信息安全界是時(shí)候減少點(diǎn)夸大其辭的炒作了。

[[162658]]

阿列克斯·斯塔莫斯

臉書首席安全官阿列克斯·斯塔莫斯(Alex Stamos)是個(gè)直言不諱的人。昨天，他強(qiáng)烈抨擊了下月即將在舊金山舉行的全球知名信息安全峰會(huì)——RSA Conference。

“在我看來，RSA代表了安全業(yè)界最壞的部分，不僅導(dǎo)引方向不正，還沒什么卵用。”在周二的UNIX用戶協(xié)會(huì)(Usenix)主辦的恩尼格瑪(Enigma)大會(huì)上，斯塔莫斯如此說道。

那是一種錯(cuò)誤的看法，總覺得所有事都得以巨大花費(fèi)來修復(fù)，重點(diǎn)總在漏洞和超級(jí)黑客上，看什么都是戰(zhàn)爭(zhēng)。RSA是年度最大安全盛會(huì)之一，去年舊金山莫斯克尼會(huì)展中心就匯集了3.3萬(wàn)人聆聽演講，敲定交易。但斯塔莫斯認(rèn)為，這個(gè)大會(huì)根本就是在將人們誤導(dǎo)向錯(cuò)誤的方向。

“四處煽風(fēng)點(diǎn)火鼓動(dòng)沖突就是個(gè)錯(cuò)誤，這不是在為安全添磚加瓦。”

安全專業(yè)人士應(yīng)該少放點(diǎn)精力在區(qū)分?jǐn)澄疑?，共享知識(shí)，不斷學(xué)習(xí)，改善安全系統(tǒng)才是更應(yīng)該關(guān)注的東西。需要填補(bǔ)的知識(shí)空白還有很多，安全產(chǎn)業(yè)也太過聚焦在沖突上了。

某種程度上，斯塔莫斯的憤怒可以理解。2014年RSA大會(huì)舉行的同一天，還有另一個(gè)名為TrustyCon的大會(huì)舉行，該大會(huì)的組織者之一就是斯塔莫斯，而大會(huì)的目的，是抗議RSA公司從美國(guó)國(guó)家安全局(NSA)拿錢應(yīng)用該間諜機(jī)構(gòu)倡導(dǎo)的雙橢圓曲線確定性隨機(jī)數(shù)產(chǎn)生器(Dual EC DRBG)。據(jù)路透社報(bào)道，NSA支付了1千萬(wàn)美元，讓RSA在其產(chǎn)品中默認(rèn)啟用該存在后門的隨機(jī)數(shù)產(chǎn)生器。

RSA公司努力淡化了這些報(bào)道，但見諸媒體的消息足以導(dǎo)致很多著名演講者取消了RSA大會(huì)的行程，包括F-Secure首席研究官米可·海普楠(Mikko Hyppönen)、加密大師布魯斯·施奈爾(Bruce Schneier)和普林斯頓大學(xué)計(jì)算機(jī)科學(xué)教授艾德·菲爾頓(Ed Felten)。

TrustyCon規(guī)模不大，只有400人左右的參會(huì)者和媒體人，但它為電子前沿基金會(huì)籌集到了3萬(wàn)美元資金，并呈現(xiàn)了一些非常棒的演講。斯塔莫斯稱，TrustyCon如今已被整合進(jìn)恩格尼瑪大會(huì)，并鼓勵(lì)參會(huì)者重新思考業(yè)內(nèi)一些人導(dǎo)引他們看向的方向。

對(duì)參會(huì)者來說，斯塔莫斯的話有一定意義。RSA作為一個(gè)過大的行業(yè)聚會(huì)已被詬病多年，它更多地將重點(diǎn)放在了市場(chǎng)營(yíng)銷，而不是真正有意義的安全技術(shù)研討上。很多人都稱已經(jīng)將RSA大會(huì)從自己的日程表上劃去了，因?yàn)樗麄兏姁塾猩疃鹊难杏憰?huì)。

“RSA已經(jīng)變得太大了。某種程度上，黑帽大會(huì)就像是曾經(jīng)的RSA，但就連它也正在慢慢改變。如今，我堅(jiān)持去Defcon之類更小型的活動(dòng)，這個(gè)永遠(yuǎn)不會(huì)變。”

然而，盡管如此，RSA依然是非常流行的大會(huì)，也是也是初始的幾大反權(quán)威大會(huì)之一。米可·海普楠也稱，有可能在聯(lián)合抵制后再度參會(huì)。