中国黑客超强档案(三)
作者:佚名 文章来源:互联网 点击数: 更新时间:2008-1-20
安全漏洞上却警惕得多。"现在,当我们和厂商接触时,象是走在水上,因为HP的所作所为把我们吓着了。"他表示。
未来的帽子
这场争论给新的可能的黑客道德规范的出现提供了很好的契机。在一段时间里,一个叫做"热带雨林青年(Rain Forest Puppy)"的黑客坚持着安全研究员和软件开发者应该如何沟通的原则。在它的核心,所谓的RFPolicy指导方针建议软件公司应该每五天就给研究人员更新材料。
@Stake的Wysopal与人合作编写了一套更为正式的研究人员规则,在其中他提倡对软件开发者要给予更多的宽容。在这份报告中,他建议研究人员给企业7天的反应时间(而不是5天),并给企业30天的时间来认真研究并解决这些问题。
Oracle的Davidson表示这样的指导方针开始了一场重要的对话。"不要因为坐在那里什么也不做原谅我们自己,如果我们准备那样做。应该说'穿上我们的鞋。'"她表示。"黑客只需要发现一个漏洞并为他们自己取一个名字,而我们却需要对这个漏洞进行彻底的研究。" 而且随着企业和执法部门对重要的网络和系统日益关注,那些认为自己是灰帽子的人在中间地带活动的时间不会太长了。
"我认为我们看到了人们更关注于做正确的事情的一个转变,"白宫计算机安全小组的Schmidt表示。"无论你头上的帽子是什么颜色的,你都应该意识到现在对于网络的依赖越来越大了。"
第22章:黑客近景写真
他应该算一个资深黑客了,从玩ham到Fido飚信,到在瀛海威里贴自己翻译的国外安全文章,至少资历不短了。
但听说要采访,他就变得非常谨慎,突然有电话打来,大概让他去参加公安厅组织的一个网络安全态势方面的会议,我只好中断采访,我知道他很忙,他从前在国企作Project Manager,那时做安全完全是业余爱好,但如今他已经是一个安全公司的技术骨干了,并持有那家公司的股份。
最后,我的采访变成了下午的电话采访。
“公司里有几个人?”
“十几个人”
“目前你在网络安全方面主要开发的东西是什么呢?”
“主要还是IDS”
“你也参与其他安全业务吗?
“对,目前主要是安全顾问,安全检测”
“有评论曾经说现在部分的安全公司是网络黑社会,先扫描,再通知,简直像在收保护费”
“我们关于扫描检测都是有严格规定的,不允许未经用户授权探测和扫描任何节点”
“做安全顾问主要难在哪里?”
“嗯,主要还是客户的安全意识和现状上,如果客户不配合,那么工作难以进行,一些客户的业务系统已经成形了,而且根本没有遵循任何安全规范,但不可能要求他们推翻以前的软件重来,比如一个规模已经很大的ICP,你发现cgi写的都一塌糊涂,但你不可能要求客户按照安全规范重写一遍,当然给这样的客户服务,做起来就会感觉比较吃力。而且一旦出了问题,责任就难以界定…”
“那你会担心攻击者的挑战么?”
