们揭示。其中一些已经被修复,而另一些则使得软硬件生产商们致力于纠正一些严重的问题。
很多发现这些问题的人是使用老式的方法获得他们的安全技术的:通过闯入他们本不应该进入的系统。此后他们洗清"罪名",摇身一变成为了安全问题研究者。但是我们心中清楚他们仍然是黑客。
而且这对我们十分有价值,尤其是在IT产品生产商对他们产品的安全问题并不总是完全坦白的情况下。这些黑客通过竞争寻找安全漏洞并告诉我们以获取信任。他们在这一自由的市场中为寻找IT产品弱点的信息而做一个诚实的竞争者是符合其自身利益的,这也是他们进行交易的方式。
软件商们不大喜欢这样——安全漏洞使得他们的产品看上去很糟糕。对我们而言,了解到我们的产品系统处于危险中也是一件痛苦的事情。然而,真正的坏人已经知道了这些漏洞。我们所做的仅仅是寻找我们需要知道的东西来保护我们自己——至少在黑客们保持诚实的时候是这样。
但是现在我们了解到,有些黑客如软件商们虚假地大肆宣传其产品那样不可信。
欺骗与吹嘘
Hendrik Scholz在Black Hat会议上声称他发现了一项"确实非常容易"的技术,可以绕过Cisco的防火墙。他的这项宣布使用了他在演讲结尾添加的一张幻灯片,这张幻灯片并没有出现在Black Hat大会参加者收到的Scholz的纸版讲稿中。
在后来的采访中,Scholz承认这一攻击需要内幕的知识和对防火墙中某设备的事先控制。难怪Cisco无法正确重现这一攻击。
再看看SecureWorks的研究员David Maynor和黑客Jon "Johnny Cache" Ellch,他们在Black Hat会议上演示了60秒内入侵一台有无线设备的Apple MacBook。这使得大量公众得知苹果电脑易被攻击。
但是SecureWorks公司现在已经不再宣传其雇员发表的可以入侵Mac WiFi的事情。事实是Black Hat会议上的演示使用的是Maynor并没有指明的第三方WiFi产品,而他从没有表示能攻击Apple内置的无线硬件与软件——更不必说是电脑本身了。Maynor已经承认他在那一台Mac上做演示的原因是他认为Mac用户对自己的安全很放心,以及由此可以产生的Mac受到攻击的新闻标题效应。
附带的损害
的确,对于Cisco或Apple的一个并不高明的诽谤足可以成为头条新闻。更不必说这对于其他安全问题研究者的信誉或者对于企业IT部门中潜在的消费者对这些产品的信任所带来的附带损害。
IT人不再需要更多的大张旗鼓的宣传。多年来我们已经受够了这些宣传引来的种种麻烦。
我们需要的是我们可以信任的安全研究。而Black Hatters发出的种种信息已经越来越难辨真假。
即使我们现在不得不以过去只对最无耻的软件商才使用的有偏见的目光去拷问这些研究者们,但他们仍然是值得我们关注的。我们也许不会再像过去那样信任他们,但是我们别无选择。
毕竟,在找寻安全漏洞的时候,除了黑客,你还能信任谁呢?
(完)
(t116)
======================================================
编后语:信任一个永远沉重的话题。
原文链接:http://www.technewsworld.com/story/52877.html
原文作者:Frank Hayes
