就安全性而言,网络正处于十字路口。这是中央情报局投资基金In-Q-Tel安全经理丹·格尔的观点。昨天,这位专家在 Black Hat 2014 上发表了首次主题演讲。“IT 系统的复杂性和多样性不断增加,脆弱性也随之增加。如今,一个有足够动力的优秀黑客几乎可以破解任何东西。现在系统攻击面的增长速度可能超过了我们保护系统的能力”,他相信。
但一切并没有失去。丹吉尔认为我们仍然可以提高标准,并给出了大约十项建议。他最令人惊讶的想法是让美国政府获取所有漏洞,目的是将其公之于众。这样,就没有人能够将它们用作软件武器,并且网络的整体安全性将得到提高。“我认为漏洞数量足够小,足以进行全面收购。美国政府提供10倍于市场的金额就足够了”,他解释道。不幸的是,目前美国是参与软件军备竞赛的国家之一,导致出现了大量的安全漏洞。因此,心态的改变是必要的。
让供应商承担责任
另一个想法是让软件发行商更加负责任。关于这个问题,他可以追溯到 3700 年前,引用汉谟拉比法典:“如果一个建筑商为某人建造了一座房子,但做得不好,房子倒塌并压死了一个人,那么那个建筑商就应该被杀”。丹吉尔认为,如果正常使用软件造成损害,出版商必须赔偿,但没有走得太远。同样,出版商也不应该被允许“放弃软件”,也就是说,在其仍被广泛使用的情况下停止维护,同时保留其知识产权。 “S如果代码不再维护,它应该属于公共领域并成为开源»,IT 专家建议道。这将是一种为了共同利益的征用。例如,它可以适用于 Windows XP。
这些提议相当激进,但引起了安全专家界的强烈共鸣。“在计算机系统大规模互连之前,解决安全问题相对简单,支付系统专家罗斯·安德森说。对于互联网,我们必须采取不同的方式,想象监管和激励机制来限制损害,就像在经济学领域所做的那样。丹格尔的提议是朝着正确方向迈出的一步,即使它们不会让所有人满意。 »
来源:
10项提案然后格尔
查找有关黑帽会议的所有信息在我们的特殊文件中
