有很多人都听说过LC5的大名。这是一款全球最好和最快的Windows NT/2000/XP/UNIX 管理员帐号密码破解工具。它的创造者就是曾经在黑客世界里呼风唤雨的超级黑客团队L0pht。早在1998年L0pht就预言,互联网将成安全灾难,但当时这种耸人听闻的言论却被人所忽视。
那是在1998年5月,7位来自网络世界的神秘黑客,7个年轻人,来到华盛顿面见美国国会山最有权势的立法委员。他们来到这里的目的只是为了向全世界传递一份令人惊恐的警告。他们告诉参议员和立法委员,你们的计算机不安全,你们的软件不安全,你们的硬件不安全,甚至连接它们的网络也不安全。这些年轻的黑客们表示,制造这些不安全产品的公司根本不在意,也没有必要去在意,因为电脑出了问题对他们不会造成任何损失。
“如果你要找寻计算机安全,那互联网绝不是你能找到那玩意儿的地方。”当时年方27,一头棕色长发披肩如同圣经先知的Mudge说。“互联网可以被现在坐在你们面前的7个人中的任何一个,在30分钟内,用一个键盘搞掉。”
当时包括约翰·格伦、乔·利伯曼和弗雷德·汤普森的两党联合小组的参议员们很严肃地点头认同,明确表示他们清楚了情况的严重性。“我们必须得对此做点什么。”汤普森说。但联邦政府不仅没有相应的技术,也没有意愿对此做出什么反应。最终,发生的却是一场错失良机的全人类悲剧,17年后世界还在为泛滥猖獗的不安全状况付出代价。
这个黑客团队就是L0pht。
当万维网将计算机网络的变革性力量带给大众的时候,黑客和其他计算机专家们就已经发出过警告。这将给普通用户和现实世界的关键系统带来巨大的风险,比如正在快速网络化的电厂。
华盛顿及全世界的官员们,都没能在麻烦蔓延至整个网络空间时强有力地解决掉这个充满机遇与混乱的广阔新前沿中发生的问题。甚至直到今天,很多严重的网络入侵利用的还是那个年代出品的软件中的漏洞,比如Adobe Flash、甲骨文的Java和微软的IE。
真名为克里斯·托马斯的Space Rogue说:“我们有相同的安全问题。金钱与意识都投入了更多。但同样的问题依然存在。”
L0pht诞生于波士顿地区热闹非凡的黑客氛围中,并在网络和互动游戏大潮中崛起成为黑客界翘楚。在线软件需要访问用户计算机的核心功能,也就给了黑客新的机会远程操纵这些机器。
闯入联网的计算机变得如此容易,以致于长期以来都是理想主义科学家和爱好者徜徉之国度的互联网渐渐变得充斥着一堆“务实”的专业人士:骗子、欺诈专家、间谍和网络战战士。他们利用计算机漏洞来赚钱或者攫取其他利益,同时又在持续不断地挖掘新的漏洞。
科技公司时常焦头烂额地补漏洞——通常是在黑客或学术研究人员公布漏洞之后,但是极少有公司愿意花费巨大财力物力人力让自己的系统在面对未来攻击时更加安全。他们的利润依赖于其他因素,比如为顾客提供新功能,而不是挫败黑客的企图。
赖斯大学计算机科学教授,自90年代起就一直从事网络威胁研究的Dan Wallach说:“在真实世界里,人们只会将资金投在解决现实问题上,假想中的问题从来不在他们的考虑范围。你卖的不是安全,是别的什么东西。”
其结果,就是科技产业里常被嘲讽为“打补丁然后祈祷吧”的氛围。换句话说,持续推陈出新,持续售卖,必要时再发布几个补丁包。如果系统崩溃——引发数据丢失、信用卡密码被盗或旷日持久的计算机宕机,那负担也落不到大财主似的科技公司上,而是落到他们的冤大头客户身上。
L0pht成员称,他们经常在各自作为底层程序员或电脑公司销售员的日常工作中体会到这种漫不经心的态度。当他们向软件公司报告漏洞时,公司管理人员常会问的一句就是:还有其他人知道这事儿吗?
