为了庆祝黑帽大会在拉斯维加斯召开的15周年纪念日,一个专家组开会阐述了他们对我们这个时代的隐私和安全混乱状态的看法。他们对于美国政府、网络战争和谷歌有许多话要说。
Tenable Security公司首席安全官马库斯·让姆(Marcus Ranum)称,政府在处理保密数据方面确实做的很糟糕。维基解密网站过去几年披露的大量的美国政府数据表明,美国国务院等机构需要改善其“数据保管人”的状况。
随着专家组的成员转向你不信任把你的数据交给谁,是不信任美国政府还是不信任谷歌这个话题,互联网名称与数字地址分配机构(ICANN)的首席安全官杰夫·摩斯( Jeff Moss)回答说,他担心谷歌胜过担心联邦政府。让姆嘲讽地说:“这是因为谷歌有把事情做好的历史。”
这个小组的其他成员也发表了类似的观点。BT公司首席安全技术专家布鲁斯·施奈尔(Bruce Schneier)、微软可信计算事业部高级计划主管亚当·肖斯塔克(Adam Shostack)和斯坦福大学法学院互联网与社会中心研究公民自由的主管詹妮弗·格拉尼克(Jennifer Granick)都深入地讨论了这个问题。格拉尼克还担任这个讨论会的主持人。
施奈尔称:“我不信任把我的数据发送的国外,因为NSA(国家安全局)将获得这个数据。”
这个小组的成员指出,“高级持续性威胁”、政府实施的有针对性的攻击和工业间谍窃取重要信息的时代正在来临,一家接一家的公司被攻击并且重要的信息被盗。施奈尔表示,针对企业的“先进的持续性威胁”就是“绝对的安全事件”,是很严重的事情。作为应对有针对性的攻击者的行业,我们感到很害怕。
让姆指出,购买和销售软件和硬件的安全漏洞现在是一个大生意。他说,如果一个年轻人进入高科技行业,受到一些想法或者金钱承诺的诱惑,把安全漏洞放在产品中,然后出售有关这个安全漏洞的知识,他不会为此感到意外。施奈尔称,这是数量可观的金钱。你现在可以把这些安全漏洞的知识出售给美国政府。
摩斯称,目前分布式拒绝服务攻击(DDoS)的形势也很严重。已知的的分布式拒绝服务攻击现在达到了每秒123GB。我们进入了一个不可能防御这样大规模DDoS攻击的领域。
格拉尼克指出,在过去的几年里,已知的的数据突破的数量一直在增长。但是,个人身份识别信息丢失或者被窃的消费者发现,诉讼一般是无效的。她还表示,法律预计会看到一个“关照一个理性人的标准”。但是,在计算机安全和安全专家之中,对此还没有正式的共识。这些专家通常用他们谈论的东西使人们迷惑不解。
在讨论震网(Stuxnet)和火焰(Flame)病毒的时候,这个嘉宾论坛出现了一些争论。这些病毒现在被认为是美国和以色列一起制作的网络武器。这是美国总统奥巴马秘密下令对怀疑开发核武器的伊朗设施实施的一次攻击。
摩斯表示,网络攻击可以看作是一种替代炸毁目标和杀人的一种更好的军事方法。但是,让姆指出,他不能接受这个观点。那仍是一种攻击,无论是针对美国国防部还是针对伊朗。这些攻击仍然会涉及到“民用基础设施”。格拉尼克把这种攻击称作是“针对人类的犯罪”。
关于未来的安全是更好还是更糟糕的问题,摩斯称:“我们将更好地运行。”施奈尔说:“坏蛋总是跑的更快。”
