微軟、駭客 相見歡(下)

| | | | | | 1則回應

    

對安全研究員而言，微軟的動機為何，並不重要。更令他們感興趣的是，有機會與握有軟體王國關鍵人士面對面，親口解釋他們的行為及其背後的理由。

安全研究員HD Moore說：「這是罕見的機會，讓我能向負責此事且有能力解決問題的人士當面說出我的看法。」他並表示，不打算改變原來的作法，也就是給軟體公司30天的時間，然後就把安全漏洞公諸於世。「我還是不想跟(安全反應小組的人)玩電子郵件捉迷藏，每發現一隻臭蟲，就得陪他們玩上一年。」

不過，Moore的確比較了解，為什麼微軟會花那麼久的時間製作修補程式，而他對產品製作者的印象也為之改觀。他說：「我或許還是不同意他們的安全政策，以及他們處理軟體瑕疵通報的方式，但至少我現在知道，他們的確相信自己所說的話，不是隨便講講的。」

其他人也同意。「他們認真看待此事。看到他們這麼認真，真的很酷，」任職於電信公司Avaya的安全研究員Kaminsky說：「微軟在過去某時已有轉變。」

明顯的轉捩點是在2002年，當時蓋茲寫了一封後來眾所周知的備忘錄，宣揚「可信賴運算」(trustworthy computing) 的概念。長久以來安全性一直是微軟的一大顧慮，但在幾次轟動各界的攻擊事件暴露出微軟軟體脆弱的程度後，安全問題於是變得極為重要。

那傢伙是誰？ 安全研究員Dan Kaminsky最近參加微軟召開的藍帽子大會，第一天的交涉對象竟是微軟高階主管，而非一般的程式設計師。 也因此當他提到MD5的漏洞時，他便長話短說。MD5是一種雜湊(hash)演算法，亦即是一種用來驗證文件真假的指紋。他認為，這東西對微軟高階主管而言，太過艱澀，所以長話短說。剩下的發言則集中於另外一個安全話題。 不過到了發問時間，有一位滿頭白髮的人士瞪著Kaminsky，僅說想知道「MD5」。Kaminsky說，這人提問的方式比較像對下屬發號施令，而非問問題，他只好乖乖聽命，解釋兩個網頁可以有相同的「雜湊」，對方邊聽邊點頭。 一週後，Kaminsky才知道對方是Jim Allchin，微軟最高階的主管之一，負責Windows作業系統，也是在科技界呼風喚雨的最高領導人之一。Allchin的提問讓人清楚知道，微軟的高層對於技術的專業知識了若指掌，而非只懂皮毛。 這次短暫的交手讓Kaminsky留下深刻印象。他說：「我好像個土包子，連那傢伙是誰都不知道。」 --Ina Fried

正是這種慷慨激昂的言論，贏得微軟出席代表的尊敬，包括原本比較存疑的人在內。

微軟Windows團隊的無線網路工程師Noel Anderson一進入駭客示範會場，就立刻起疑，因為他瞧見講台前面的大型無線天線。他憑直覺，決定應該立刻把筆記型電腦關機。結果，這個決定讓他免於中駭客圈套的難堪。

因此，Anderson與他的團隊得到一些啟發，想出若干具體的點子，以確保未來的Windows版本能更靈活回應無線攻擊。他也對參與示範的駭客油然而生一股敬意。「他們不只是一群躲在家中地下室的叛逆青少年，」他說：「而是認真思考這些問題的專業人員。」

對駭客來說，他們對這些資深主管技術知識的廣博，也顯得同樣印象深刻。

有一次，研究員Matt Conover談到一種相當冷僻的問題類型，稱為「heap overflow」。他問台下大致由微軟副總裁組成的聽眾，可曾聽說過這類的問題，結果20人當中有18個人舉手。

「我懷疑世界上會有另一家大公司，主管階層的技術能力水準如此之高，」Moore說。

儘管互相欣賞，兩相對立之時，仍難免有一些緊張的時刻。

例如，當Moore示範Metasploit時，微軟開發人員就顯得坐立不安。Metasploit是一種讓系統管理員用來測試系統防入侵可靠度的工具，但其中也包含不少駭客工具，以及可能用來發展成新類型攻擊的工具。

「這些開發人員問：『你們為什麼讓這些工具流到市面上，讓民眾如此容易侵入別人的電腦？』，」Kaminsky說。不過，等到研究員解釋立場時，他們也就平心靜氣了。

「我們所做的，是軟體開發界的逆向測試，」Kaminsky說：「如果我們說：『這東西無懈可擊，』那麼我們就有必要先測試看看。這些工具賦予我們做這種測試的能力，讓我們不但能夠說：『我們已盡力而為。』還能夠說：『我們已試過了，但都沒有用。』」

然而，他了解，他的解釋未必能讓所有微軟開發人員信服。

「我相信，福特1960年代對(Ralph) Nader當時的報導一定很不悅，」他說：「你跟民眾說，我們的車可能起火爆炸，是什麼意思？」

兩天下來，任一方都覺得只碰觸到表面，並期待再次相會。

包括Toulouse和Anderson在內的主管表示，他們現在更了解駭客的行為動機。

「我們常討論說，某某駭客可能這麼做，或某某駭客可能那樣做。現在，其中一些人的名字有容貌可配對，」Anderson說：「他們只是和我們一樣是科技狂罷了。」

微軟已承諾還會再舉辦「藍帽」會議，Kaminsky說，倘若微軟准他再參加，他一定會爭取機會再來。

「不論如何，下次我一定到，」他說：「我已想到一些真的很有意思而且詭計多端的點子。」