中国黑客超强档案(三)
作者:佚名 文章来源:互联网 点击数: 更新时间:2008-1-20
t;--以示他们既和企业安全测试员有区别,又不愿意和臭名昭著的黑帽子们搅在一起。这个词定义的大多数人和很多企业安全研究员一样是安全专家和顾问,但他们更加独立。
"我们用'灰帽子'来代表那些独立的研究员,他们不是只对某一个特定的公司或产品感兴趣," @Stake(一家安全公司,它是由L0pht黑客中的核心成员组建的。)的研究和发展总监Chris Wysopal表示。Wysopal自己在L0pht的时候就是一个"熔接池(Weld Pond)"。
但是另外一些人并不相信灰帽子应该存在,即使是对于那些闯入公司服务器只是为了通知网管相关的安全漏洞的黑客们。这种行为因为巡回黑客Adrian Lamo而出名。他在通知新闻界或出版界之前,侵入了WorldCom、纽约时报、美国在线和Excite@Home的网站。
对于象Peter Lindstrom(Hurwitz Group顾问公司的安全策略主管)这样的人来说,Lamos以及和他一样的那些人都是罪恶的黑客。
"如果你是灰色的,那你就是黑色的。" Lindstrom表示。"我并不是不理解他们想要做什么,可是他们实际的所作所为却是非常差劲。" 当黑客们攻击一个网络时,管理员有几种方法可以判断他们的意图。任何一个事件都必须当成紧急情况来对待,Lindstrom坚持这样认为,所以每一个闯入者都必须被当作罪犯来对待。
持这种观点的人在今天可能是少数,但是它在很快地赢得支持。这种趋势领导了支持诸如DMCA之类法律的新的力量。
对于灰色地带的打击
去年,FBI拘捕了俄罗斯程序员、黑客Dmitri Sklyarov,因为他编写的一个可以攻破Adobe Systems的电子书(e-book)文件保护的程序违反了DMCA。Adobe促使了FBI的这次行动但是迫于广泛的批评的压力撤回了诉讼。现在司法局正在追踪这个针对Sklyarov的公司的案子。
这次拘捕行动使那些发现了软件漏洞的人非常担心。在今年的Defcon黑客会议上,一些国际上的研究员由于美国的法律环境,对自己是否来参加2003年的会议表示怀疑。
"DMCA如此复杂、含糊不清、让人费解,"斯坦福大学互连网和社会中心的律师以及执行理事Jennifer Granick表示,"这是最大的问题。"
DMCA成了软件和媒体工业让批评家和安全专家保持沉默时最爱使用的法律武器,尽管在 美国唱片行业协会(Recording Industry Association of America)威胁要采取法律行动时,美国国会图书馆(Library of Congress)为普林斯顿大学的教授Edward Felton延迟发布他所发现的关于几个音乐标准的安全问题写了免除文件。
据报道,除了针对ElcomSoft的案子,FBI还对Lamo攻击一个包含纽约时报专栏作家合同信息的数据库进行攻击一事展开了调查。
国内的事件
很多安全公司,比如Digital Defense,Internet Security Systems和@Stake都对外宣传他们雇佣了一些黑客来提高自己的威望。
Oracle 的首席安全官Mary Ann Davidson甚至宣称他们拥有一个自己培养的黑客的小组,这个小组很少接纳外部的黑客。
"我使用'黑客'这个词只是表示他们很专业"她说。"我不相信为了我们的失误而责备开发部门是正确的,我们要做的是尽量发现和补救。"
然而,另外一些人信奉的是"不要问、不要说"的原则。
"企业们说,'我们不雇佣黑客。'但是你到那些企业去,会发现有满屋子的黑客在那儿工作," "md5,"表示。他是西雅图一个白帽子团体GhettoHackers的成员之一。
今天的安全意识的氛围意味着无论是程序员还是黑客都必须对政策和法律更加留意。很多人的对于安全问题新的敏感程度使得他们不愿意向公司通报他们所发现的安全漏洞。
"还有很多安全漏洞有待发现,但是没有人会公布它们,"在提到诸如Bugtraq之类还保留着那些漏洞的时候,Moore这样表示。他还补充说,"有趣的"安全漏洞经常不会被透露出来。