前L0pht成员化名Weld Pond的克里斯·威索保。威索保和另一位L0pht黑客Dildog早在2006年就成立了安全公司Veracode。
黑客们都在网上相见,主要集中在能够供计算机狂热分子自由交换关于各种系统运行的小技巧、笑话和深度思考的论坛上——某些情况下这些系统的创造者都不知道自己的系统还能干出这么些匪夷所思的事儿。这就是黑客行为的本质——其本身是没有善恶之分的,某些时候两者兼具,就看黑客自己的出发点是什么了。
L0pht的成员数量每年都有变动,但一般保持在7或8个人,他们迷恋技术,精于探测技术的极限。他们会解码硬件驱动程序,或者用过多字符反复淹没口令字段——也就是常会导致系统崩溃的“缓冲区溢出”攻击,打开实施进一步操作的大门。
“应该有用和真的有用两者的区别在于漏洞发生的位置。”
L0pht的第一个场地,也是该团队命名的灵感所在,是在波士顿南端一家木工工作室上面的阁楼。租下它的原因,是由于团队成员之一的女朋友越来越忍受不了他们公寓中胡乱堆放的旧电脑设备。
阁楼里面是极客天堂,废旧电脑、电视机、沙发、冻啤酒、80年代古老的“战争地带”街机游戏,还有一排打扮诡异的人体模型,模型上挂着的东西包括:短裙、毒气面罩、路上捡的烧焦了的警服残留物。这群人也不知是走了什么狗屎运,房东竟然每个月帮他们支付电费,保障了这间堪称“电老虎”的计算机实验室的电流生命线持续不断。
L0pht最年轻的成员,淘气的滑板爱好者Joe Grand回忆道:“在很多方面它真的是一个避难所。我的人生都被它所塑造。”
他们借以实现自身意愿的装备是从科技氛围很浓的波士顿地区垃圾桶里捡来的。 L0pht成员会翻新一些硬件拿去跳蚤市场卖来帮助支付帐单,但他们留下了大多数有用的部件,包括一台巨型的VAX机——由两个单元组成的70年代古董级大家伙,每个单元都有一台洗衣机那么大,而且竟然还真被他们沿着陡峭的楼梯搬上了阁楼。
他们特别鄙视所谓的清单式安全,也就是某些公司仅仅实现了一定量的标准功能——比如密码或基本加密,就敢宣称自家产品安全的行为。“我们会说,‘给咱来一个,哥破一个给你看看。’”威斯保追忆道。
他们几乎总能做到这一点,通常经过一夜奋战,用程序员没想到或根本没准备过方法攻击那些系统。顶着Silicosis这个黑客ID的Paul 纳什曾经发现,自己可以仅仅通过发送一条命令就能迫使使用微软Windows操作系统的计算机掉线。这招他还很开心地秀给了来访者看。(牛评:多少人还记得曾经的IP炸弹,输入IP地址回车之后,对方的windows 98立刻蓝屏。)
L0pht成员不是自己在挖掘漏洞就是在帮助别人挖掘漏洞,包括在波士顿一家酒吧定期举行的聚会上交流漏洞信息。在这个聚会上,披露一个新的计算机漏洞就能得到一杯免费啤酒(牛评:这让现在的白帽子们情何以堪)。L0pht还通过Hacker News(由Space Rogue运营维护)传播安全发现的声音。Space Rogue可谓是天生的多面手,小孩子时期就自己装配了一个手电代用品让自己可以躺着看书,这家伙至今还保留着使用自己的黑客名的习惯。
Hacker News渐渐风靡网络,并吸引了许多广告商。L0pht虽然不想玷污自己的官方站点L0pht.com,但很高兴能用Hacker News赚点收入。最早的一个收费广告是关于俄罗斯新娘的。
黑客团队L0pht的成员最终辞去他们的正职,加入了安全公司@Stake。“我们出身的社区认为我们把自己卖了。当然,事实就是如此。”威斯保说(牛评:中国许多的黑客大牛也一样进入企业)。
