要么當黑客,要么當安全專家
Kevin Finisterre承認他喜歡在劃分"白帽子"黑客和那些壞家伙的倫理界線附近活動,但是他對于他的公司的行為可能會帶來HP采取法律行動的威脅卻知道的很少。
誰是黑客?
在通常的理解里, "黑客"是喜歡修改并暗中破壞系統的人,無論是科技的,政治性的還是社會的。
很多時候,這個詞被用來形容那些已經學會了如何闖入系統的人。
在過去的十年里,"黑客"這個詞已經演變成描述那些對計算機安全以及如何攻破這些安全措施有濃厚興趣的人。
這個夏天,Secure Network Operations這家安全公司的顧問通知了HP在它的Tru64存在的將近20安全漏洞。但是在7月下旬,當HP就要完成對這些漏洞的補丁的時候,Finisterre的另一位雇員公布了其中的一個漏洞并且示范了如何利用這個漏洞--迫使HP這個軟件巨人威脅要進行DMCA(Digital Millennium Copyright Act)起訴。
Finisterre并不是HP雇用的,他現在表示他會在主動通知其他公司他所發現的安全漏洞之前三思而行。
"隨著更多的法律出臺,你將會不得不決定你想要站在哪一邊--黑帽子還是白帽子。"這名22歲的顧問表示。
在最近幾個月里,面臨著DMCA,加強執法力度以及老板們的詳細審查,帶有各種背景的黑客都被迫重新考慮他們的行為。
黑客們分成兩個極度相反的陣營。一邊是企業安全專家們,"帶著"他們的白帽子,他們嚴守規章,認為軟件的漏洞應該只對該軟件的開發者或者可信任的第三方公開。與之相反,"黑帽子"黑客只對闖入和攻破安全措施有興趣。
在中間的是"灰帽子"黑客,但他們現在發現他們一度被接受的行為,比如向大眾公開某個公司產品的安全漏洞,現在可能把他們送進監獄。
即使是白宮也要在這場論戰中權衡。在承認需要第三方來發現安全漏洞的同時,布什總統的計算機安全小組認為需要指定更為嚴厲的法律,而不是有更多的例外。
"我們現在到了一個十字路口,必須決定人們應該往哪個方向走:他們是應該繼續做安全顧問還是投向黑暗的那面?"白宮重要基礎架構保護部門的副主席Howard Schmidt表示。
這種情緒在灰色地帶回響不斷,而當今大部分嚴肅的黑客們都在這一地帶辛苦工作著。隨著法律的加強和企業法律部門日益增加地發動攻擊,很多安全專家們擔心他們發現的下一個bug或者創造的下一個工具可能使他們被起訴或控告。
"你現在不能做任何事" Digital Defense(一家網絡保護公司)的安全專家和黑客H.D. Moore抱怨道。"曾經當你黑一個小站點時,人們會說'哦,這只是個愚蠢的小把戲'。現在你攻擊的是一個擔任重要任務的服務器,這就是恐怖主義了。"對于黑客行為界定的模糊不清使情況變得更加錯綜復雜。雖然這個問題廣泛地在法律和道德規范上得到了界定,但是幾乎沒有哪個月沒有關于某個特定的安全漏洞是否應該被公布的爭論。
"灰帽子"的概念最早來源于L0pht--一個非常出名的黑客團體,它宣稱建立一個"閣樓"--以示他們既和企業安全測試員有區別,又不愿意和臭名昭著的黑帽子們攪在一起。這個詞定義的大多數人和很多企業安全研究員一樣是安全專家和顧問,但他們更加獨立。
"我們用'灰帽子'來代表那些獨立的研究員,他們不是只對某一個特定的公司或產品感興趣," @Stake(一家安全公司,它是由L0pht黑客中的核心成員組建的。)的研究和發展總監Chris Wysopal表示。Wysopal自己在L0pht的時候就是一個"熔接池(Weld Pond)"。
但是另外一些人并不相信灰帽子應該存在,即使是對于那些闖入公司服務器只是為了通知網管相關的安全漏洞的黑客們。這種行為因為巡回黑客Adrian Lamo而出名。他在通新聞界或出版界之前,侵入了WorldCom、紐約時報、美國在線和Excite@Home的網站。
對于象Peter Lindstrom(Hurwitz Group顧問公司的安全策略主管)這樣的人來說,Lamos以及和他一樣的那些人都是罪惡的黑客。
"如果你是灰色的,那你就是黑色的。" Lindstrom表示。"我并不是不理解他們想要做什么,可是他們實際的所作所為卻是非常差勁。" 當黑客們攻擊一個網絡時,管理員有幾種方法可以判斷他們的意圖。任何一個事件都必須當成緊急情況來對待,Lindstrom堅持這樣認為,所以每一個闖入者都必須被當作罪犯來對待。
