【大紀元8月6日訊】(大紀元記者陳常鵬綜合外電報導)思科系統公司(Cisco Systems Inc.)與網路安全研究員林恩(Michael Lynn)之風波最近終以和解收場。雖然林恩答應不再散佈安全弱點之資訊,但專家認為,該事件爆發後恐傷及研究活動,亦為有駭客投了個問路石。
向來被認為無懈可擊的思科網路資訊傳輸系統,被林恩以實際演練的方式示範破解後,引發多項安全研究界之後續效應。
7月27日在林恩辭去其在網路安全系統公司(Internet Security Systems Inc., ISS)的工作後幾小時,隨即在拉斯維加斯舉行的黑帽安全大會(Black Hat conference;按:黑帽係指具有入侵網路能力的高手)上發表他的發現。會中他表演了侵入思科網路作業系統(IOS)的方法。恩科係製造互聯網資訊傳遞路由器(routers)及開關等設備之領導大廠,IOS為讓這些硬體運作的核心軟體。林恩與某些網路安全專家相信,這種技術可能已經被中國的駭客利用,入侵者可以直接在思科的路由器中執行惡意程式。
在林恩發表之前,思科、ISS及黑帽大會主辦單位三方面已歷經三星期的磋商。一位思科的代表原定將與林恩同台發表,但後來思科與ISS改變決定欲取消該場發表。ISS公司疑於思科的壓力下,決定收回7月27日的發表內容,黑帽大會主辦單位亦同意他們緊急於會前雇人抽回會議論文集中長達10頁的報告內容及替換研討會之光碟資料。
後來,林恩在發表前決定辭去在ISS的工作,並以個人名義如期發表其發現。林恩發表思科的安全漏洞後,思科與ISS聯袂向舊金山聯邦法庭提出請求,向黑帽安全大會主辦單位及林恩本人祭出緊急禁止令,以免漏洞資訊之進一步散播。
思科與ISS主張該研究「尚不成熟」,而將在後續的安全研討會中再發表。但林恩覺得他有義務將問題在被人用作攻擊之前儘早地提出,以免互聯網發生癱瘓。
林恩說:「我並不是在危言聳聽,但它可能會是我們聽說過的『數位珍珠港』事件。」「為了國家、為了全國的重要基礎建設,我覺得我做的是對的。」
本事件凸顯了一個棘手的問題——何時才是公佈網路安全問題的時機。一般而言,網路安全業者及系統業者會在修補方案完成後,才同意公佈。
但本案並非如此單純。當林恩與ISS公司其他的研究者們發現,可用一種技術抓住思科路由器作業系統中的一個弱點,進而控制它。在通報思科後,這點缺陷已於四月間予以修補。但是,採用同樣的技術仍有可能對其它思科路由器的弱點予以侵入。林恩表示,運用這種技術可做成一隻以路由器為目標的蠕蟲病毒,特別是針對思科將上線的新版作業系統。
蠕蟲是一種可自動傳播的惡意程式。它們在現行的思科作業系統下尚無法造次,因為系統中各個元件的控制軟件皆有相當大的差異。然而,據林恩之說法,這種防護在新版的作業系統中將不存在。
林恩表示,這樣的攻擊可使所有的路由器都被改動,使它們無法再接收新指令而持續被感染著。更槽的情況是,攻擊者甚至可將原有指令抺除,而讓路由器聽命於它。
在行家對網路安全的普遍認識中,認為思科的網路硬體已有足夠的安全防護,外部程式碼是不可能在其系統中運作的。發表後林恩說:「沒有人相信這是可能的,直到星期三(7月27日),再也沒有人會為思科的安全性辯護。」
思科方面表示,他們向來鼓勵獨立的安全研究者的參與。但針對此事件,他們在一份聲明中表示,林恩的發表「不成熟且未依循業界正確的揭露規則行事。」
該案7月28日和解後,思科在一項聲明中表示:「思科公司認為,林恩先生與黑帽選擇散佈該資訊之作法,並非以保護互聯網之最大利益為考量。」
和解條件中,林恩除允諾不再傳播漏洞資訊外,還必須交出所有曾經給予或售予此安全資訊的人或網站之名冊。但該永久的禁止令並不會限制林恩繼續研究思科的產品,只要其研究是以合法的程序來完成。
林恩表示,他之所以決定與其雇主決裂並挑戰思科的原因是,因為恩科的作業系統原始程式碼已遭竊,並被張貼在某駭客網站上,而且他曾看見過有關思科系統弱點的討論張貼給中國駭客利用。
對黑帽大會而言,林恩發表的內容是一個關鍵話題。該活動已吸引了幾千位來自產業界、學術界及政府機構的電腦安全專家前來與會。大會主辦人摩斯(Jeff Moss)說:「這場講次的主要目的是說明問題點的存在。因為有這種問題的存在,你(思科)應該儘早的更新你所有的軟件。」
和解的部份條件中,黑帽大會亦同意不再散播並繳回所有林恩報告的錄影資料。
本案件雖已和解,但有許專家認為此案的速戰速決,實則引發了獨立安全研究者在法律上的許多顧慮。
網路安全公司eEye Digital Security的技術主管麥夫瑞特(Marc Maiffret)說:「在不明的情況中摸索安全問題是令人感到驚歎的,特別是還要面對一個會叫研究者閉嘴的大公司。」
麥夫瑞特表示,如果思科未來想與安全研究社團謀求合作而非競爭的話,思科可能必須準備修復與社團間的關係。
他說,當人們知道有可能控制一台路由器後:「人們一定會想再找出更多的弱點,而且現在人們更不會在意是否應向思科反映問題。」
根據對林恩所施加的禁止令內容,未來林恩亦不得再「非法地對思科的程式碼進行拆解或逆向工程……與利用其持有經思科解譯的程式碼。」
思科提出,逆向工程(reverse engineering)係違返終端使用者授證協定(end-user license agreement, EULA)。史丹佛大學互聯網與社會中心(Center for Internet and Society)的執行主任葛蘭尼克(Jennifer Granick)表示,「不准作逆向工程」的字眼在許多的軟體授證中常出現,對於一般的用戶可以不必在意,但司法單位若決意加強執行的話,此條款確可限定住合法的安全研究活動。
以上的限制引出了另一個題:何時安全研究會跨過善意的駭入行為,而達到觸法的地步?現在不論白帽(white hat: 網路安全專家)或黑帽都必須三思而後行。
除了法律上的問題外,某些業者認為思科本次的法律行動恐怕是給網路安全社團發了一條錯誤的訊息。麥夫瑞特說:「如果安全研究者知道思科會採取法律行動對付他們的話,他們將不願再把問題公諸於世。」
(http://www.dajiyuan.com)