L0pht部分接受黑客‘坏孩子’的经典形象,称自己为“灰帽子”,一个处于绝对正义的“白帽子”黑客和公认违法的“黑帽子”之间的角色。这个团队有点特殊的小癖好,很喜欢羞辱大公司,比如微软,讽刺他们将有安全漏洞的产品卖给不设防的客户。
L0pht发现了破解Windows操作系统用户密码加密算法的方法时,Mudge公开指责微软竟然采用这种“幼儿园级的加密”,并且,与威斯保一起做出了一个简单易用的软件工具来帮助大家击败它。L0pht成员Dildog与另一黑客组织“死牛崇拜(Cult of the Dead Cow)开发出了一个程序,可以远程控制运行着微软软件的办公网络。这款软件的名字,恶搞了微软流行软件“BackOffice Server 2000”,称为“Back Orifice 2000”;宣传材料上的标识都同样地粗鲁不堪。
但真实的L0pht比其公共形象更常规传统得多。威斯保是莲花公司的一名程序员。Space Rogue和另两名成员在技术产品服务经销商CompUSA工作。还有几个曾在BBN Technologies就职。 这是一家老牌技术公司,数年前曾参与建设互联网最重要的前身——五角大楼的ARPANET项目。
这些人使用黑客ID主要是出于对老板一旦获悉他们在夜幕下的另一种生活就会炒掉他们的担心。另一个同样重要的原因,则是他们想让被披露了漏洞的公司在尴尬难当之下不要那么容易就找到他们并提起诉讼,或者报警。这可是真正的威胁,不管过去还是现在,任何自由安全研究员都需要提高警惕以保证自身安全。
他们的正职工作也给他们提供了对新兴科技产业的内行人视角,帮助黑客们在广泛使用的商业或消费产品中找到漏洞。对通过正常渠道提交的漏洞报告无动于衷的公司常会发现自己已经出现在L0pht的瞄准镜中。L0pht保持与其他大量黑客的信息通畅,包括那些在大型科技公司工作的黑客,并且表示出对他们称之为利润高于安全的企业文化的鄙视。
纳什说:“他们追求的就是‘赶紧弄出来,越快越好,我们要赚钱’。他们是如此迫不及待地想推出代码,然后再考虑修修补补。”
L0pht还怀疑,即使漏洞被发现,这些公司也没什么热情去修复它。L0pht成立初期,那些据称是为收集安全意见而专门设立的公司官方电子邮箱地址,发进去的邮件都如石沉大海,其中一个特别惹人怒的典范,就是secure@microsoft.com。
他们最终找到了一条有效途径来引起公司的注意:在L0pht.com上发布的安全警告吸引了全世界IT记者的注意,并最终引起了事发公司自己的关注。(牛评:爆漏洞的鼻祖)
这种做法的负面影响就是:很多“黑帽子”也时刻监视着L0pht的安全警告,让他们有时间在公司做出修复前就利用漏洞捞一把。无法获悉到底有多少入侵事件是受惠于此,但L0pht成员毫不后悔。
曾经以Kingpin之名混迹黑客界的Grand说:“我们一直认为,既然我们知道了,那其他人可能也已经知道并在利用这些漏洞了。”
乔·格兰德,黑客名Kingpin,在他位于俄勒冈州波特兰市的家中,与他设计的无线射频识别卡读取器一起。
1993年,第一款广受欢迎的网页浏览器Mosaic的到来,使互联网成为了一股无法阻挡的文化和商业力量。突然间,上网不再是技术大拿们才能触及的奇异的遥远仙境,任何人都能“网上冲浪”了。