持這種觀點的人在今天可能是少數,但是它在很快地贏得支持。這種趨勢領導了支持諸如DMCA之類法律的新的力量。
對于灰色地帶的打擊去年,FBI拘捕了俄羅斯程序員、黑客Dmitri Sklyarov,因為他編寫的一個可以攻破Adobe Systems的電子書(e-book)文件保護的程序違反了DMCA。Adobe促使了FBI的這次行動但是迫于廣泛的批評的壓力撤回了訴訟。現在司法局正在追蹤這個針對Sklyarov的公司的案子。
這次拘捕行動使那些發現了軟件漏洞的人非常擔心。在今年的Defcon黑客會議上,一些國際上的研究員由于美國的法律環境,對自己是否來參加2003年的會議表示懷疑。
"DMCA如此復雜、含糊不清、讓人費解,"斯坦福大學互連網和社會中心的律師以及執行理事Jennifer Granick表示,"這是最大的問題。"DMCA成了軟件和媒體工業讓批評家和安全專家保持沉默時最愛使用的法律武器,盡管在 美國唱片行業協會(Recording Industry Association of America)威脅要采取法律行動時,美國國會圖書館(Library of Congress)為普林斯頓大學的教授Edward Felton延遲發布他所發現的關于幾個音樂標準的安全問題寫了免除文件。
據報道,除了針對ElcomSoft的案子,FBI還對Lamo攻擊一個包含紐約時報專欄作家合同信息的數據庫進行攻擊一事展開了調查。
國內的事件很多安全公司,比如Digital Defense,Internet Security Systems和@Stake都對外宣傳他們雇傭了一些黑客來提高自己的威望。
Oracle 的首席安全官Mary Ann Davidson甚至宣稱他們擁有一個自己培養的黑客的小組,這個小組很少接納外部的黑客。
"我使用'黑客'這個詞只是表示他們很專業"她說。"我不相信為了我們的失誤而責備開發部門是正確的,我們要做的是盡量發現和補救。"然而,另外一些人信奉的是"不要問、不要說"的原則。
"企業們說,'我們不雇傭黑客。'但是你到那些企業去,會發現有滿屋子的黑客在那兒工作," "md5,"表示。他是西雅圖一個白帽子團體GhettoHackers的成員之一。
今天的安全意識的氛圍意味著無論是程序員還是黑客都必須對政策和法律更加留意。很多人的對于安全問題新的敏感程度使得他們不愿意向公司通報他們所發現的安全漏洞。
"還有很多安全漏洞有待發現,但是沒有人會公布它們,"在提到諸如Bugtraq之類還保留著那些漏洞的時候,Moore這樣表示。他還補充說,"有趣的"安全漏洞經常不會被透露出來。
Secure Network Operations最近的經歷很能說明這個問題。Finisterre--以".猛砍"出名--沒有改變他的哲學,但是他的公司對于公開安全漏洞上卻警惕得多。"現在,當我們和廠商接觸時,象是走在水上,因為HP的所作所為把我們嚇著了。"他表示。
未來的帽子這場爭論給新的可能的黑客道德規范的出現提供了很好的契機。在一段時間里,一個叫做"熱帶雨林青年(Rain Forest Puppy)"的黑客堅持著安全研究員和軟件開發者應該如何溝通的原則。在它的核心,所謂的RFPolicy指導方針建議軟件公司應該每五天就給研究人員更新材料。
@Stake的Wysopal與人合作編寫了一套更為正式的研究人員規則,在其中他提倡對軟件開發者要給予更多的寬容。在這份報告中,他建議研究人員給企業7天的反應時間(而不是5天),并給企業30天的時間來認真研究并解決這些問題。
Oracle的Davidson表示這樣的指導方針開始了一場重要的對話。"不要因為坐在那里什么也不做原諒我們自己,如果我們準備那樣做。應該說'穿上我們的鞋。'"她表示。"黑客只需要發現一個漏洞并為他們自己取一個名字,而我們卻需要對這個漏洞進行徹底的研究。" 而且隨著企業和執法部門對重要的網絡和系統日益關注,那些認為自己是灰帽子的人在中間地帶活動的時間不會太長了。
"我認為我們看到了人們更關注于做正確的事情的一個轉變,"白宮計算機安全小組的Schmidt表示。"無論你頭上的帽子是什么顏色的,你都應該意識到現在對于網絡的依賴越來越大了。"
