DoSECU安全报道 2月19日消息:在上周的ShmooCon安全会议上,当与会者得知卡巴斯基在美国的网站因存在漏洞而遭到黑客攻击时,他们都惊讶得呆若木鸡。
环顾会议大厅,我看到许多人都盯着手机在看这条惊人的消息,对此,他们也纷纷各抒己见。
相对于一些我们已知的惊人的消息来说这虽然是个小事,但对会上的安全从业人员来说却是个不小的问题,因为卡巴斯基毕竟是个专业安全厂商,他们承担着用户的委托,以保证这种事情不会发生在他们身上。
当听说F-Secure也表示其网站一直是SQL注入攻击的受害者时,安全厂商的自信心被撼动了。
当然,两个厂商在其诚实表现上应该受到夸奖。
卡巴斯基实验室高级研究工程师Roel Schouwenberg直接了当地说:"对于任何公司来说这都不是好事,尤其是一家负责安全的公司。"他说:"这是本不应该发生的,现在,我们正在竭尽全力解决这一问题,以确保类似情况不会再次发生。"
F-Secure北美分公司的技术服务部门经理David Frazer承认,一家安全公司遭受破坏,事无巨细都应该觉得尴尬。
虽然他们的诚实值得赞赏,但是他们确实应该感到尴尬。
如果安全是你们公司的业务,即使是最小的破坏也应当被斥责。如果你们不能对付那些觊觎你们数据库的坏人,用户怎么有理由期望你能保证他们的安全?
当然,没有一家公司可以百分百免受攻击,即便是安全厂商。关键是厂商需要在客户之前对这一现象保有一定的预见性。
Kaspersky 和 F-Secure 在行业内有着良好的口碑,解决这一问题并不难,我们希望其他安全厂商从他们的遭遇中进行学习,并作出相应地规划。
这意味着应该在内部安全方面做到双保险,尤其对用户要毫不遮掩:他们也同样处于危险之中。