接下来的几年里,新的高级编程语言如Flash和Java极大地扩展了浏览器的功能。网站上开始出现流视频。经典游戏如“青蛙过河”、“超级马里奥兄弟”和“俄罗斯方块”等都能在任何接入网络的电脑上免费玩耍。
对大多数用户而言,这些新功能简直太神奇了。它们能自动出现,也许只需要鼠标轻点一下或两下。很快,世界上绝大多数电脑的硬盘里都装上了Flash和类似的编程语言。
持续飙升的消费者兴趣并没有被微软之父比尔·盖茨忽略,他在1995年5月给他的几位高管写了一份题为《互联网浪潮》的机密备忘录。这份5500字的文件以激烈、敦促的措辞要求公司在这个火爆的新兴网络市场中全力竞争。
盖茨写道:“接下来的几年,当我们迎战这些挑战与机遇的时候,将会非常激动人心。互联网是一波涌动的浪潮。它将改变规则。它是巨大的机遇,同时也是巨大的挑战。我很期待你们在如何改进我们的策略以继续我们那令人难以置信的成功记录上的投入。”
盖茨在备忘录中确实提醒了安全的重要性,他说“我们对安全的规划需要再加强。”。但他同时也说:“我希望我们的每个产品计划都去尝试互联网功能的极限。”
很多批评家后来可能会说,这种侧重性,是对微软最重要的一个导向,播下了安全专家口中“功能泛滥”的种子——软件界常见弊病,新功能还没整安全就快速上马。
90年代微软项目经理Billy Brackenridge曾表示:公司上下都深深感受到一种仓促创新,快速将每件微软产品都弄成互联网产品的氛围。谁能为公司最受欢迎的操作系统和软件添加新功能谁就有认股权。90年代微软股票拆分7次,股票总收益超过了9000%,在这样的公司工作,认股权可谓是关键工作动力。
Brackenridge回忆道:“也许有那么一两个人真正关心[安全]。但大多数情况下都是‘赶紧推出’。错过一天,就是真正的金钱损失……如果你的功能没能上马,你就得不到股票。”
微软的竞争激情激发了开发出能挑战网景导航者浏览器霸主地位的浏览器的强烈动力。网景的浏览器正是由创造了Mosaic的同一个程序员团队开发的。盖茨在他的备忘录中警告道:90年代中期,网景浏览器就已占有了70%以上的市场份额。
微软的回应是研发出IE浏览器并将其植入自家占据市场主导地位的Windows操作系统中。这一做法正是美国司法部对微软提起的反垄断诉讼的中心所在。诉讼案在2001年达成和解。
但此事对L0pht和其他黑客还有另外一些更显而易见的影响。
由于微软致力于向其产品中灌入互联网相关的功能,也为黑客创建了很多有待发现和利用的入口。尤其臭名昭著的一个是名为ActiveX的编程语言,一个像Flash和Java一样触及计算机核心的编程语言。
加州大学圣芭芭拉分校计算机科学家兼安全公司Lastline共同创始人Giovanni Vigna说:“一旦你访问某个网站下载了一些代码而且代码自动运行了……你就遇上了一种全新类型的麻烦。有了运行在你机器上的代码,我就能做各种各样有趣的事情了。”
Peiter Zatko,黑客名Mudge,上周出现在加州山景城,曾经在描述破解Windows密码安全的时候表现出对调整微软的兴高采烈。数年后,黑客组织L0pht的衰落对他造成了很大伤害。
1997年8月的一次黑客大会上,将表现欲注入L0pht的Mudge在描述破解Windows密码安全的时候明显乐在其中。在当时,Windows可是全世界商业和政府计算机上的标准操作系统。
Mudge说:“我现在不想在微软的产品上干活了。但问题是:他们简直无孔不入!你摆脱不了他们!”
