本文發表於《大眾科學》的前部落格網路,反映了作者的觀點,不一定反映《大眾科學》的觀點
一位安全專家表示,蘋果公司退出本週在拉斯維加斯舉行的著名駭客大會,這一舉動可能會適得其反。
據Computerworld報道,蘋果公司突然取消了原計劃在黑帽大會上的首次亮相,黑帽大會是拉斯維加斯的一年一度的活動,彙集了來自世界各地最傑出的安全研究人員的演講,也就是駭客。演講者通常會強調多種不同技術(包括作業系統、電子郵件和網際網路本身)中的安全缺陷。正如微軟和網路裝置製造商思科可以證明的那樣,在黑帽大會上接受批評是技術安全發展過程中的一種儀式*。
紐約軟體安全公司People Security的首席安全策略師 Herbert "Hugh" Thompson 表示,由於此舉以及其他一些對客戶不友好的姿態(例如,在許多人購買iPhone後不久降低了iPhone的價格),“蘋果作為一家受寵公司的保護罩可能會被解除。” Thompson 說,駭客可能會對這一舉動感到不滿,並開始將注意力轉向該公司計算機、軟體和手機中的安全漏洞。
作為軟體和網路市場的領導者,微軟和思科之所以引人注目,是因為駭客針對這些公司產品發起的攻擊會影響到最多的人。“風險,尤其是在作業系統中,取決於你的脆弱程度以及有多少人想攻擊你,” Thompson 說。蘋果的產品,尤其是 QuickTime 網際網路媒體播放器,並不比這些備受矚目的目標更安全,但公眾的情緒一直對他們有利。“損害現在就要來了,”他補充說,“因為人們會猜測(他們退出黑帽大會)的原因,並開始詆譭他們。”
黑帽大會創始人兼主管 Jeff Moss 告訴Computerworld,蘋果公司的營銷部門“得知”了該公司計劃的亮相。“未經營銷部門批准,蘋果公司的任何人都不得公開談論任何事情,”他說。該公司的簡報本應是“他們談論安全工程以及他們如何認真對待安全問題”。
蘋果公司為在活動上發言設定了不尋常的條件:他們不必回答觀眾的提問。CRN 雜誌報道稱,Moss 表示,蘋果公司取消的會議題為“會見蘋果安全專家”,“我們有很多來自政府機構的人表示,他們很想更多地瞭解蘋果的安全工程師,因為這是一家非常不透明的公司。” 看來該公司至少目前仍將保持不透明。
蘋果公司已經開始顯得有些受挫。安全研究公司GNUCITIZEN的創始人 Petko Petkov 在黑帽大會網站上對其今天演講的描述中表示,他計劃揭露蘋果 QuickTime 在 Windows 作業系統上執行的一個缺陷,蘋果尚未修復該缺陷(這種情況被稱為“零日”漏洞),這意味著駭客可以立即開始攻擊它。“如果蘋果公司在活動開始前做出回應,”他寫道,“我將公佈適用於 Windows Vista 和 XP 的 QuickTime 0day 的詳細資訊。” ScientificAmerican.com 無法聯絡到任何知情人士,瞭解 Petkov 是否已完成其計劃。
這並非駭客第一次試圖給蘋果公司上課,讓其更加公開其產品中的安全漏洞。去年年初,兩位駭客建立了“蘋果漏洞月”專案,該專案公開了蘋果產品(包括 Mac OS X 作業系統和 iChat 即時通訊軟體)中的一系列安全漏洞。
蘋果公司嚴格控制其 iPhone(僅在 AT&T 無線網路上執行)的策略導致新澤西州青少年 George Hotz 在 YouTube 上釋出了一個修改 iPhone 的技術,使其也可以在其他無線網路上執行。這項技術並未被廣泛採用,但它表明,當一個擁有技術技能的人決心拆解蘋果的技術時,會發生什麼。
蘋果公司缺席黑帽大會產生了一些連鎖反應。據華盛頓郵報報道,安全顧問 Charles Edge 在得知蘋果公司計劃取消演示後,由於他與該公司簽署了保密協議,上個月被迫撤回了他向黑帽大會組織者提出的關於蘋果 FileVault 加密軟體漏洞的會議。
駭客社群不懈地致力於破解公司投入數百萬美元的技術,有時會被這些公司表示善意的姿態所滿足。微軟在與安全研究人員就其產品中的缺陷進行了多年的鬥爭後,吸取了這一教訓。自 2003 年以來,該公司每兩年舉辦一次BlueHat 安全會議,期間微軟邀請著名的安全研究人員到其辦公室討論微軟產品中的缺陷。
Thompson 預測,如果蘋果公司不以微軟的方式從錯誤中吸取教訓,該公司將開始“失去客戶長期以來因其產品酷炫而給予他們的恩寵。迷霧開始消散,人們開始提出更多問題。”
(圖片由 iStockphoto 提供)
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於塑造我們當今世界的發現和想法的具有影響力的故事。
* 從早期版本更正