谁才是真正的网络安全之狼

ZDNet安全频道原创翻译 转载请注明作者以及出处

在最新一期的每日戴夫电子邮件列表中，安全研究员塔维斯·奥曼迪进行了慷慨激昂的辩护，并向批评者发起了反击。与此同时，针对安全研究员塔维斯·奥曼迪性格的攻击也在继续进行中。
------------------------------------------------------------------------------------------------------------

　　在此前我们的报道中，读者看到了所谓的“负责的披露”与塔维斯·奥曼迪倡导的“充分披露”的做法，这些做法在处理他在最近发现的一个微软安全漏洞方面有什么区别。总而言之，就是他已经尽力利用“负责的披露”来进行处理，结果发现微软的做法非常令人失望。在尝试过要求微软在限定时间内解决问题未果后，出于双重目的，奥曼迪决定继续研究并披露漏洞：

　　1、在微软发布补丁之前，对用户发出警告，以便实施临时的替代和修复措施。

　　2、“鼓励”微软，希望在今年内可以解决这一问题。

　　微软，正利用“负责的披露”(又叫做“如果我们能逃避的话，就不披露不修正”)的模式，结合奥曼迪是为谷歌工作的事实，将其混淆为对公司的攻击，而罔顾这一漏洞是奥曼迪在工作之余发现并报告的实际情况。来自较大安全团体的一部分人，利用微软的纵容，对谷歌进行误导性攻击，其中的一些人甚至叫奥曼迪“恐怖分子”。

　　由于现在事实已经非常清楚了，因此，我的观点是，不论“充分披露”的做法是否属于最好的，但它不是用来证明是谁做错了什么事情的。相反，它是用来有效地披露漏洞存在位置的。此外，我们应该知道，还真的只有两种建议属于“负责任的披露”主张的类型：

　　1、不诚实的

　　2、不能合理轻信的

　　在经过一系列的讨论后，在探客网社区中，还有谁和我的观点不一致呢?在大多数情况下，讨论需要保持一定的礼貌，支持“负责任的披露”的人同样不应该使用谬论侮辱和攻击任何持不同意见立场的人。

　　实际情况是，在不同地点和出于不同的目的，我们讨论的内容已经被以更严厉更直接的方式展示在未能解决这一问题的事实前。也就是说，在另一个领域，它已经被以《安全业之狼》的标题出现在grsecurity的布拉德利·斯宾格勒发送的电子邮件列表中。在写完《负责的披露与不负责的建议》后，我才发现了这条消息。就斯宾格勒的电子邮件和我自己文章中的相似之处，我感到非常惊讶。

　　当然，两篇文章之间还是有一些明显差别的。在这种情况下，斯宾格勒的文章在语言和语气选择上更具鼓励性。他就一些人的相同观点进行了批评，并且文章的长度(约3000字)比我的要长一些。对于那些希望了解“负责任的披露”这种做法带来的问题的人来说，它肯定是值得一读的。不说其激进的风格，在研究方面，它也是非常有价值的。但是需要注意它的文字(苛刻的语言在阅读资料可能被禁止)，最好不要在工作的时间阅读。

　　在其它的新闻中，依然还有笨蛋将塔维斯·奥曼迪当作“恐怖分子”：

　　网络恐怖分子塔维斯·奥曼迪是怎么在谷歌得到工作的?

　　在塔维斯·奥曼迪的支持下，网络恐怖分子开始对微软发动零日攻击。

　　看起来似乎有一个人在通过多种途径宣称奥曼迪为“恐怖分子”来破坏其名誉。我同样看到“n3td3v”，安德鲁·华莱士，在其它地方提出这样的观点。我对此感到诧异的不是有人试图游说虚拟暴民，而是该人积极地进行这种原始的不合理任务。