透过DNS漏洞发现者 看安全专家职业操守

“DNS问题一直存在,我们有65000/1的机会被攻击,但我们觉得,你每天只有一次攻击机会,尝试65000天不是件容易事,所以并不见得多么危险,然而这种低概率攻击总是一种隐患。现在,在这种新漏洞下,一个黑客可以在10秒内发起65000次攻击,这很容易得逞。”这位29岁的安全专家丹·卡明斯基( Dan Kaminsky)在参加2008年黑帽大会给出了这一重大安全漏洞最直白的威胁。

  丹·卡明斯基(Dan Kaminsky)

  当丹·卡明斯基发现他关于DNS漏洞的细节被意外泄露出来的时候,第一时间的反应是通过在博客发紧急消息的方式提醒大家:“赶快打补丁,别睡觉,使用 OpenDNS…”

  在DNS漏洞被意外泄露到黑帽大会公开披露DNS漏洞细节的一个月中,这位年轻的安全专家用自己有限的声音,呼吁DNS服务器所有者立即更新他们的系统补丁,虽然一部分的系统管理员和安全专家质疑丹·卡明斯基关于DNS漏洞的威胁是在炒作,有些小题大作。更有甚者,当丹拒绝在黑帽大会之前公布细节时,人们把这样一种行为视为挑衅。

  “DNS漏洞泄露,互联网面临空前灾难”,“DNS漏洞细节被泄露,噩梦即将开始”等等新闻报道出现在互联网上的时候,我们视觉的焦点被其将会出现的威胁夺走,用户和企业开始关注DNS漏洞是否在我的企业内部存在,该如何打上补丁。但这位年轻安全专家的职业操守让我感到敬佩,如果有机会采访到这位同龄人,我最想问的问题是:“在利益和职业操守面前,你为什么选择了后者?你认为安全专家和黑客最大的区别在那里”。庆幸的是,在后续的媒体报道中,我看到了相关的问题。但丹·卡明斯基的回答朴素的让我惊讶。

  当丹·卡明斯基在黑帽大会上发表主题为“End of Cache as we know it”的演讲之后,黑帽大会创办人Jeff Moss直言不讳:如果你当时选择不对全球提出警告,而是把漏洞信息卖给黑客集团,那么你可获得多少利益?丹拒绝了猜测相关数字。

  VentureBeat的记者:很幸运是一个安全专家而不是其他人发现了这个问题。丹·卡明斯基的回答:服务能力是一个被忽视的安全问题,我今年得到的最大教训就是这个。你必须假设你的架构的某一部分会出现问题,而你时刻准备去迅速解决。我们需要一个过程,从得到警告到花费多少天去解决问题。人们购买这类系统的时候需要考虑这个问题,这个系统应当容易修补漏洞。一个可以在8小时内补上漏洞的系统,比90天才能修补的系统更能承受攻击。一个随机的黑客和一个安全专家的区别在于是否有灾难计划与缓解意识。

  在利益和职业操守间,丹·卡明斯选择了他所热爱事业的正确方向,早在6个月前,当发现DNS漏洞后,第一时间就与微软、Sun和思科等业内巨头取得了联系,就提出相应解决方案问题展开合作。在随后的日子里,呼吁众多的网络运营商了解漏洞的严重性和说服他们升级系统成为丹的主要任务,直到漏洞被意外泄露。

  我相信丹·卡明斯基肯定遇到过美元摆到眼前的事情,但当其发现DNS漏洞后的处理方式已经给了我们最好的诠释。

  而在此时一件轰动全球的黑客事件也进入我们的视野,“美国最大黑客盗窃案,有11人因涉嫌非法闯入美国9大零售商电脑系统,并且偷盗贩卖了4100万个信用卡和提款卡号而被起诉。在这11人中还有一名美国密情局特工阿尔伯特-冈萨雷兹,这起美国最大的信用卡盗窃案由系统漏洞造成,被以阿尔伯特为首的黑客组织所利用,并最终造成难以估量的损失。在利益和职业操守间,这位前美国安全部门的成员选择了利益,背弃了国家赋予他的使命和责任,远离了他也许曾经热爱事业的正确方向。

  在技术漏洞面前,我们可以选择补丁来弥补。在利益面前,需要职业操守和道德规范的心灵约束。