本文发表于《大众科学》的前博客网络,反映了作者的观点,不一定反映《大众科学》的观点
一位安全专家表示,苹果公司退出本周在拉斯维加斯举行的著名黑客大会,这一举动可能会适得其反。
据Computerworld报道,苹果公司突然取消了原计划在黑帽大会上的首次亮相,黑帽大会是拉斯维加斯的一年一度的活动,汇集了来自世界各地最杰出的安全研究人员的演讲,也就是黑客。演讲者通常会强调多种不同技术(包括操作系统、电子邮件和互联网本身)中的安全缺陷。正如微软和网络设备制造商思科可以证明的那样,在黑帽大会上接受批评是技术安全发展过程中的一种仪式*。
纽约软件安全公司People Security的首席安全策略师 Herbert "Hugh" Thompson 表示,由于此举以及其他一些对客户不友好的姿态(例如,在许多人购买iPhone后不久降低了iPhone的价格),“苹果作为一家受宠公司的保护罩可能会被解除。” Thompson 说,黑客可能会对这一举动感到不满,并开始将注意力转向该公司计算机、软件和手机中的安全漏洞。
作为软件和网络市场的领导者,微软和思科之所以引人注目,是因为黑客针对这些公司产品发起的攻击会影响到最多的人。“风险,尤其是在操作系统中,取决于你的脆弱程度以及有多少人想攻击你,” Thompson 说。苹果的产品,尤其是 QuickTime 互联网媒体播放器,并不比这些备受瞩目的目标更安全,但公众的情绪一直对他们有利。“损害现在就要来了,”他补充说,“因为人们会猜测(他们退出黑帽大会)的原因,并开始诋毁他们。”
黑帽大会创始人兼主管 Jeff Moss 告诉Computerworld,苹果公司的营销部门“得知”了该公司计划的亮相。“未经营销部门批准,苹果公司的任何人都不得公开谈论任何事情,”他说。该公司的演示文稿本应是“他们谈论安全工程以及他们如何认真对待安全问题”。
苹果公司为在活动上发言设定了不寻常的条件:他们不必回答观众的提问。CRN 杂志报道称,Moss 表示,苹果公司取消的会议题为“会见苹果安全专家”,“我们有很多来自政府机构的人表示,他们很想更多地了解苹果的安全工程师,因为这是一家非常不透明的公司。” 看来该公司至少目前仍将保持不透明。
苹果公司已经开始显得有些受挫。安全研究公司GNUCITIZEN的创始人 Petko Petkov 在黑帽大会网站上对其今天演讲的描述中表示,他计划揭露苹果 QuickTime 在 Windows 操作系统上运行的一个缺陷,苹果尚未修复该缺陷(这种情况被称为“零日”漏洞),这意味着黑客可以立即开始攻击它。“如果苹果公司在活动开始前做出回应,”他写道,“我将公布适用于 Windows Vista 和 XP 的 QuickTime 0day 的详细信息。” ScientificAmerican.com 无法联系到任何知情人士,了解 Petkov 是否已完成其计划。
这并非黑客第一次试图给苹果公司上课,让其更加公开其产品中的安全漏洞。去年年初,两位黑客创建了“苹果漏洞月”项目,该项目公开了苹果产品(包括 Mac OS X 操作系统和 iChat 即时通讯软件)中的一系列安全漏洞。
苹果公司严格控制其 iPhone(仅在 AT&T 无线网络上运行)的策略导致新泽西州青少年 George Hotz 在 YouTube 上发布了一个修改 iPhone 的技术,使其也可以在其他无线网络上运行。这项技术并未被广泛采用,但它表明,当一个拥有技术技能的人决心拆解苹果的技术时,会发生什么。
苹果公司缺席黑帽大会产生了一些连锁反应。据华盛顿邮报报道,安全顾问 Charles Edge 在得知苹果公司计划取消演示后,由于他与该公司签署了保密协议,上个月被迫撤回了他向黑帽大会组织者提出的关于苹果 FileVault 加密软件漏洞的会议。
黑客社区不懈地致力于破解公司投入数百万美元的技术,有时会被这些公司表示善意的姿态所满足。微软在与安全研究人员就其产品中的缺陷进行了多年的斗争后,吸取了这一教训。自 2003 年以来,该公司每两年举办一次BlueHat 安全会议,期间微软邀请著名的安全研究人员到其办公室讨论微软产品中的缺陷。
Thompson 预测,如果苹果公司不以微软的方式从错误中吸取教训,该公司将开始“失去客户长期以来因其产品酷炫而给予他们的恩宠。迷雾开始消散,人们开始提出更多问题。”
(图片由 iStockphoto 提供)
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保未来能够继续讲述关于塑造我们当今世界的发现和想法的具有影响力的故事。
* 从早期版本更正