有些自称“Anti-sec”的人或机构正在掀起一场与全面披露相对抗的战争。那么具体是怎么回事呢?让我们通过本文具体了解一下。
--------------------------------------------------------------------------------------------
根据Wikipedia 2009年7月 16日的记录,全面披露(full disclosure )是指:
揭露一个安全问题的全部已知的细节。这是一个哲学上的安全管理方式,与不公开即安全的方式完全相反。全面披露的概念虽然饱受争议,但并不是什么新鲜的概念了,早在19世纪的锁匠行业就有了这个问题。
不公开即安全(security through obscurity )的概念来自于一种策略,即人们相信维持安全的方法就是拒绝向那些安全攻击者提供任何他们可能用来进行安全攻击的信息。在这场全面披露与不公开即安全的斗争中,双方都有相当数量的支持者。
很多安全研究人员都在一定程度上实行着“全面披露”的策略。他们在发现了某个安全漏洞后,会首先报告给开发人员,在一段时间后才会向大众公开。这么做是为了促使开发商对即将公布的漏洞进行及时的补丁开发和应用。另外一些人会通过邮件列表和其它公开途径直接将发现的漏洞报告给全世界,包括软件厂商和其它开发人员,这会导致开发人员更加快速的开发补丁程序。
而在不久前又出现了一个新的组织“Anti-sec” — 不管它是一个人还是一个团体— 正在用一些非法的手段挑起对全面披露策略的战争。Anti-sec 利用已公布的安全漏洞,攻击那些使用带有安全漏洞的软件的用户,从而达到散播恐惧气氛的目的。其根本目的则是要让那些支持全面披露的人们感受到恐惧,进而反对全面披露概念。看起来这个Anti-sec与微软和其他一些大型软件厂商是站在一边的,都是支持不公开即安全的概念。
Anti-sec最著名的行动就是前不久针对ImageShack的攻击。它用一张图片代替了ImageShack上的其他图片。这张图片采用黑色背景,上面的文字是:信息安全行业通过全面披露的策略来制造恐怖气氛,促使用户购买它们的防火墙软件,反病毒软件以及其它服务。
这期间,脚本小子们到处拷贝粘贴Anti-sec的攻击代码并将其编译,用来攻击任何带有相应漏洞的系统。如果好的黑客能够行动起来,这些代码不会被公布出来。
正如 reddit 的一个用户发帖所说:
应该介绍这个人去Free Software工作
不论“Anti-sec”背后是一个人还是一个组织,很明显它都没有搞清楚构成安全体系的最基本要素。相反,它是从企业软件厂商的角度出发来看待安全性,而对于企业来说,更关注的是收入,而不是如何开发出安全的软件。因此如果 Anti-sec能就此收手,就再好不过了。正如香农所说的:The enemy knows the system.
或者是柯克霍夫的理论:
一个密码体制应该在除了密码之外的其它技术细节都被公开后仍然是安全的。
正如 Bruce Schneier 所解释的:
柯克霍夫对安全系统的理论已经超越了代码和密码:每一种加密方式都会存在一个缺陷。保密,换句话说就是脆弱性,因此会导致一个系统的瞬间崩溃。而开放性则提供了一个可延伸的系统。
世界上出色的安全理论非常多,尤其是在IT安全领域。我个人认为,可视即安全的理念要比不公开即安全的理论更有效。
Anti-sec陈述其目的:
我们的目的是,通过破坏和摧毁所有有害的社团,公司和个人,让人们最终放弃全面披露的概念,让信息安全行业被迫改革。
我们是如何计划完成这一目标的呢?我们会通过全面的毫不留情的攻击,摧毁那些对于全面披露概念的支持,并消除当前形态的安全产业。如果你拥有一个披露信息安全内容的博客,或网站,或者你在发布一些漏洞攻击代码,你早晚会成为我们攻击的目标。
坦白的说,这样的声明并没有说服我。首先,我不认为将系统漏洞信息和攻击代码藏起来可以让人们更好的保护自己,也不认为厂商不及时推出漏洞补丁可以让网络更安全。其次,我也不相信Anti-sec 的想法能够实现。我只是希望Anti-sec 会被捕,或者就此淡出人们的视线。
让我感到奇怪的是, Anti-sec的言论很有反企业的风格,但是它的目标却和很多当前顶尖的安全软件厂商不谋而合。
