Kevin Finisterre承認(rèn)他喜歡在劃分"白帽子"黑客和那些壞家伙的倫理界線附近活動(dòng)，但是他對(duì)于他的公司的行為可能會(huì)帶來HP采取法律行動(dòng)的威脅卻知道的很少。

誰是黑客?

在通常的理解里， "黑客"是喜歡修改并暗中破壞系統(tǒng)的人，無論是科技的，政治性的還是社會(huì)的。

很多時(shí)候，這個(gè)詞被用來形容那些已經(jīng)學(xué)會(huì)了如何闖入系統(tǒng)的人。

在過去的十年里，"黑客"這個(gè)詞已經(jīng)演變成描述那些對(duì)計(jì)算機(jī)安全以及如何攻破這些安全措施有濃厚興趣的人。

這個(gè)夏天，Secure Network Operations這家安全公司的顧問通知了HP在它的Tru64存在的將近20安全漏洞。但是在7月下旬，當(dāng)HP就要完成對(duì)這些漏洞的補(bǔ)丁的時(shí)候，F(xiàn)inisterre的另一位雇員公布了其中的一個(gè)漏洞并且示范了如何利用這個(gè)漏洞--迫使HP這個(gè)軟件巨人威脅要進(jìn)行DMCA(Digital Millennium Copyright Act)起訴。

Finisterre并不是HP雇用的，他現(xiàn)在表示他會(huì)在主動(dòng)通知其他公司他所發(fā)現(xiàn)的安全漏洞之前三思而行。

"隨著更多的法律出臺(tái)，你將會(huì)不得不決定你想要站在哪一邊--黑帽子還是白帽子。"這名22歲的顧問表示。

在最近幾個(gè)月里，面臨著DMCA，加強(qiáng)執(zhí)法力度以及老板們的詳細(xì)審查，帶有各種背景的黑客都被迫重新考慮他們的行為。

黑客們分成兩個(gè)極度相反的陣營(yíng)。一邊是企業(yè)安全專家們，"帶著"他們的白帽子，他們嚴(yán)守規(guī)章，認(rèn)為軟件的漏洞應(yīng)該只對(duì)該軟件的開發(fā)者或者可信任的第三方公開。與之相反，"黑帽子"黑客只對(duì)闖入和攻破安全措施有興趣。

在中間的是"灰帽子"黑客，但他們現(xiàn)在發(fā)現(xiàn)他們一度被接受的行為，比如向大眾公開某個(gè)公司產(chǎn)品的安全漏洞，現(xiàn)在可能把他們送進(jìn)監(jiān)獄。

即使是白宮也要在這場(chǎng)論戰(zhàn)中權(quán)衡。在承認(rèn)需要第三方來發(fā)現(xiàn)安全漏洞的同時(shí)，布什總統(tǒng)的計(jì)算機(jī)安全小組認(rèn)為需要指定更為嚴(yán)厲的法律，而不是有更多的例外。

"我們現(xiàn)在到了一個(gè)十字路口，必須決定人們應(yīng)該往哪個(gè)方向走：他們是應(yīng)該繼續(xù)做安全顧問還是投向黑暗的那面?"白宮重要基礎(chǔ)架構(gòu)保護(hù)部門的副主席Howard Schmidt表示。

這種情緒在灰色地帶回響不斷，而當(dāng)今大部分嚴(yán)肅的黑客們都在這一地帶辛苦工作著。隨著法律的加強(qiáng)和企業(yè)法律部門日益增加地發(fā)動(dòng)攻擊，很多安全專家們擔(dān)心他們發(fā)現(xiàn)的下一個(gè)bug或者創(chuàng)造的下一個(gè)工具可能使他們被起訴或控告。

"你現(xiàn)在不能做任何事" Digital Defense(一家網(wǎng)絡(luò)保護(hù)公司)的安全專家和黑客H.D. Moore抱怨道。"曾經(jīng)當(dāng)你黑一個(gè)小站點(diǎn)時(shí)，人們會(huì)說'哦，這只是個(gè)愚蠢的小把戲'?，F(xiàn)在你攻擊的是一個(gè)擔(dān)任重要任務(wù)的服務(wù)器，這就是恐怖主義了。"對(duì)于黑客行為界定的模糊不清使情況變得更加錯(cuò)綜復(fù)雜。雖然這個(gè)問題廣泛地在法律和道德規(guī)范上得到了界定，但是幾乎沒有哪個(gè)月沒有關(guān)于某個(gè)特定的安全漏洞是否應(yīng)該被公布的爭(zhēng)論。