他挑出了一个特别恶名昭彰的安全缺陷——将14个字符的密码域分成两个强度弱得多的7字符密码进行存储。密码越长,黑客必须尝试的排列组合数就越多,密码强度也就越大。 但微软,Mudge报告说,暗地里破坏了这一准则,从本质上用两个更短更容易破解的弱密码代替了一个强密码。
更糟糕的是,如果用户本来就选了个7字符或不足7字符的弱密码,系统会存一个指示器似的字符串在没用到的密码域里。当黑客发现这个字符串,他们就知道自己的密码破解大业已经成功了一半了。Mudge在几十个黑客的众目睽睽下很开心地展示了那个奇怪的字母和数字的组合。
“我好想把这串字符纹脑门上去微软大厅里溜达一圈!”他说了这么一句让全场哄堂大笑。
他还公布说,L0pht研究过的一个网络里,“CHANGEME”这个密码竟然被700个用户使用。
类似的古怪行径往往会在黑客圈里吸引来一批粉丝,这是获取更广的知名度和赚到一点小钱的提示。L0pht在各种大会上售出印有自己标识的T恤,还开始售卖自家破解Windows密码的工具——L0pht Crack,以50美元单价卖给那些急于在自己管理的网络上测试密码强度的系统管理员。
当L0pht成员们意识到安全顾问对这种服务的收费有多高的时候,他们将售价提高到了150美元,然后又到了500美元。其中一位买家是美国政府问责办公室GAO,负责记录联邦IT系统宕机事件的联邦监督机构。
除了L0pht攻入在线系统的满满动力,其成员还长期例行公事似的维持着他们的俱乐部。他们规律聚会,设置组织的优先事项表,小心处理财务问题。每名黑客都有自己的办公桌,每月交100美元租金;负担不了的就与人合租,费用平摊。
不过,涌入计算机安全的资金引起了他们的注意。当在线广告和T恤及L0pht Crack的售卖意味着成员们再也不用自掏腰包支付租金和其他费用时,他们第一次尝到了安全资金流入的好处。他们同时注意到新兴安全顾问是怎么赚的盆满钵满的——某些做“压力测试”的所用策略与L0pht也相差无几。
1998年L0pht出现在参议院门前的时候,组织内就已经开始形成成立真正的公司赚足够的钱来摆脱当前正式工作的想法了。
“你懂的,或许我们应该弄点儿什么了。”Space Rogue回忆起当时的想法时说道。
这就是L0pht消亡的开端。
波士顿南端社区一家木工店上面的阁楼,为黑客组织L0pht提供了团体名称的灵感。那里的很多电脑硬件都是从波士顿地区的垃圾箱里淘来的。
他们的华盛顿参议院证词之旅喧嚣又欢乐:租了一辆深绿色15座的厢式货车,车顶被弄成了天线阵地,一路行来不放过一切捕捉信号的机会。
这看起来就像是无害的黑客娱乐,直到他们在马里兰州郊区美国国家安全局(NSA)属地上矗立的国家密码博物馆前停下的时候。Zatko说他以前曾经去过NSA几次,是逐步进入联邦政府工作的一部分。“我希望他们有敏锐度,了解黑客并非都是坏人。”他后来解释道。
但在这次行程中,Zatko意外地将车拦截设备林立的L0pht货车开到了NSA园区的安全区域入口。开车的是Stefan von Neumann,当他将车停在有武装军警镇守的检查点时显得有些困惑。警卫向他敬礼,这位真实姓名叫Stefan Wuensch的黑客问他的黑客弟兄们:“我该怎么办?”
异口同声地,他们大叫道:“回礼!”
