透過DNS漏洞發現者 看安全專家職業操守

【賽迪網-IT技術報道】「DNS問題一直存在，我們有65000/1的機會被攻擊，但我們覺得，你每天只有一次攻擊機會，嘗試65000天不是件容易事，所以並不見得多麼危險，然而這種低概率攻擊總是一種隱患。現在，在這種新漏洞下，一個黑客可以在10秒內發起65000次攻擊，這很容易得逞。」這位29歲的安全專家丹・卡明斯基（ Dan Kaminsky）在參加2008年黑帽大會給出了這一重大安全漏洞最直白的威脅。

當丹・卡明斯基發現他關於DNS漏洞的細節被意外洩露出來的時候，第一時間的反應是通過在博客發緊急消息的方式提醒大家：「趕快打補丁，別睡覺，使用 OpenDNS...」

在DNS漏洞被意外洩露到黑帽大會公開披露DNS漏洞細節的一個月中，這位年輕的安全專家用自己有限的聲音，呼籲DNS伺服器所有者立即更新他們的系統補丁，雖然一部分的系統管理員和安全專家質疑丹・卡明斯基關於DNS漏洞的威脅是在炒作，有些小題大作。更有甚者，當丹拒絕在黑帽大會之前公佈細節時，人們把這樣一種行為視為挑釁。

「DNS漏洞洩露，互聯網面臨空前災難」，「DNS漏洞細節被洩露，噩夢即將開始」等等新聞報道出現在互聯網上的時候，我們視覺的焦點被其將會出現的威脅奪走，用戶和企業開始關注DNS漏洞是否在我的企業內部存在，該如何打上補丁。但這位年輕安全專家的職業操守讓我感到敬佩，如果有機會採訪到這位同齡人，我最想問的問題是：「在利益和職業操守面前，你為什麼選擇了後者？你認為安全專家和黑客最大的區別在那裡」。慶幸的是，在後續的媒體報道中，我看到了相關的問題。但丹・卡明斯基的回答樸素的讓我驚訝。

當丹・卡明斯基在黑帽大會上發表主題為「End of Cache as we know it」的演講之後，黑帽大會創辦人Jeff Moss直言不諱：如果你當時選擇不對全球提出警告，而是把漏洞信息賣給黑客集團，那麼你可獲得多少利益？丹拒絕了猜測相關數字。

VentureBeat的記者：很幸運是一個安全專家而不是其他人發現了這個問題。丹・卡明斯基的回答：服務能力是一個被忽視的安全問題，我今年得到的最大教訓就是這個。你必須假設你的架構的某一部分會出現問題，而你時刻準備去迅速解決。我們需要一個過程，從得到警告到花費多少天去解決問題。人們購買這類系統的時候需要考慮這個問題，這個系統應當容易修補漏洞。一個可以在8小時內補上漏洞的系統，比90天才能修補的系統更能承受攻擊。一個隨機的黑客和一個安全專家的區別在於是否有災難計劃與緩解意識。

在利益和職業操守間，丹・卡明斯選擇了他所熱愛事業的正確方向，早在6個月前，當發現DNS漏洞後，第一時間就與微軟、Sun和思科等業內巨頭取得了聯繫，就提出相應解決方案問題展開合作。在隨後的日子裡，呼籲眾多的網絡運營商瞭解漏洞的嚴重性和說服他們升級系統成為丹的主要任務，直到漏洞被意外洩露。

我相信丹・卡明斯基肯定遇到過美元擺到眼前的事情，但當其發現DNS漏洞後的處理方式已經給了我們最好的詮釋。

而在此時一件轟動全球的黑客事件也進入我們的視野，「美國最大黑客盜竊案，有11人因涉嫌非法闖入美國9大零售商電腦系統，並且偷盜販賣了4100萬個信用卡和提款卡號而被起訴。在這11人中還有一名美國密情局特工阿爾伯特-岡薩雷茲，這起美國最大的信用卡盜竊案由系統漏洞造成，被以阿爾伯特為首的黑客組織所利用，並最終造成難以估量的損失。在利益和職業操守間，這位前美國安全部門的成員選擇了利益，背棄了國家賦予他的使命和責任，遠離了他也許曾經熱愛事業的正確方向。

在技術漏洞面前，我們可以選擇補丁來彌補。在利益面前，需要職業操守和道德規範的心靈約束。

(