"灰帽子"的概念最早來源于L0pht--一個(gè)非常出名的黑客團(tuán)體，它宣稱建立一個(gè)"閣樓"--以示他們既和企業(yè)安全測(cè)試員有區(qū)別，又不愿意和臭名昭著的黑帽子們攪在一起。這個(gè)詞定義的大多數(shù)人和很多企業(yè)安全研究員一樣是安全專家和顧問，但他們更加獨(dú)立。

"我們用'灰帽子'來代表那些獨(dú)立的研究員，他們不是只對(duì)某一個(gè)特定的公司或產(chǎn)品感興趣，" @Stake(一家安全公司，它是由L0pht黑客中的核心成員組建的。)的研究和發(fā)展總監(jiān)Chris Wysopal表示。Wysopal自己在L0pht的時(shí)候就是一個(gè)"熔接池(Weld Pond)"。

但是另外一些人并不相信灰帽子應(yīng)該存在，即使是對(duì)于那些闖入公司服務(wù)器只是為了通知網(wǎng)管相關(guān)的安全漏洞的黑客們。這種行為因?yàn)檠不睾诳虯drian Lamo而出名。他在通新聞界或出版界之前，侵入了WorldCom、紐約時(shí)報(bào)、美國(guó)在線和Excite@Home的網(wǎng)站。

對(duì)于象Peter Lindstrom(Hurwitz Group顧問公司的安全策略主管)這樣的人來說，Lamos以及和他一樣的那些人都是罪惡的黑客。

"如果你是灰色的，那你就是黑色的。" Lindstrom表示。"我并不是不理解他們想要做什么，可是他們實(shí)際的所作所為卻是非常差勁。" 當(dāng)黑客們攻擊一個(gè)網(wǎng)絡(luò)時(shí)，管理員有幾種方法可以判斷他們的意圖。任何一個(gè)事件都必須當(dāng)成緊急情況來對(duì)待，Lindstrom堅(jiān)持這樣認(rèn)為，所以每一個(gè)闖入者都必須被當(dāng)作罪犯來對(duì)待。

持這種觀點(diǎn)的人在今天可能是少數(shù)，但是它在很快地贏得支持。這種趨勢(shì)領(lǐng)導(dǎo)了支持諸如DMCA之類法律的新的力量。

對(duì)于灰色地帶的打擊去年，F(xiàn)BI拘捕了俄羅斯程序員、黑客Dmitri Sklyarov，因?yàn)樗帉懙囊粋€(gè)可以攻破Adobe Systems的電子書(e-book)文件保護(hù)的程序違反了DMCA。Adobe促使了FBI的這次行動(dòng)但是迫于廣泛的批評(píng)的壓力撤回了訴訟?，F(xiàn)在司法局正在追蹤這個(gè)針對(duì)Sklyarov的公司的案子。

這次拘捕行動(dòng)使那些發(fā)現(xiàn)了軟件漏洞的人非常擔(dān)心。在今年的Defcon黑客會(huì)議上，一些國(guó)際上的研究員由于美國(guó)的法律環(huán)境，對(duì)自己是否來參加2003年的會(huì)議表示懷疑。

"DMCA如此復(fù)雜、含糊不清、讓人費(fèi)解，"斯坦福大學(xué)互連網(wǎng)和社會(huì)中心的律師以及執(zhí)行理事Jennifer Granick表示，"這是最大的問題。"DMCA成了軟件和媒體工業(yè)讓批評(píng)家和安全專家保持沉默時(shí)最愛使用的法律武器，盡管在 美國(guó)唱片行業(yè)協(xié)會(huì)(Recording Industry Association of America)威脅要采取法律行動(dòng)時(shí)，美國(guó)國(guó)會(huì)圖書館(Library of Congress)為普林斯頓大學(xué)的教授Edward Felton延遲發(fā)布他所發(fā)現(xiàn)的關(guān)于幾個(gè)音樂標(biāo)準(zhǔn)的安全問題寫了免除文件。