但是一来到著名秘密间谍机关的地盘上,L0pht成员们很快不安起来,催促von Neumann尽快离开这里。他照做了,快速将车开到博物馆,然后驶往华盛顿,没再横生枝节。
第二天,黑客们在参议院政府事务委员会面前进行陈词。工作人员告诉L0pht,之前只有加入联邦证人保护计划的人才可以用化名作证。然后,黑客们在国家安全委员会反恐官员Richard Clarke的导引下参观了白宫。
《互联网周刊》上刊载的封面故事以威斯保和Zatko为主题,最终暴露了他们的真实身份,但他们并没有像之前预想的那样被公司炒掉。《纽约时报》、美国公共广播公司PBS和音乐电视频道MTV报道了他们的故事。这帮黑客夸口能利用关键互联网路由协议BGP(边界网关协议)在30分钟内致瘫互联网。著名脱口秀主持人康纳·欧布莱恩和拉什·林堡也提到了他们,称他们为“长发书呆子电脑黑客”。
甚至连棋盘问答游戏生产商也注意到了他们。问:叫L0pht的一伙极客告诉美国参议院他们能在30分钟内致瘫什么?
答:互联网
2000年,那个版本的棋盘问答游戏在商店中上架时,L0pht已不再是当年的L0pht。他们加入了@Stake——一家主要构建在L0pht的声名和1000万风险投资基金基础上的安全公司。他们辞去了白天的工作,完全投入到曾经的夜间小爱好中去,做起了全职的白帽子。
但是他们也不得不接受一套新的让人不爽的规则和责任——尤其是在面对那些很乐意付钱享用他们的专长又不想在黑客们发现问题时被架到公众舆论中烤的客户时。
聘请了@Stake,又要求对所发现的安全漏洞签署保密协议的大公司中,就有L0pht长久以来的主要敌人:微软。
Cris Thomas,黑客名Space Rogue,混迹黑客组织L0pht的时候他是技术产品服务经销商CompUSA的全职员工。
当商业现实介入,Space Rogue就成为了第一个受害者。他曾经是L0pht和《黑客新闻网》经营管理层面的负责人。但风险资本有他们自己的经营人员,而这些人对公开与“黑客”这个词产生联系可没什么热情。
于是,这份在线新闻通讯变成了纯粹的公司网站“安全新闻网”,而Space Rogue在@Stake市场部谋得一职——距离Mudge、Kingpin、Weld Pond和其他成员工作的核心部门很远很远。Space Rogue之后不久就被炒掉了。
公司没收了他的笔记本电脑,蛮横地将他押送出门,他甚至连被炒的原因都不清楚。当他回到家中,发现自己的L0pht.com已经被封。
“这是我生命中很难熬的一段……我失去了6个最好的朋友。对我而言真是毁灭性的打击。花了我很长时间来恢复。”Space Rogue回忆道。
互联网泡沫,这波将科技公司估值推向巅峰的浪潮,差不多就是在同一时间破碎,将像Pets.com这样的弱小公司碾压消亡,大幅抽走整个科技产业的利润。@Stake首席执行官,被雇来看管L0pht的监工,命令威斯保从团队中清走一个人,平衡公司的裁员计划。
威斯保说他很不情愿地将裁员之斧放到了Brian Oblivion头上。Brian Oblivion真名Brian Hassick,是L0pht创立者之一。通知解雇那天是Hassick的儿子受洗的前一天;自此,Hassick几个月没跟威斯保说过一句话。
由于L0pht的核心纽带已变质腐化,Zatko神秘消失了。尽管不是L0pht的创始成员,他一直是该团队成名路上的公众形象代表。
如果L0pht是黑客世界里类似披头士一般的存在——团队深沉烙印与个人提升本能的结合体,那么Zatko就是机智善变开疆拓土的约翰·列侬,而威斯保则是更为核心的保罗·麦卡特尼。
