就安全性而言,網路正處於十字路口。這是中央情報局投資基金In-Q-Tel安全經理丹·格爾的觀點。昨天,這位專家在 Black Hat 2014 上發表了首次主題演講。「IT 系統的複雜性和多樣性不斷增加,脆弱性也隨之增加。如今,一個有足夠動力的優秀駭客幾乎可以破解任何東西。現在系統攻擊面的增長速度可能超過了我們保護系統的能力”,他相信。
但一切都沒有失去。丹吉爾認為我們仍然可以提高標準,並給了大約十項建議。他最令人驚訝的想法是讓美國政府取得所有漏洞,目的是將其公諸於世。這樣,就沒有人能夠將它們用作軟體武器,並且網路的整體安全性將會提高。「我認為漏洞數量足夠小,足以進行全面收購。美國政府提供10倍於市場的金額就足夠了”,他解釋道。不幸的是,目前美國是參與軟體軍備競賽的國家之一,導致了大量的安全漏洞。因此,心態的改變是必要的。
讓供應商承擔責任
另一個想法是讓軟體發行商更負責任。關於這個問題,他可以追溯到 3700 年前,引用漢摩拉比法典:“如果一個建築商為某人建造了一座房子,但做得不好,房子倒塌並壓死了一個人,那麼那個建築商就應該被殺」。丹吉爾認為,如果正常使用軟體造成損害,出版商必須賠償,但沒有走得太遠。同樣,出版商也不應該被允許“放棄軟體”,也就是說,在其仍被廣泛使用的情況下停止維護,同時保留其知識產權。 「S如果程式碼不再維護,它應該屬於公共領域並成為開源»,IT 專家建議。這將是一種為了共同利益的徵用。例如,它可以適用於 Windows XP。
這些提議相當激進,但引起了安全專家界的強烈共鳴。「在電腦系統大規模互連之前,解決安全問題相對簡單,支付系統專家羅斯安德森說。對於互聯網,我們必須採取不同的方式,想像監管和激勵機制來限制損害,就像在經濟學領域所做的那樣。丹格爾的提議是朝著正確方向邁出的一步,即使它們不會讓所有人滿意。 »
來源:
10項提案然後格爾
查找有關黑帽會議的所有信息在我們的特殊文件中
