感谢贪玩的风筝的投递： 事情是從7月27日L.A的黑帽大會開始的....報道如下：

思科(Cisco Systems)公司決定採取法律行動，阻止安全研究人員進一步討論如何駭入該公司的路由器軟體。

網路大廠思科公司與Internet Security Systems(iss)聯袂向法院提出要求，要向黑帽安全大會主辦單位與Michael Lynn祭出緊急禁止令。Lynn在本次的黑帽大會上曾展示攻擊人員如何攻入思科路由器，並表示此法將可讓網際網路為之癱瘓。

這個在加州北區地方法庭所提出的告訴要求法官禁止Lynn與黑帽「不得再透露Cisco與ISS所屬的專屬資訊。」思科發言人John Noh表示。

「我們認為Lynn昨天早上在黑帽大會提出的資訊是非法取得，且違法了我們的智慧財產權。」Noh表示。他指出Lynn為了自己的研究而拆解了思科軟體，此舉已經違反該公司的權益。

Lynn昨天在黑帽大會上舉行演講一小時候，思科就立即採取了法律行動。Lynn像與會者表示他為了舉辦這次的演講還特地辭掉了ISS的研究員工作(因為ISS後來決定不舉辦這場演講)。有關漏洞的說明以及原本的演講主題("The Holy Grail: Cisco IOS Shellcode and Remote Execution"；「追尋聖杯：思科IOS介殼程式碼與遠端執行」)也臨時從大會議程中移除。

Lynn列舉出如何利用IOS一項已知的弱點，對思科Internetwork作業系統的程式碼進行攻擊。出問題的軟體用於思科路由器，而路由器是組成網際網路的基礎設備。一場大規模的攻擊可能癱瘓網際網路，他說。

出席Black Hat會議的專家表示，Lynn示範攻擊所鑽的安全漏洞，已經通報思科公司，且已在最新發布的IOS修補妥當。

Lynn原先隸屬的ISS研究團隊在周一(25日)決定取消這場簡報會，ISS技術長Chris Rouland接受訪問時表示。「尚未準備完畢，」他說。但Lynn在27日早晨遞出辭呈，照常舉行簡報會。

更複雜的事，根據Black Hat消息人士爆料說，希望取消簡報會的不是ISS和Lynn，而是恩科。消息來源透露，Lynn接獲指示，要他談論不同的主題，例如談網路電話（VoIP）安全性。

但代表ISS發言的Rouland說，絕對沒有策劃任一場VoIP簡報會，ISS原本打算完全取消27日的簡報會。「這項研究非常重要，基礎研究也很重要，但我們必須與思科合作，對影響作全盤的評估，」Rouland說。

思科公司未立即回應。過去一年來，恩科數度修補IOS安全漏洞。去年這家網路設備巨人表示，一部分的IOS原始碼失竊，令外界憂慮更多安全弱點可能曝光。

27日示範攻擊的是直接連線的路由器，而不是透過網際網路進行的遠端攻擊。「你可以攻陷你自己的路由器，而不是遠端的路由器，」Rouland說。

一位Black Hat出席者說，他對Lynn的示範印象深刻。「他輕而易舉地入侵介殼程式，然後展示基本的攻擊方法。許多人曾聲稱，這不可能辦得到，但他坐在那兒三兩下就辦到了，」安全研究員Darryl Taylor說。「介殼程式」(Shell)是一種命令提示，對作業系統下達控制指令。

Rouland說，ISS正研究是否對Lynn採取法律行動。當Lynn作簡報示範時，已不再具有ISS員工的身分，Rouland說。

作完簡報後，Lynn向聽眾展示他的履歷表，宣布他要找新工作。

Lynn未接受本文訪問。Black Hat會議的工作人員表示，Lynn正與律師晤談。



接著在八月一日，Richard Forno因爲在他的網站“Infowarrior.org”公開内部取得的黑帽大會内容而接到Internet Security Systems (ISS)代表律師的來函
報道如下：