但随着@Stake陷入挣扎求生困境,Zatko染上了严重焦虑症,并且对理论上应该减轻症状的药品有不良反应,令他的症状越来越糟糕。最终他在一间精神病房呆了几天,L0pht成员无一前来探视。这成了他长期持续的挫折感的来源。
“L0pht是我唯一的家。但它让我心如死灰,太恶劣残暴了。”
尽管Zatko渐渐恢复,@Stake的衰落仍在继续。Space Rogue威胁说要起诉公司,想要回自己损失的工资和初始风险资本基金剩余的份额。他最终与公司达成和解,得到的赔偿刚够买辆车、付律师费和一套公寓的首付。
也许@Stake更低的低潮在2003年9月到来,那时公司刚解雇了首席技术官,备受尊敬的安全大师Dan Geer,就在他刚与人合著了关于微软对软件产业的统治如何破坏了安全的研究报告之后。根据当时的新闻报道,Dan Geer是从@Stake发布的新闻稿中获悉自己的解职的。
更大的安全公司赛门铁克在2004年收购了@Stake,给了它一个安乐死。
Grand说:“我们所坚持的东西被一点一点地蚕食,直到什么都没剩下。我们得向大家说出真相。这并没有持续很长时间……最终,我们对不起大家。”
随着L0pht分崩离析,互联网安全每况愈下。20世纪最后的日子里,巨额投资砸向千年虫漏洞是其主要的特征。大家都担心被设计为只能识别两位数年份的程序会不会在从“99,”跳向“00.”的时候突然崩溃。
但是那些将很快折磨计算机界的问题并非意外,就像千年虫漏洞。黑帽子军团正在崛起。
之后10年最初的安全灾难中,“我爱你”蠕虫病毒在2000年5月爆发,看起来是菲律宾的一对计算机程序员的杰作。
这一病毒利用了微软Outlook功能上的漏洞向每个新受害者的联系人列表发送恶意代码。
很快,全球大约10%的计算机都被感染了,在五角大楼、英国议会和很多私企的网络中咆哮肆虐。遭受的损失和清除病毒所需花费达到了200亿美元之巨。很多其他蠕虫,比如皮卡丘、库娃和尼姆达之类的,同样利用的是微软产品中的漏洞。
2000年12月8日,1941年日军神风特遣队突袭珍珠港纪念日的翌日,曾经为L0pht导游白宫的国家安全委员会关于Clarke出现在微软组织的一次会议上。他警告说,如果政府不加强计算机安全,国家将会遭受一场“数字珍珠港”。
— — — —
L0pht的遗产很复杂。这个组织是至今仍广泛使用的“负责任的漏洞披露”系统的先锋之一,在这个系统里发现了漏洞的研究者们会在向公众披露漏洞之前给公司留出一定时间来修复。有些公司现在已更进一步,提供“漏洞奖励”来激励黑客们找寻问题,然后,理想状况下,在罪犯和间谍之前找到问题所在。
微软最终对安全问题更加重视了。它别无选择——主要客户通告盖茨:要么做好点儿,要么我转投别家。2002年1月的一份备忘录里,盖茨公开声明,“新的安全行动是我们当前所有工作的重中之重”。
行动刚开始引起了一些怀疑。“我跟朋友说我要去微软做安全的时候,他们都笑话我。因为我在同一个句子里竟然同时用了‘微软’和‘安全’两个词。”2002年被雇用的前司法部关于Scott Charney说道。他目前是微软可信计算的公司副总。
微软调动了产品研发部门的上千名工程师检查公司用于设计和打造软件的系统。距离微软在华盛顿雷德蒙德市的总部大约15分钟车程的贝尔维尤附近,有一栋更常用于举行婚礼的老木屋。盖茨就把他抽调出的一组行政人员放到了那里。Charney说:“基本上,有些人被送到了那儿,并被告知:没想出解决办法就别回来了。”
但互联网并没有因而突然变安全了。微软新建立的安全重心花了数年才开始见成效,主要表现在2006年推出的Windows Vista和又几年之后推出的Office 2010。由于“向后兼容”的需要,也就是新旧版本的微软产品要能和谐共融,老漏洞在已经做了修复的新版本软件都推出数年之后还一直在网络世界中阴魂不散。
