拉斯維加斯——在黑帽2012大會(huì)上，Dan Kaminsky的年度“黑色行動(dòng)”講話與去年的演講大不相同，去年他深入講解一個(gè)主題，介紹核心網(wǎng)絡(luò)功能的漏洞，如DNS安全漏洞、DNSSEC、證書(shū)問(wèn)題等等。

但是，今年他向參會(huì)人員介紹的是宏觀安全性，以及在當(dāng)前信息安全態(tài)勢(shì)得不到扭轉(zhuǎn)的情況下，一些問(wèn)題可能對(duì)經(jīng)濟(jì)和國(guó)家安全造成的影響。Kaminsky在大會(huì)上指出：“我們必須改變這個(gè)局面。但是僅僅依靠教條是解決不了問(wèn)題的。”

Kaminsky重點(diǎn)提到了提高編碼質(zhì)量和軟件開(kāi)發(fā)安全，不僅僅針對(duì)于Web應(yīng)用，也針對(duì)于操作系統(tǒng)內(nèi)核開(kāi)發(fā)。Kaminsky還提出了加快尋找Bug和實(shí)現(xiàn)凈中立性(這是他以前最拿手的)的新技術(shù)手段，以及由互聯(lián)網(wǎng)服務(wù)提供商(ISP)執(zhí)行的數(shù)據(jù)與流量審查制度。

Kaminsky指出，開(kāi)發(fā)者是解決安全問(wèn)題的關(guān)鍵。開(kāi)發(fā)者希望他們的代碼能夠正常工作，他們不希望數(shù)據(jù)泄露，他們也想有一些不影響效率或截止時(shí)間的簡(jiǎn)單工具。他說(shuō)：“需要承擔(dān)起責(zé)任的是開(kāi)發(fā)者，而不是架構(gòu)師、學(xué)者或管理人員;安全團(tuán)隊(duì)也沒(méi)有責(zé)任。我們必須給予他們實(shí)用的工具。開(kāi)發(fā)者樂(lè)于看到自己的代碼能夠正常工作。”

SQL注入攻擊漏洞仍然是主要暴露的編碼問(wèn)題——當(dāng)然，這個(gè)問(wèn)題修復(fù)比例也很高。Kaminsky說(shuō)：“我們必須杜絕這樣的攻擊。”他指出，成功發(fā)起的SQL注入攻擊已經(jīng)使安全團(tuán)隊(duì)麻木，以致忽略了它的嚴(yán)重性。“大多數(shù)攻擊都是為了偷取信息，它們?cè)谥\殺我們。它們并不是什么高明的攻擊手段，但卻非常有效。”

例如，去年攻擊者使用SQL盲注攻擊就攻破了mysql.com，并成功盜取數(shù)據(jù)。根據(jù)Privacy Rights Clearinghouse去年發(fā)布的研究報(bào)告，與黑客相關(guān)的數(shù)據(jù)泄露中，有83%是通過(guò)SQL注入攻擊實(shí)現(xiàn)的。根據(jù)Redwood Shores的另一份研究報(bào)告，加利福尼亞數(shù)據(jù)保護(hù)供應(yīng)商Imperva捕獲的Web應(yīng)用SQL注入攻擊數(shù)量達(dá)到1.15億。

Kaminsky表示，我們可以說(shuō)已經(jīng)修復(fù)了這些問(wèn)題，但是如果它們已經(jīng)修復(fù)，為什么危害還這么大呢?我們必須向開(kāi)發(fā)者提供新的工具，幫助他們按照自己的意愿編寫(xiě)優(yōu)質(zhì)代碼。Kaminsky還在努力進(jìn)行反審查。在去年的黑帽大會(huì)上，他發(fā)布了一個(gè)新工具N00ter，它實(shí)際上是一個(gè)過(guò)濾器，能夠篩選出可能修改流量數(shù)據(jù)包路徑和傳輸時(shí)間的路由器，從而只允許ISP使用源路徑。

他說(shuō)：“互聯(lián)網(wǎng)越來(lái)越不平靜。隨著您的位置變化，內(nèi)容也在變化，而且這些變化不是因?yàn)榫W(wǎng)站運(yùn)營(yíng)者引起的。真正的原因是，ISP和政府在篡改內(nèi)容。有時(shí)候，他們?cè)谕低底鲞@些事情。”Kaminsky與隱私和公民自由組織合作(如Electronic Frontier Foundation)對(duì)抗互聯(lián)網(wǎng)審查，給他們N00ter等工具生成的數(shù)據(jù)流。這些工具僅僅作為數(shù)據(jù)源，而非數(shù)據(jù)管理模塊。他希望為他們提供一種方法，了解有哪些可用信息，哪些信息被攔截了。