顯然是為了防止思科(Cisco Systems)路由器安全漏洞的簡報內容流傳到全球資訊網上，另有一人因為把安全弱點細節貼在網路上而遭到訴訟威脅。

資安專家暨作家Richard Forno透過電子郵件表示，已接到Internet Security Systems (ISS)代表律師的來函，隨後就把簡報內容從他的網站Infowarrior.org撤除，改貼一份據說由ISS法律顧問Piper Rudnick Gray Cary律師事務所發出的傳真信函。

ISS發言人29日晚間未立即證實是否已委託律師，對張貼簡報內容的網站提出告訴。思科公司的發言人表示，正與ISS合作處理此事，而他獲知ISS正發出要求各網站撤除簡報內容的通知。

安全研究員Michael Lynn周三(27日)早晨在洛杉磯黑帽安全會議(Black Hat security confab)上作簡報，主題是「思`科IOS介殼程式碼與遠端執行」，掀起一片譁然，因為他不顧思科和前雇主ISS的反對，堅持示範如何鑽安全漏洞，進而掌控思科的路由器。在Lynn發表演說之前，思科與ISS已同意取消這場簡報會，但Lynn索性辭職，照預定計畫演講。

思科與ISS隨後上法庭，尋求對Lynn和黑帽會議的主辦人員下達封口令。三方周四(28日)達成協議，Lynn同意絕不再重複講述他在黑帽所透露的資訊，並交出他握有的所有思科原始碼。

Forno張貼的簡報內容，似乎是擷取自黑帽會議報告的硬拷貝。在黑帽會議開始前，思科聘的臨時工從厚厚的一本會報中割除與思科安全弱點有關的部分，並銷毀光碟，換上新的。不過，有些出席者還是有辦法取得原始碟片。

Lynn列舉出執行攻擊程式的方法，藉利用Internetwork Operating System (IOS) 的一個已知的安全弱點，在IOS上執行攻擊程式。該軟體在思科的路由器上執行，而路由器是組成網際網路基礎設施的基礎，一旦廣泛遭到攻擊，可能重創網際網路，所以需要採取立即行動，以保護重要的基礎設施。

Lynn的幻燈片內容仍可在其他網站公然下載，包括Cryptome.org在內。這場簡報的內容也透過會員眾多的Full Disclosure安全郵寄名單流傳。

黑帽會議28日結束。在DefCon--比較非正式的駭客集會--Michael Lynn被尊稱為勇於揭發資訊以保護網際網路的英雄。DefCon出席者痛批思科和ISS滿腦子只想到賺錢，卻不顧及如何確保顧客資料的安全。

Lynn的律師Jennifer Granick周五(29日)說，她的當事人面臨聯邦政府調查。她拒絕透露進一步的細節，只說這件事可能很快就會落幕，因為Lynn、ISS和恩科三方已達成協議。

思科29日也發布安全通知，詳述Lynn所利用的IOS安全弱點，並承認駭客的確可能利用這項弱點來接管路由器，但聲稱潛在的損害有限，因為駭客必須與路由器直接連線，無法透過網際網路自遠端執行攻擊。

根據思科的通告，舊版IOS的安全漏洞在於處理IPv6封包的方式。特別精心製作的資料封包可能讓歹徒掌控路由器，但只能從區域網路層由內發動攻擊才有可能，而且只在為 IPv6設定組態配製的系統上才能執行。



Cisco在多方面控制事態之後，發表了以下的安全公告和官方説法
報道如下：

上週五，思科公佈了有關其路由器軟體中一個漏洞的公告，專家曾表示，該漏洞可能遭駭客利用，給網際網路造成破壞性的影響。

思科在其安全公告中表示，舊版本網際網路網路作業系統（IOS ）處理IPv6資料封包的方式存在漏洞。經過特別加工的資料封包能夠讓駭客控制路由器，但攻擊只能發生在本地端網路和用於處理IPv6的系統。

IOS 咝性谒伎频穆酚善魃希琁Pv6是新一代的網際網路協定。思科已經在4 月份發佈的新版IOS 中修正了該漏洞，敦促用戶升級他們使用的路由器軟體。

同樣在上一週，一名研究人員Michael Lynn不顧思科和其雇主網際網路安全系統（ISS ）公司的反對，公開示範如何利用該漏洞來控制路由器、並發動攻擊。有關該漏洞的範圍還存在爭論。儘管思科在公告中承認攻擊是可能的，但只有駭客直接連接在路由器上時才會發生攻擊。但Lynn和參加黑帽安全大會的一些研究人員認為，駭客可能由遠端發動攻擊。