據(jù)報(bào)道，除了針對(duì)ElcomSoft的案子，F(xiàn)BI還對(duì)Lamo攻擊一個(gè)包含紐約時(shí)報(bào)專欄作家合同信息的數(shù)據(jù)庫進(jìn)行攻擊一事展開了調(diào)查。

國(guó)內(nèi)的事件很多安全公司，比如Digital Defense，Internet Security Systems和@Stake都對(duì)外宣傳他們雇傭了一些黑客來提高自己的威望。

Oracle 的首席安全官M(fèi)ary Ann Davidson甚至宣稱他們擁有一個(gè)自己培養(yǎng)的黑客的小組，這個(gè)小組很少接納外部的黑客。

"我使用'黑客'這個(gè)詞只是表示他們很專業(yè)"她說。"我不相信為了我們的失誤而責(zé)備開發(fā)部門是正確的，我們要做的是盡量發(fā)現(xiàn)和補(bǔ)救。"然而，另外一些人信奉的是"不要問、不要說"的原則。

"企業(yè)們說，'我們不雇傭黑客。'但是你到那些企業(yè)去，會(huì)發(fā)現(xiàn)有滿屋子的黑客在那兒工作，" "md5,"表示。他是西雅圖一個(gè)白帽子團(tuán)體GhettoHackers的成員之一。

今天的安全意識(shí)的氛圍意味著無論是程序員還是黑客都必須對(duì)政策和法律更加留意。很多人的對(duì)于安全問題新的敏感程度使得他們不愿意向公司通報(bào)他們所發(fā)現(xiàn)的安全漏洞。

"還有很多安全漏洞有待發(fā)現(xiàn)，但是沒有人會(huì)公布它們，"在提到諸如Bugtraq之類還保留著那些漏洞的時(shí)候，Moore這樣表示。他還補(bǔ)充說，"有趣的"安全漏洞經(jīng)常不會(huì)被透露出來。

Secure Network Operations最近的經(jīng)歷很能說明這個(gè)問題。Finisterre--以".猛砍"出名--沒有改變他的哲學(xué)，但是他的公司對(duì)于公開安全漏洞上卻警惕得多。"現(xiàn)在，當(dāng)我們和廠商接觸時(shí)，象是走在水上，因?yàn)镠P的所作所為把我們嚇著了。"他表示。

未來的帽子這場(chǎng)爭(zhēng)論給新的可能的黑客道德規(guī)范的出現(xiàn)提供了很好的契機(jī)。在一段時(shí)間里，一個(gè)叫做"熱帶雨林青年(Rain Forest Puppy)"的黑客堅(jiān)持著安全研究員和軟件開發(fā)者應(yīng)該如何溝通的原則。在它的核心，所謂的RFPolicy指導(dǎo)方針建議軟件公司應(yīng)該每五天就給研究人員更新材料。

@Stake的Wysopal與人合作編寫了一套更為正式的研究人員規(guī)則，在其中他提倡對(duì)軟件開發(fā)者要給予更多的寬容。在這份報(bào)告中，他建議研究人員給企業(yè)7天的反應(yīng)時(shí)間(而不是5天)，并給企業(yè)30天的時(shí)間來認(rèn)真研究并解決這些問題。

Oracle的Davidson表示這樣的指導(dǎo)方針開始了一場(chǎng)重要的對(duì)話。"不要因?yàn)樽谀抢锸裁匆膊蛔鲈徫覀冏约?，如果我們?zhǔn)備那樣做。應(yīng)該說'穿上我們的鞋。'"她表示。"黑客只需要發(fā)現(xiàn)一個(gè)漏洞并為他們自己取一個(gè)名字，而我們卻需要對(duì)這個(gè)漏洞進(jìn)行徹底的研究。" 而且隨著企業(yè)和執(zhí)法部門對(duì)重要的網(wǎng)絡(luò)和系統(tǒng)日益關(guān)注，那些認(rèn)為自己是灰帽子的人在中間地帶活動(dòng)的時(shí)間不會(huì)太長(zhǎng)了。

"我認(rèn)為我們看到了人們更關(guān)注于做正確的事情的一個(gè)轉(zhuǎn)變，"白宮計(jì)算機(jī)安全小組的Schmidt表示。"無論你頭上的帽子是什么顏色的，你都應(yīng)該意識(shí)到現(xiàn)在對(duì)于網(wǎng)絡(luò)的依賴越來越大了。"