【大纪元8月6日讯】(大纪元记者陈常鹏综合外电报导)思科系统公司(Cisco Systems Inc.)与网路安全研究员林恩(Michael Lynn)之风波最近终以和解收场。虽然林恩答应不再散布安全弱点之资讯,但专家认为,该事件爆发后恐伤及研究活动,亦为有骇客投了个问路石。
向来被认为无懈可击的思科网路资讯传输系统,被林恩以实际演练的方式示范破解后,引发多项安全研究界之后续效应。
7月27日在林恩辞去其在网路安全系统公司(Internet Security Systems Inc., ISS)的工作后几小时,随即在拉斯维加斯举行的黑帽安全大会(Black Hat conference;按:黑帽系指具有入侵网路能力的高手)上发表他的发现。会中他表演了侵入思科网路作业系统(IOS)的方法。恩科系制造互联网资讯传递路由器(routers)及开关等设备之领导大厂,IOS为让这些硬体运作的核心软体。林恩与某些网路安全专家相信,这种技术可能已经被中国的骇客利用,入侵者可以直接在思科的路由器中执行恶意程式。
在林恩发表之前,思科、ISS及黑帽大会主办单位三方面已历经三星期的磋商。一位思科的代表原定将与林恩同台发表,但后来思科与ISS改变决定欲取消该场发表。ISS公司疑于思科的压力下,决定收回7月27日的发表内容,黑帽大会主办单位亦同意他们紧急于会前雇人抽回会议论文集中长达10页的报告内容及替换研讨会之光碟资料。
后来,林恩在发表前决定辞去在ISS的工作,并以个人名义如期发表其发现。林恩发表思科的安全漏洞后,思科与ISS联袂向旧金山联邦法庭提出请求,向黑帽安全大会主办单位及林恩本人祭出紧急禁止令,以免漏洞资讯之进一步散播。
思科与ISS主张该研究“尚不成熟”,而将在后续的安全研讨会中再发表。但林恩觉得他有义务将问题在被人用作攻击之前尽早地提出,以免互联网发生瘫痪。
林恩说:“我并不是在危言耸听,但它可能会是我们听说过的‘数位珍珠港’事件。”“为了国家、为了全国的重要基础建设,我觉得我做的是对的。”
本事件凸显了一个棘手的问题——何时才是公布网路安全问题的时机。一般而言,网路安全业者及系统业者会在修补方案完成后,才同意公布。
但本案并非如此单纯。当林恩与ISS公司其他的研究者们发现,可用一种技术抓住思科路由器作业系统中的一个弱点,进而控制它。在通报思科后,这点缺陷已于四月间予以修补。但是,采用同样的技术仍有可能对其它思科路由器的弱点予以侵入。林恩表示,运用这种技术可做成一只以路由器为目标的蠕虫病毒,特别是针对思科将上线的新版作业系统。
蠕虫是一种可自动传播的恶意程式。它们在现行的思科作业系统下尚无法造次,因为系统中各个元件的控制软件皆有相当大的差异。然而,据林恩之说法,这种防护在新版的作业系统中将不存在。
林恩表示,这样的攻击可使所有的路由器都被改动,使它们无法再接收新指令而持续被感染着。更槽的情况是,攻击者甚至可将原有指令抺除,而让路由器听命于它。
在行家对网路安全的普遍认识中,认为思科的网路硬体已有足够的安全防护,外部程式码是不可能在其系统中运作的。发表后林恩说:“没有人相信这是可能的,直到星期三(7月27日),再也没有人会为思科的安全性辩护。”
思科方面表示,他们向来鼓励独立的安全研究者的参与。但针对此事件,他们在一份声明中表示,林恩的发表“不成熟且未依循业界正确的揭露规则行事。”
该案7月28日和解后,思科在一项声明中表示:“思科公司认为,林恩先生与黑帽选择散布该资讯之作法,并非以保护互联网之最大利益为考量。”
和解条件中,林恩除允诺不再传播漏洞资讯外,还必须交出所有曾经给予或售予此安全资讯的人或网站之名册。但该永久的禁止令并不会限制林恩继续研究思科的产品,只要其研究是以合法的程序来完成。
林恩表示,他之所以决定与其雇主决裂并挑战思科的原因是,因为恩科的作业系统原始程式码已遭窃,并被张贴在某骇客网站上,而且他曾看见过有关思科系统弱点的讨论张贴给中国骇客利用。
对黑帽大会而言,林恩发表的内容是一个关键话题。该活动已吸引了几千位来自产业界、学术界及政府机构的电脑安全专家前来与会。大会主办人摩斯(Jeff Moss)说:“这场讲次的主要目的是说明问题点的存在。因为有这种问题的存在,你(思科)应该尽早的更新你所有的软件。”
和解的部分条件中,黑帽大会亦同意不再散播并缴回所有林恩报告的录影资料。
本案件虽已和解,但有许专家认为此案的速战速决,实则引发了独立安全研究者在法律上的许多顾虑。
网路安全公司eEye Digital Security的技术主管麦夫瑞特(Marc Maiffret)说:“在不明的情况中摸索安全问题是令人感到惊叹的,特别是还要面对一个会叫研究者闭嘴的大公司。”
麦夫瑞特表示,如果思科未来想与安全研究社团谋求合作而非竞争的话,思科可能必须准备修复与社团间的关系。
他说,当人们知道有可能控制一台路由器后:“人们一定会想再找出更多的弱点,而且现在人们更不会在意是否应向思科反映问题。”
根据对林恩所施加的禁止令内容,未来林恩亦不得再“非法地对思科的程式码进行拆解或逆向工程……与利用其持有经思科解译的程式码。”
思科提出,逆向工程(reverse engineering)系违返终端使用者授证协定(end-user license agreement, EULA)。史丹佛大学互联网与社会中心(Center for Internet and Society)的执行主任葛兰尼克(Jennifer Granick)表示,“不准作逆向工程”的字眼在许多的软体授证中常出现,对于一般的用户可以不必在意,但司法单位若决意加强执行的话,此条款确可限定住合法的安全研究活动。
以上的限制引出了另一个题:何时安全研究会跨过善意的骇入行为,而达到触法的地步?现在不论白帽(white hat: 网路安全专家)或黑帽都必须三思而后行。
除了法律上的问题外,某些业者认为思科本次的法律行动恐怕是给网路安全社团发了一条错误的讯息。麦夫瑞特说:“如果安全研究者知道思科会采取法律行动对付他们的话,他们将不愿再把问题公诸于世。”
(http://www.dajiyuan.com)