直到去年,联邦政府终于在它成千上万台计算机上淘汰掉了2001年就出品的Windows XP操作系统。这一产品是在盖茨决定加强产品安全的数月前发布的,在维持了13年的免费支持之后,去年微软宣布停止支持这一产品。
但是,随着微软产品越来越安全,黑客们开始享用其他没进行类似产品大排查的目标。
加州大学圣巴巴拉分校计算机科学家Vigna说:“黑客就像水,总往阻力最小的地方流。堵了一处,就转向另一处破解。”
追根溯源,其实就是L0pht在参议院证词提出的一个问题:科技产业内在商业驱动力更钟情于增长而非安全。而一旦公司成长到足够大,安全就会成为一个主要问题,就像微软最终遇到的一样——在没考虑过安全问题的系统中加进严谨有效的防护是极端困难的。
1998年那个参议院小组的负责人,2003年离开了国会的田纳西州共和党人汤普森,最近在一次访问中说,互联网安全就是那种政府很难解决的问题。“第一,这问题很复杂;第二,看不到立竿见影的政治回报。”
一些行业评论家喜欢有严格的政府标准和法律责任来规范和约束当产品未能履行应有功能时的定责和处置,就像早就存在于汽车、电梯和飞机等关键离线系统的一样。其他人则希望创建独立的组织,科技产业的美国保险商实验室,来对全球电子设备安全进行认证。或者,最终要为网络安全事件买单的保险公司,也许有一天会要求他们的客户拥有更好的安全措施,就像保险商长期以来对住宅和车辆保险所要求的一样。
但也有声音说,更高的安全要求会阻碍创新,还会让科技产品更难以使用。鉴于科技产业在国家经济中越来越中心的角色,以及最近几年科技界在华盛顿游说力量的大规模扩张,严厉的新法新规依旧难产。
Cigital,90年代便涉足软件安全的弗吉尼亚公司,其首席技术官Gary McGraw说:“快安全问题一步的唯一办法,就是打造更好的软件。除非我们开始将安全做进去,否则我们将一直处于追赶中,疲于奔命。”
L0pht自身恢复了一点点,在2009年发布了L0pht Crack的更新版本。主要网站也还在运营,尽管看起来有些过时。Hacker News 恢复了它的名字和领地。
从重度焦虑症中恢复过来之后,威斯保和他的L0pht黑客追随者Dildog在2006年成立了Veracode安全公司,重新加入了BBN Technologies。之后,他在美国国防部先进研究项目局,也就是几十年前创造了互联网前身的机构,花了3年时间主持网络安全研究。然后,他去了谷歌,担任某研究团队的副主任。
其他人大多数仍在研究计算机安全问题。2014年夏天,费城,Space Rogue的婚礼上,他们重聚了。@Stake崩溃带来的情感创伤,即使没有消失,也已沉淀成疤。
关于他们曾经甩在美国政府和全世界面前的安全问题,情况更糟糕了。黑客们——灰帽子那种,始终如一地快安全措施一步。
威斯保摆出了一个残酷的先例:城市曾经对灾难性火灾束手无策,大火在主要由木制建筑组成的稠密建筑群中肆虐。一场芝加哥超大型火灾才促使政府官员进行严肃缜密的各项改革,包括:限制木制建筑的新建,更健壮的消防供水系统,和城市消防部门的彻底改造。
“市场没能解决城市被火灾夷平的问题。”威斯保说,“在我看来,市场根本就没真想自己解决这个问题。”他预测只有一场历史性的灾难才能迫使互联网安全有所改观。
但是,有一个可怕的事实:直到1871年那场造成数百人死亡十万人无家可归的芝加哥大火之后,才滋生出建立严格的防火安全标准的推动力。而直到3年之后的1874年,第二场大火发生,芝加哥政府官员才最终做出真正的改变。
也许网络安全也必须经历一阵可怕的灾难,才能赢来真正的改观。
来源:华盛顿邮报
译者:nana
整理:recco