Lynn在黑帽大會上的示範使思科、ISS 非常惱火，它們將Lynn告上了法院，要求法庭禁止Lynn和黑帽主辦單位不得再發佈類似資訊。雙方在週四達成了妥協，Lynn答應不再公佈在這次會議上公佈的資訊，並交出了他掌握的所有思科的原始碼。

在上週四的記者會上，Lynn表示他認為自己沒有錯。他說，利用他的方法摧毀路由器是可能的，重複這樣的攻擊就可能關閉部分網際網路或一個企業網路。去年5 月份思科IOS 原始碼失竊也增加了駭客利用該漏洞發動攻擊的可能性。

思科和ISS 表示，Lynn進行的研究是不完善的，它們仍然在瞭解這一漏洞的影響範圍有多大。



儘管思科的反應速度非常快，但其高壓手法還是導致了很多人的不滿，出席Defcon安全會議的人們紛紛聲援Lynn的正義做法。
報道如下：



參加Defcon安全會議的人員群起抗議思科與ISS對待Michael Lynn的高壓手法。

Lynn在上週三的黑帽大會上堅持辭去ISS工作來展示如何利用安全漏洞好加以控制思科路由器。思科與ISS先前已經說好要取消這場會議，而Lynn則堅持不肯妥協。思科與ISS隨後則起訴Lynn與黑帽大會主辦單位公然洩漏非法取得的專屬資訊。

雖然企業對Lynn的行動可能不表贊同，但他在Defcon(類似於安全專家的非正式集會)反而成了英雄。印著反對思科作法的T恤超級熱賣，甚至還有駭客成立PayPal專款捐獻帳號來當作打官司的基金。

週六，網路安全專家Raven Alder也作了一場網路基礎建設漏洞的演說，她沒有重複Lynn的攻擊展示，但Alder表示Lynn的說法對於網路安全有相當大的重要性。

「這是首度真的有人可以遠端操縱你的思科機器，」Alder對著整場爆滿的聽眾表示，「若你是網管人員，你一定會心驚膽跳，這種威脅太可怕了。」

Lynn先前曾表示這個漏洞可讓整個網際網路為之癱瘓。他也警告說，不肖駭客說不定已經開始著手利用這個漏洞。

Alder在演說中則示範如何測試網路基礎建設的安全性。雖然思科的漏洞其實早在四月就已修正，但她抨擊思科沒有針對Lynn在上週五公布的安全漏洞攻擊法發出安全通告函

在安全通告函中，思科證實舊版的Internetwork Operating System在處理IPv6封包時會有漏洞，若有心人士加以利用就可取得路由器的控制權，但思科也表示這樣的攻擊只有從本地端網路發起才有效，且也只有設定使用IPv6的系統才會受影響。

Alder表示思科說法不完全正確，因為這是非常道地的遠端漏洞。其他與會人士也附和此一說法，「要擴大攻擊規模，然後近距離攻擊路由器是有可能的，」一位Iowa大學電腦安全研究生Robert Hansen表示。

Alder也砲轟思科起訴Lynn的作法。

「思科，你把事情搞砸了，」此話一說引來會場一陣如雷掌聲，「控告研究人員並不會讓你變得更安全。你跟安全社群劃清界限，以後他們就不會跟你合作，向你報告安全問題。」

與會現場的國防部網路犯罪中心總監Jim Christy表示，「你可以分享資訊，但最好是透過正確的管道。」

Lynn週四跟思科與ISS達成共識，他同意以後不會再把這次在黑帽大會上的東西拿出來說，他也交回手中所握有的所有思科原始碼。



風箏短評:
事情雖然暫時得以平息，但如果思科公司不作出前瞻性的預防措施，我們有理由相信此類事件在不久的將來還是會接二連三的發生。作爲網絡設備的全球大公司思科，有必要在這個事件上吸取教訓，改善自己和安全組織之間的關係。

