6月7日西雅图报道,微软行政中心,数百位微软的工程师的闲聊声充斥其间,
微软欲招安“浅灰”
。然而,几分钟以后,当“蓝帽”大会开始以后,整个礼堂安静下来。 们已经成功的诱使一台Windows笔记本电脑进入一个恶意无线网络。
微软安全部门的一位程序经理StephenToulouse说:“那时只有寂静。你听不到任何人的呼吸。”
这个演示是为期两天会议的一个额外活动,外来人员被邀请至Windows帝国的心脏地带,表达他们利用微软电脑系统漏洞的目的所在。微软并没有对外宣传这一活动,会议的名称叫做“蓝帽”-这个名字显然是从众所周知的“黑帽”安全会议那里获得的灵感,之所以叫做蓝帽,是因为微软企业的颜色就是蓝色。
这是一次不同寻常的聚会,一次来自 社区代表与他们首要攻击的企业目标之间的峰会,它的举行表明,安全对这家世界最强大软件公司是多么的重要。今年年初,微软主席比尔盖茨估计,他的公司每年在安全问题上的花费已经达到0亿美元-这几乎是微软研究预算的三分之一还强。
安全也已经成为微软开发者大会上的一个主要议题。上周召开的TechEd会议上,微软对.万名的与会者大谈Windows中的安全改进。
本次会议对其它人来说也是具有重要意义。它给我们提供了电脑安全密境难得一见的景象,在这个世界里面,网络工程师们与 之间的技术军备竞赛有时候让道德底线趋于模糊。在这次演示活动中,黑白双方头一次的见识到了对方的内部运转,文化以及心理。
参加本次会议的DanKamiky表示:“我不知道我们是否应该结束这种大规模的敌对状态,或者,我们应该走向某种合作模式。”与其它 组织的成员一样-这些人都以“安全研究员”而闻名-他认为双方的关系应该走向合作。
MattThomlion,他的工作是专门负责帮助微软的工程师们创建更安全的代码。他认为,一些工程师会因为这次的 演示活动感到难堪与生气。
Thomlion也经常做这样的活动,但他表示,他的演示没有生产出同样的效果。Thomlion说:“对某些人来说,这无疑是在扇他们的耳光。”
两天的会议,当他们了解到各种各样的漏洞利用方式,微软的员工被一次又一次的打击着。第一天,几打的官员,其中包括微软一些最高层的领导出席了会议,其中包括微软的Windows长官,JimAllchin,Windows核心操作系统开发部的负责人BrianValentine。第二日,又有百多的Windows普通开发工程师们到会。
在技术行业,Allchin的名字几乎已经成为Windows操作系统的同义词。作为蓝帽会议的强烈支持者,Allchin不仅希望Windows部门倾听安全问题,同时也能够亲眼看看 们的表现。
在 世界中,那些做好事的人被称为“白帽”,那些死硬的恶棍被称为“黑帽”,出席蓝帽会议的 们很难说他们代表着黑暗的一方。如果硬要给他们打上颜色,他们最多不过浅灰色而已。
这可能也是微软举办这次会议的一个主要原因-这就是招安那些选择报告安全漏洞的知名组织。微软将这种活动称为“负责任的揭发”。
但是,对于研究人员来说,微软此举让他们有机会与掌握着微软王国钥匙的人进行会面,并向这些人解释为什么他们要进行这些 活动。
安全研究员HDMoore说:“很难相信,我能够与这些人见面,
电脑资料
《微软欲招安“浅灰”》(https://www.unjs.com)。”他表示,他不会改变自己的习惯,即,给公司0天的时间,然后将自己发现的漏洞公之与众。他说:“就我发现的一个漏洞,我不会与安全公司进行长达一年的电子邮件交流。”但是,Moore却了解到了为什么微软要花那么长的时间创建补丁,他还表示,他对创建这些产品的人的印象已经改变。Moore说:“也许我仍然不赞同他们的安全政策,以及他们处理漏洞报告的方式,但是,至少我了解了他们。”
安全研究员Kamiky说:“他们正在很认真的讨论这一主题,这是一件酷事。从某种角度上讲,微软有所转变。”
这种转变是诚心的,当比尔盖茨00年公布他写的“可信赖计算”的备忘录开始,安全已经成为微软的一个重心。
Kamiky表示:“我们看见的几个安全漏洞可能会让个人电脑时代终结。”
微软Windows部门的一名无线网络工程师NoelAnderson走进会场时,他看到了一个巨大的无线网络天线,他提高了警惕。
Anderson决定,他应该关闭他的笔记本电脑才行,这种本能挽救了他,他没有掉进 的陷阱当中。但他表示,在不同的环境当中,他会认为自己的电脑是安全的,他说:“我也可能会陷入圈套。”
结果,Anderson和他的团队从这次 演示活动中获得了一些具体的灵感,即,如何确保下一个版本的Windows对无线攻击更有抵抗力。他也对演示背后的 们有了一种新的敬意。
他说:“他们不只是一帮坐在地下室中的叛逆青年而已,他们有专业的头脑,去思考这些问题。”
阵营这边,似乎也对他们碰到的微软高级官员具有的技术知识印象深刻。
比如,研究员MattConover就谈到了一个相当晦涩的问题,叫做“堆溢出”(heapoverflow),当他问大部分由副总裁级别组成的人群是否了解这种问题时,0位官员中有8个人举起了手。
Moore说:“我认为,这个星球上,没有哪家公司象微软这样,在管理层具有如此水平的技术能力了。”
尽管双方相互欣赏,但本次会议中,还是出现了一些紧张的时刻。
例如,当Moore演示Metaloit-一种系统管理员能够用来测试其系统入侵可靠性的工具-时,微软的开发者们明显的开始不舒服。
Kamiky说:“你会听到这些开发者们说,为什么你们让这个世界有这些很容易进行漏洞利用的工具存在?”但是,当研究员开始陈述时,他们便安静下来了。
Kamiky说:“如果有人说,这个东西不会被攻破,那么我们需要测试它。这些工具只是做测试工作用的。”
然而,他知道,并不是所有的微软开发人员对这种解释感到满意。
两天的会议结束时,两派人士感觉到,他们已经擦出了火花,双方希望,未来能够进行再次会面。
Toulouse和Anderson等官员表示,他们对 的活动有了更好的了解。
Anderson说:“我们过去总是说,攻击者可能会做这做那,现在,我们与这些人有了面对面的交流。在一定程度上,他们和我们一样,都是怪杰(geeks)。”
微软已经承诺,将举行下一次蓝帽会议。
Kamiky表示:“无论如何,我将参加下一次会议。我将给他们带来一些非常新奇的计划。”