Secure Network Operations最近的经历很能说明这个问题。Finisterre--以".猛砍"出名--没有改变他的哲学,但是他的公司对于公开
"我们用'灰帽子'来代表那些独立的研究员,他们不是只对某一个特定的公司或产品感兴趣," @Stake(一家安全公司,它是由L0pht黑客中的核心成员组建的。)的研究和发展总监Chris Wysopal表示。Wysopal自己在L0pht的时候就是一个"熔接池(Weld Pond)"。
但是另外一些人并不相信灰帽子应该存在,即使是对于那些闯入公司服务器只是为了通知网管相关的安全漏洞的黑客们。这种行为因为巡回黑客Adrian Lamo而出名。他在通知新闻界或出版界之前,侵入了WorldCom、纽约时报、美国在线和Excite@Home的网站。
对于象Peter Lindstrom(Hurwitz Group顾问公司的安全策略主管)这样的人来说,Lamos以及和他一样的那些人都是罪恶的黑客。
"如果你是灰色的,那你就是黑色的。" Lindstrom表示。"我并不是不理解他们想要做什么,可是他们实际的所作所为却是非常差劲。" 当黑客们攻击一个网络时,管理员有几种方法可以判断他们的意图。任何一个事件都必须当成紧急情况来对待,Lindstrom坚持这样认为,所以每一个闯入者都必须被当作罪犯来对待。
持这种观点的人在今天可能是少数,但是它在很快地赢得支持。这种趋势领导了支持诸如DMCA之类法律的新的力量。
对于灰色地带的打击
去年,FBI拘捕了俄罗斯程序员、黑客Dmitri Sklyarov,因为他编写的一个可以攻破Adobe Systems的电子书(e-book)文件保护的程序违反了DMCA。Adobe促使了FBI的这次行动但是迫于广泛的批评的压力撤回了诉讼。现在司法局正在追踪这个针对Sklyarov的公司的案子。
这次拘捕行动使那些发现了软件漏洞的人非常担心。在今年的Defcon黑客会议上,一些国际上的研究员由于美国的法律环境,对自己是否来参加2003年的会议表示怀疑。
"DMCA如此复杂、含糊不清、让人费解,"斯坦福大学互连网和社会中心的律师以及执行理事Jennifer Granick表示,"这是最大的问题。"
DMCA成了软件和媒体工业让批评家和安全专家保持沉默时最爱使用的法律武器,尽管在 美国唱片行业协会(Recording Industry Association of America)威胁要采取法律行动时,美国国会图书馆(Library of Congress)为普林斯顿大学的教授Edward Felton延迟发布他所发现的关于几个音乐标准的安全问题写了免除文件。
据报道,除了针对ElcomSoft的案子,FBI还对Lamo攻击一个包含纽约时报专栏作家合同信息的数据库进行攻击一事展开了调查。
国内的事件
很多安全公司,比如Digital Defense,Internet Security Systems和@Stake都对外宣传他们雇佣了一些黑客来提高自己的威望。
Oracle 的首席安全官Mary Ann Davidson甚至宣称他们拥有一个自己培养的黑客的小组,这个小组很少接纳外部的黑客。
"我使用'黑客'这个词只是表示他们很专业"她说。"我不相信为了我们的失误而责备开发部门是正确的,我们要做的是尽量发现和补救。"
然而,另外一些人信奉的是"不要问、不要说"的原则。
"企业们说,'我们不雇佣黑客。'但是你到那些企业去,会发现有满屋子的黑客在那儿工作," "md5,"表示。他是西雅图一个白帽子团体GhettoHackers的成员之一。
今天的安全意识的氛围意味着无论是程序员还是黑客都必须对政策和法律更加留意。很多人的对于安全问题新的敏感程度使得他们不愿意向公司通报他们所发现的安全漏洞。
"还有很多安全漏洞有待发现,但是没有人会公布它们,"在提到诸如Bugtraq之类还保留着那些漏洞的时候,Moore这样表示。他还补充说,"有趣的"安全漏洞经常不会被透露出来。
Secure Network Operations最近的经历很能说明这个问题。Finisterre--以".猛砍"出名--没有改变他的哲学,但是他的公司对于公开