以上報道來源:Cnet Taiwan 延伸評論《當安全專家變成麻煩製造者？》
原文:Mary Ann Davidson 翻譯:陳智文
來源:Cnet Taiwan



關於安全研究員，有一個普遍的迷思：軟體商是一群不願迅速 – 或甚至願意補救安全弱點的冷漠懶鬼，除非高尚的安全研究員以公開揭露要脅，迫使他們採取行動。

事實上，大多數的軟體商都努力改善安全弱點的處理，不需任何外力的「威脅」。反而是某些研究員，已經成為麻煩製造者。

話雖如此，我仍要感謝那些真正為公眾利益付出的研究員，他們大都不像某些惡名昭彰的同道，經常登上頭條新聞。但我也承認，軟體商社群需要改善商業軟體的品質，減少安全漏洞的存在。

以下是一般使用者對安全研究員與軟體商互動的若干迷思：

1. 你們應該在兩天內完成補救

某些研究員認為，他們可以藉由威脅「對外聲張」，迫使軟體商加快處理速度。而只要軟體商真的努力去作，一定可以達到他們任意指定的5天、15天，或30天的「補救窗口」。

事實上，當研究員提報某個安全弱點，補救方法或許是花上20分鐘即可完成的兩行程式修改。然而，將修補程式送到顧客手中，通常需要好幾週。根據正式的矯正程序，軟體商可能需要分析該錯誤是否存在特定版本/平台，或所有版本/所有平台，或需分析相關的程式碼是否有類似的問題（以便進行全面的修補）。軟體商可能也需提供多種版本/平台的修補程式，或結合多項安全修補程式，讓顧客的修補成本降至最低，更別說必要的各項測試，以確保補救方法本身不會與任何東西對衝。

舉例來說，甲骨文公司（Oracle）曾經針對單一安全弱點進行78個修補，整整花上5天才完成。我們也配合每季財報結算的時間，釋出多項修補程式的組合。（許多顧客不願在每季結算以外的時間，更動他們的生產系統。）

簡單兩行的程式碼修改可以在5分鐘內完成，但是將立即可用的修補程式送到顧客手中，絕非幾分鐘就能解決的事情。

2. 名聲越壞，生意越多

許多研究員認為，他們公開揭露的安全漏洞越多，會有更多軟體商聘請他們擔任顧問。有些人簡直就是勒索（”付我多少錢否則我就買給iDefense”），或暗示性的威脅（”三週之內修補好，因為我要在黑帽大會發表一篇報告”）。

實際上，許多最優秀研究員的名號，一般人甚至都沒聽過，因為低調行事是他們的工作資產之一。他們通常比那些動不動就向媒體大聲嚷嚷的研究員高竿。我們只會聘請並向顧客推薦那些行事謹慎的研究員。

此外，名氣也會自傷：我知道有顧客因為研究員公布安全弱點的刺探程式和他解約。在此奉勸諸位安全專家，當你們在黑帽大會上發表成果時，或許能贏得駭客的讚賞，但正常的公司不會付錢給你們自斷其首。知識永遠伴隨著責任。

3. 我發現的弱點，我自當居功

大多數的軟體商會獎勵提報安全漏洞的研究員，以便繼續和他們合作。另外，說聲「感謝你的合作」只是基本的禮貌。這裡的迷思是，研究員永遠有權獲得獎勵。

實際上，當研究員在軟體商有時間補救問題前就擅自釋出刺探程式，造成顧客面臨安全風險，難道還可笑地期望軟體商對他說「感謝你置我們的顧客於險境」嗎？我從未碰到顧客要求我們提供刺探程式或相關細節，但他們都想要足夠的資訊以進行風險評估。

在某些情況下，軟體商的功勞甚至比研究員還大。舉例來說，甲骨文自行發現的重大安全漏洞超過75%。但如果某位研究員發現一項我們已經自行發現，但可能尚未完成修補的問題，我們通常還是會給那個人應得的獎勵。

安全研究員並非全都有高尚的情操，軟體商也並非全是冷漠的懶鬼。最重要的是，這個戰場上每一個人的最高目的，都應該是保護這些產品的使用者免於傷害。


編按：本文作者是甲骨文公司的安全長，負責軟體安全評估與意外處理。