“有,一直都是,那些知道如何崩溃互联网,但迄今为止,选择不这样做。”斯蒂芬•科布-注册信息系统安全专家和作家的隐私为业务
我们中很多人不会选择在前一步全速货运列车,但上周在拉斯维加斯举行的黑帽会议简报绅士叫迈克尔林恩或多或少的。大约两个小时后他辞职的公司网络安全系统(ISS)他给了一个未经批准的谈话Cisco路由器的弱点(看到的故事并讨论在我们(merrill Lynch) /思科论坛)。
毫无疑问;这是一个大问题,因为这个漏洞可能是非常严重的。如果一些疯子是利用它他可以降低整个互联网。当然,回去读最后一个句子一遍。我不夸张。
在安全专家的狂热观众面前,林恩宣布,“我不是给你一个路线图的开发;我想向你证明我做到了。”He then demonstrated the hack - reportedly a buffer overflow exploit - without revealing the exact details. It is reported that the exploit took all of 5 seconds.
林恩证明是什么,他可以远程访问Cisco路由器和获得最高水平的访问,他做任何事情的能力从性能退化或监视交通完全禁用路由器。
问题是,由于互联网的依赖于思科路由器,这是很严肃的东西。思科做几个月前解决这个问题,但是——当然,许多公司还没有升级路由器固件。林恩表示,如果路由器所有者”升级固件时,他们可能会没事的。”
现在你可能会说,“但我们不依赖于思科路由器,所以我们好。不是吗?”I'm afraid not, my friend, because you do business with other companies (for example, your banks, your partners, your suppliers, your customers) that do use Cisco routers, and if they go offline, then for all intents and purposes so do you. So do we all.
表示显然此前批准由思科和空间站,但是,根据各种来源,思科有胆怯,希望表示取消,和空间站默许了。但琳恩看到了更高的要求,因为最近(第二次)的源代码IOS, Cisco路由器运行的操作系统,被偷了。
林恩问听众,“谁能想到你为什么会偷(源代码)如果不是黑客吗?”He continued, "I'm probably about to be sued to oblivion. [But] the worst thing is to keep this stuff secret."
漏洞是否应该显示一直是一个热门的话题在过去几年中,这正是原因,林恩的讨论IOS脆弱性相当于他跳的货运列车。他的个人训练标签是思科和空间站。
由于上市与这些信息林恩面临着思科和空间站的诉讼。甚至是黑帽事件的组织者(Lynn的演讲也会思考VoIP)被起诉。
不需要精神巨人看到没有价值保持这样的漏洞的秘密。事实上,实际上有一个深刻的,有形的风险,灾难可能躺在等待从我们的无知。你知道一句老话:“这就是你不知道疼你。”
林恩已经做了我们所有人一个伟大的服务。我们需要的是告密者法律要保护的人这样的一步。不幸的是,当你在道路货运列车的林恩,没关系你所知道的。你会受到伤害。
你听到口哨吗?告诉backspin@gibbs.com。并检查Gearblog项目在本专栏中提到。特别感谢斯蒂芬·科布的输入。