黑客被大公司“招安”从“地下黑市”到“自由市场”
近日,网络安全公司Tipping Point推出了名为“零日创意”的安全漏洞交易市场。作为项目的一部分,Tipping Point对黑客们将推出积分奖励计划,经常查找出漏洞并上报的黑客最多可以获得2万美元的奖金。
目前,因安全问题屡遭打击的计算机公司正在开始改变策略,改善与防不胜防的庞大黑客群体的关系,并努力使过去网络间存在的一些地下交易转向正规化,为网络安全问题做出正面贡献。
从“地下黑市”到“自由市场”
网名BIT的俄罗斯黑客发现了微软开发的IE网络浏览器程序存在的某种漏洞,相当于为黑客们打开了一扇进入电脑的后门,使用IE浏览网页的电脑极易因此受到其他黑客攻击。在一个病毒编写者经常聚集的秘密聊天室中,BIT贴出了这样一则广告:“出售IE破解”。猜猜他的标价是多少?300美元!
像这样可供BIT兜售他的黑客诀窍的“地下黑市”还有很多,这里只是无数个秘密计算机安全漏洞买卖地点中的一个。每天都有黑客在网上做关于新发现的系统安全漏洞的广告,从微软的Windows
XP操作系统到手机系统软件Symbian。对此有兴趣的黑客根据他们留下的联络方式与他们取得联系,购买这些技术秘密,然后乐此不疲的对其他电脑进行攻击。更有部分有组织的犯罪花大钱购买可以破解公司安全系统软件的技术,盗取公司的用户数据库,窃取用户的个人保密信息。
现在,这类地下非法交易现在正在逐渐走上一种更正规、更光明的道路。许多计算机安全公司开始为网络安全技术创造合法的交易市场,通过这种途径向曾使他们头疼不已的黑客们购买他们的智慧结晶,根据他们提供的信息修改系统安全保护过程中存在的漏洞。
应该说,将过去与黑客之间对立的关系向合作的方向发展,是科技产业的一次全新的尝试。科技产业单方面难以抵御互联网上泛滥的病毒、入侵和欺诈,许多科技公司开始与黑客群落“联络感情”。在黑客世界中,出于责任感而非恶意攻击的人被称为“白帽”,而以攻击安全漏洞为乐事的恶劣分子被称为“黑帽”。网络安全公司向黑客群体寻求合作的目的正是为了确保能够获得“白帽”们的协助,以抵御来自“黑帽”们的恶意攻击,并且“招安”那些在“白帽”与“黑帽”两大阵营之间摇摆不定的黑客。
大公司打出“招安”牌
最近发生的“林恩事件”更是凸现了科技公司与黑客关系的重要性。今年7月在拉斯维加斯举行的年度“黑帽大会”上,前互联网安全系统公司(ISS)安全研究员迈克尔?林恩计划代表ISS公司举行题为“追寻圣杯:思科IOS介壳程序码与远端执行”的演讲,主要是关于思科路由器软件系统的程序代码中存在的漏洞及其危害性,以帮助思科用户了解如何自我保护。但后来思科公司与ISS达成协议,取消此次报告会。为使演讲继续,林恩27日早晨毅然辞职,离开ISS的研究团队,照常举行演讲。林恩的演讲使与会者大为震动。“黑帽大会”的出席者、安全研究员达里尔·泰勒说,他对林恩的示范印象相当深刻。“他轻而易举地入侵介壳程序(一种命令提示,对操作系统下达控制指令),然后展示基本的攻击方法。许多人曾声称这是不可能的,但他坐在那儿三两下就办到了。”
思科系统随即在28日向法院递交申请,要求向大会主办单位与林恩提出紧急禁止令,其中的部分要求是“从林恩处知晓漏洞问题的任何人……不得出售或提供……任何思科系统的安全漏洞问题或是具体代码”。
尽管思科最终在法律上取胜,但“封口令”相当于对黑客群体宣战一样的条文在黑客世界中引起了轩然大波。凯文·米特尼克曾因黑客犯罪锒铛入狱,现在已拥有了自己的计算机安全咨询公司。这位计算机天才称,思科公司压制性的举动已经极大触怒了黑客群体。据安全专家称,在案件尚未判决的时候,就有成群结队的黑客开始合力研究如何破解思科系统的技术。