“怎么会,就像我一个朋友说的 ‘作为一个安全工作者,攻击者带给我们更多的挑战也带给我们更多使命和快乐,真正给我们压力的是客户、投资人和官方’”
我和一些安全工作者接触的时候发现他们很喜欢引用别人说的话,似乎这样会显得更谨慎而不犯错误。当然这句话给我深深的好奇,他终于答应告诉他朋友的名字和联系方式,原来那个人其实和我很熟悉,却没想到我一直感觉只关心技术的他会说出如此深沉的语言。
但我电话里询问这句话的来龙去脉的时候,他干笑了一声,仿佛他根本没说过这句话,后来我知道他说过另一句,流传更广的话,那就是一个合格的职业安全工作者,应该“如临深渊,如履薄冰”。
他们属于中国最早的黑客,不管中国有没有真正的黑客,至少他们这一批人,是最有资格被称为黑客的。
但他们不再是黑客了,他们已经穿上了职业外套,因他们的
未来的帽子
这场争论给新的可能的黑客道德规范的出现提供了很好的契机。在一段时间里,一个叫做"热带雨林青年(Rain Forest Puppy)"的黑客坚持着安全研究员和软件开发者应该如何沟通的原则。在它的核心,所谓的RFPolicy指导方针建议软件公司应该每五天就给研究人员更新材料。
@Stake的Wysopal与人合作编写了一套更为正式的研究人员规则,在其中他提倡对软件开发者要给予更多的宽容。在这份报告中,他建议研究人员给企业7天的反应时间(而不是5天),并给企业30天的时间来认真研究并解决这些问题。
Oracle的Davidson表示这样的指导方针开始了一场重要的对话。"不要因为坐在那里什么也不做原谅我们自己,如果我们准备那样做。应该说'穿上我们的鞋。'"她表示。"黑客只需要发现一个漏洞并为他们自己取一个名字,而我们却需要对这个漏洞进行彻底的研究。" 而且随着企业和执法部门对重要的网络和系统日益关注,那些认为自己是灰帽子的人在中间地带活动的时间不会太长了。
"我认为我们看到了人们更关注于做正确的事情的一个转变,"白宫计算机安全小组的Schmidt表示。"无论你头上的帽子是什么颜色的,你都应该意识到现在对于网络的依赖越来越大了。"
第22章:黑客近景写真
他应该算一个资深黑客了,从玩ham到Fido飚信,到在瀛海威里贴自己翻译的国外安全文章,至少资历不短了。
但听说要采访,他就变得非常谨慎,突然有电话打来,大概让他去参加公安厅组织的一个网络安全态势方面的会议,我只好中断采访,我知道他很忙,他从前在国企作Project Manager,那时做安全完全是业余爱好,但如今他已经是一个安全公司的技术骨干了,并持有那家公司的股份。
最后,我的采访变成了下午的电话采访。
“公司里有几个人?”
“十几个人”
“目前你在网络安全方面主要开发的东西是什么呢?”
“主要还是IDS”
“你也参与其他安全业务吗?
“对,目前主要是安全顾问,安全检测”
“有评论曾经说现在部分的安全公司是网络黑社会,先扫描,再通知,简直像在收保护费”
“我们关于扫描检测都是有严格规定的,不允许未经用户授权探测和扫描任何节点”
“做安全顾问主要难在哪里?”
“嗯,主要还是客户的安全意识和现状上,如果客户不配合,那么工作难以进行,一些客户的业务系统已经成形了,而且根本没有遵循任何安全规范,但不可能要求他们推翻以前的软件重来,比如一个规模已经很大的ICP,你发现cgi写的都一塌糊涂,但你不可能要求客户按照安全规范重写一遍,当然给这样的客户服务,做起来就会感觉比较吃力。而且一旦出了问题,责任就难以界定…”
“那你会担心攻击者的挑战么?”
“怎么会,就像我一个朋友说的 ‘作为一个安全工作者,攻击者带给我们更多的挑战也带给我们更多使命和快乐,真正给我们压力的是客户、投资人和官方’”
我和一些安全工作者接触的时候发现他们很喜欢引用别人说的话,似乎这样会显得更谨慎而不犯错误。当然这句话给我深深的好奇,他终于答应告诉他朋友的名字和联系方式,原来那个人其实和我很熟悉,却没想到我一直感觉只关心技术的他会说出如此深沉的语言。
但我电话里询问这句话的来龙去脉的时候,他干笑了一声,仿佛他根本没说过这句话,后来我知道他说过另一句,流传更广的话,那就是一个合格的职业安全工作者,应该“如临深渊,如履薄冰”。
他们属于中国最早的黑客,不管中国有没有真正的黑客,至少他们这一批人,是最有资格被称为黑客的。
但他们不再是黑客了,他们已经穿上了职业外套,因他们的