拉斯維加斯——在黑帽2012大會上，Dan Kaminsky的年度“黑色行動”講話與去年的演講大不相同，去年他深入講解一個主題，介紹核心網(wǎng)絡(luò)功能的漏洞，如DNS安全漏洞、DNSSEC、證書問題等等。

但是，今年他向參會人員介紹的是宏觀安全性，以及在當(dāng)前信息安全態(tài)勢得不到扭轉(zhuǎn)的情況下，一些問題可能對經(jīng)濟和國家安全造成的影響。Kaminsky在大會上指出：“我們必須改變這個局面。但是僅僅依靠教條是解決不了問題的。”

Kaminsky重點提到了提高編碼質(zhì)量和軟件開發(fā)安全，不僅僅針對于Web應(yīng)用，也針對于操作系統(tǒng)內(nèi)核開發(fā)。Kaminsky還提出了加快尋找Bug和實現(xiàn)凈中立性(這是他以前最拿手的)的新技術(shù)手段，以及由互聯(lián)網(wǎng)服務(wù)提供商(ISP)執(zhí)行的數(shù)據(jù)與流量審查制度。

Kaminsky指出，開發(fā)者是解決安全問題的關(guān)鍵。開發(fā)者希望他們的代碼能夠正常工作，他們不希望數(shù)據(jù)泄露，他們也想有一些不影響效率或截止時間的簡單工具。他說：“需要承擔(dān)起責(zé)任的是開發(fā)者，而不是架構(gòu)師、學(xué)者或管理人員;安全團隊也沒有責(zé)任。我們必須給予他們實用的工具。開發(fā)者樂于看到自己的代碼能夠正常工作。”

SQL注入攻擊漏洞仍然是主要暴露的編碼問題——當(dāng)然，這個問題修復(fù)比例也很高。Kaminsky說：“我們必須杜絕這樣的攻擊。”他指出，成功發(fā)起的SQL注入攻擊已經(jīng)使安全團隊麻木，以致忽略了它的嚴(yán)重性。“大多數(shù)攻擊都是為了偷取信息，它們在謀殺我們。它們并不是什么高明的攻擊手段，但卻非常有效。”

例如，去年攻擊者使用SQL盲注攻擊就攻破了mysql.com，并成功盜取數(shù)據(jù)。根據(jù)Privacy Rights Clearinghouse去年發(fā)布的研究報告，與黑客相關(guān)的數(shù)據(jù)泄露中，有83%是通過SQL注入攻擊實現(xiàn)的。根據(jù)Redwood Shores的另一份研究報告，加利福尼亞數(shù)據(jù)保護供應(yīng)商Imperva捕獲的Web應(yīng)用SQL注入攻擊數(shù)量達到1.15億。

Kaminsky表示，我們可以說已經(jīng)修復(fù)了這些問題，但是如果它們已經(jīng)修復(fù)，為什么危害還這么大呢?我們必須向開發(fā)者提供新的工具，幫助他們按照自己的意愿編寫優(yōu)質(zhì)代碼。Kaminsky還在努力進行反審查。在去年的黑帽大會上，他發(fā)布了一個新工具N00ter，它實際上是一個過濾器，能夠篩選出可能修改流量數(shù)據(jù)包路徑和傳輸時間的路由器，從而只允許ISP使用源路徑。

他說：“互聯(lián)網(wǎng)越來越不平靜。隨著您的位置變化，內(nèi)容也在變化，而且這些變化不是因為網(wǎng)站運營者引起的。真正的原因是，ISP和政府在篡改內(nèi)容。有時候，他們在偷偷做這些事情。”Kaminsky與隱私和公民自由組織合作(如Electronic Frontier Foundation)對抗互聯(lián)網(wǎng)審查，給他們N00ter等工具生成的數(shù)據(jù)流。這些工具僅僅作為數(shù)據(jù)源，而非數(shù)據(jù)管理模塊。他希望為他們提供一種方法，了解有哪些可用信息，哪些信息被攔截了。