与思科对黑客世界的极端抗拒相比,微软则走向了另一个极端。由于Windows操作系统在世界范围内的垄断,以及对竞争对手蛮横打击的历史,微软的软件已成为黑客们最喜爱攻击的目标,而微软也视这些黑客们为肖小之徒。但微软现在已经改变了对黑客们的态度,并积极培养这一群体。在拉斯维加斯“黑帽大会”举行的同时,微软也在拉斯维加斯主题饭店、恺撒皇宫著名的奢靡夜店佩尔大搞派对,共有450名安全研究员和个人性质的黑客被邀请参加,他们可以随意进行在计算机安全或是个人生活方面的交流。微软安全答复部门的主管凯文·基恩毫不讳言的表示,微软此举是为了与黑客们达成密切友好的关系,同时也借此机会认识到这些人对安全问题怀有的热诚。
微软的示好举动还不止如此。今年3月份,微软举行了首次“蓝帽”大会。这是一次不同寻常的聚会,一次黑客群体的代表与他们首要攻击的企业目标之间的峰会。而之所以称之为蓝帽大会,则是因为微软LOGO的颜色是蓝色。部分安全研究员与黑客被邀请至Windows帝国的心脏地带,演示他们所发现的微软系统的漏洞以及利用这些漏洞的目的所在。微软一些最高层的领导出席了会议,其中包括微软Windows总负责人吉姆·奥尔欣,Windows核心操作系统开发部的负责人布莱恩·瓦伦丁等。
科技公司的种种招安手段似乎起到了成效。在西雅图的家中创办了自己的网络安全公司的26岁黑客丹·卡明斯基和他的黑客伙伴们过去对总是对微软之类的电脑巨头非常反感。但在今年3月受微软之邀参加蓝帽峰会并发表演讲之后,卡明斯基说:“我不知道我们是否应该结束这种大规模的敌对状态,或者,我们应该走向某种合作模式”。
“金元政策”仍受质疑
在“零日创意”交易市场钟,参与者必须提供附照片的身份证,经过详细的背景调查之后方可进入市场,通过严格的审查措施将有可能搅乱交易市场的恶意黑客拒之门外。对于提供有帮助的技术的黑客,公司也只通过银行支票支付奖金,而不是通过黑客们可以从中做手脚的网上转账。
“零日创意”的奖励机制是这样的:参与者的贡献积分从低到高,分为铜、银、金和白金四个等级。在2万美元的最高奖金之外,白金等级的黑客还可获得当年发现安全隐患所得积分的三倍回增。不久前,共有750人参加了TippingPoint举办的“零日创意”开幕式。3Com公司的安全技术主管马克?维利比克称,在这里是安全问题研究者聚集财富的自由天地。通过这种正规化形式,黑客们所发现的安全漏洞可以被用于正当作用。
早期的实践结果也证明这样的做法确有成效。瑞纳莫德安全公司早在2002年就开始向举报安全问题的黑客提供奖励,根据他们的报告,迄今为止,来自30个国家的200多名黑客协助公司发现了1100多个安全漏洞。
尽管目前科技产业与黑客之间正在相互靠拢,但是向举报安全技术漏洞的黑客提供奖金这一行为仍使得部分网络安全公司深感不安。他们担心这类交易的合法化可能促使更多的黑客为了钱财而纷纷抢在软件公司之前寻找尚未发现的安全隐患,而更值得担忧的是黑客们有可能出演一出“无间道”:既参与“零日创意”向安全公司提供技术信息获取奖金,同时又利用这些技术为非作歹。安全软件制造商McAfeeInc.的总裁吉恩?霍奇指出,任何公司必须考虑在将奖金发放给黑客的同时,保证他们不使用这些技术对安全漏洞进行攻击。霍奇认为将黑市交易合法化并不妥当,任何采取这种做法的公司应该谨慎从事。
对于外界的争论声音,Tipping Point公司董事长、3Com公司首席科技官马克·勒迈尔认为,与其让提供这些信息的黑客将这些安全漏洞放在黑市上交易,还不如让他们为网络安全的进步做贡献,浮出水面的合法交易场所实际上是一件好事。
|
