天下网吧 >> 网吧天地 >> 网吧行业 >> 网络追踪 >> 正文

专访曝光AT&T iPad用户资料的黑客

2010-6-13eNet硅谷动力佚名
专访曝光AT



  6月12日国际报道 让AT&T的iPad用户e-mail外泄的黑客团体成员辩称,他们的行动是为了公众利益。

  AT&T日前狼狈地修补造成10万以上iPad用户e-mail地址外泄的网站漏洞。AT&T表示,他们7日接获一个企业客户通知,便在隔日修补完成。而踢爆这个安全漏洞的黑客团体Goatse Security,也在9日将详情公布在一个博客网站,引发媒体疯狂追踪。美国联邦调查局(FBI)已针对这起连带曝光许多政府高官和媒体名人e-mail地址的事件,展开调查。

  本站访问了Goatse的主要成员,Escher Auernheimer(别名Weev),说明该团体的动机。

  Q: AT&T发言人说你们没有联络他们,你能说明吗?

  Auernheimer:我们选择不采取直接对话。我们一直等到8日,确定他们网站的漏洞已经修补好之后,才公布资料和攻击的细节。而且我们只把消息放给Gawker Media(八卦网站)的Ryan Tate,因为他答应会检查(隐藏)ICCID和e-mail,以免被有心人利用。我们尽了最大的努力,但我们不想直接和AT&T接触,以免他们试图对我们不利或发出禁止令。

  如果你们没有直接连络AT&T,那是用什么方式和他们接触?

  Auernheimer:那不是我的责任。另一个人负责确定AT&T已经防护好他们的网站,和这个漏洞不会被其他任何人利用。我是负责确定攻击程序的作者已经确认该漏洞被封闭,然后才对外公布资料和细节。那是我们的公司程序。

  所以,Goatse Security的行动是有商业目的?

  Auernheimer:我们有一个我们非常重视的客户基础,他们的利益优先。但那些客户之外,我们最看重的是公众利益。我们为大众服务,而公开这件事的原因,是因为民众有知的权利。这个问题可能产生几个严重后果,尤其是如果有人偷走了这些资料,然后发动一个Safari攻击…现在就有几个我知道的零时差(未修补)攻击漏洞存在。有多少人拥有这个东西?我不知道,但如果他们可以拿到这份资料,就等于有一份攻击的候选人名单。那是非常危险的。

  因此,我认为有必要用这种特别的方式告知大众。我知道有些人批评我们不负责任,但我们在这件事情上,是尽了全力扮演好人。我们等到漏洞修补好、我们只把资料提供给一位同意隐藏重要部分的记者。这都是为了民众的最大利益。

  Gawker取得这份资料没有付出任何报酬吗?

  Auernheimer:完全没有。

  除了那位记者之外,你们还有和任何人分享这个信息和攻击指令吗?它有没有可能落到居心不良的人手中?

  Auernheimer:指令有可能落入第三方手中,但我不认为那会发生。我认为参与这次行动的每个人都非常负责,我没有理由怀疑他们。

  所以是你们其中一位成员有一部iPad,然后发现这个与AT&T网站的奇特互动?

  Auernheimer:他使用这一项AT&T的安全维护程序,并且发现,这个普通的使用者经验中的某部分,可以用来骗取资料。

  然后就写出自动执行的指令了?

  Auernheimer:没错。

  这种网站安全漏洞是非常普遍的,对吗?

  Auernheimer:或许。针对这种俄罗斯地下市场可能已经备好攻击代码的设备,AT&T竟然还有这种问题,令人相当震惊。

  那些ID验证码能被用来执行锁定或控制该设备的目标性攻击吗?所有iPad使用者都会受影响吗?

  Auernheimer:理论上有可能。我认为最坏的状况是某人发出一个Safari攻击代码到那些e-mail地址,然后有人用他们的iPad点入链接…我最担心的是,有人拿到这份e-mail名单,再到RBN(俄罗斯商业网络地下市场)买到Safari攻击代码,然后用来攻击美国政府官员和企业高层。那就不好了。所以这是为了民众的利益,至少现在他们知道了。至少大家知道自己可能被攻击。你或许想变更与iPad有关的e-mail地址。民众可以采取自保的步骤,那些过去大家不以为意的事情。我认为那是非常重要的。

  苹果有任何过失吗?他们是否该要求使用者以不同于Mac或iPad的e-mail地址去注册新设备?

  Auernheimer:对我而言,真正的威胁是借由e-mail附件传送的攻击代码,而那部分只要换新的e-mail即可解决,网络上有很多免费的e-mail帐号可申请。苹果应该对电信商的安全防护作某种程度的评估吗?他们应该作业务稽核评估吗?他们应该作网络应用程序审核吗?也许,但我认为大部分的错在AT&T.

  你们究竟是什么组织?帮企业测试安全防护的顾问公司吗?

  Auernheimer:没错。我们接受几方的咨询,对新工作保持开放,我们也喜欢作有趣的研究。我们有高竿的员工,我们的团队包含一些世上最聪明的人。我很荣幸能与Sam Hocevar这些人共事,他是一位影像处理(captcha-breaking)天才。有些人更是让我佩服的五体投地,我的同事都很伟大,我很高兴能成为其中一员,也对我们的成果引以为傲。

  你们总共有多少人?

  Auernheimer:核心成员有9位,还有一些外包成员。

  你们以美国为基地吗?

  Auernheimer:我们没有任何基地。我们都在自己家里工作,有几个人在德州,几个在洛杉矶,有一个人在法国,其他分散在各处。

  你们公司的名字,和一个恶心的惊骇网站(请见维基百科解释)一样。那是否会损伤你们的信誉和名声?

  Auernheimer:(笑)我不认为。我们的研究和成果能证明一切。我们上一次公开的成果(我们大部分的成果都没有对外公布),是一个Safari溢流错误。我们的团队和我们的成果都非常棒,如果有人因为我们的发言感到极度不爽,以致于无法用文明的方式接受我们,那他们就是混蛋,我们也不想为他们工作。

  你说你们大部分的工作都没有曝光,你的意思是没有告知受影响的公司,或居心不良的人吗?

  Auernheimer:这是本益分析的问题。当你发现一个错误,特别是在某种情况下,有时候不公布比较有利,如果这是为了你客户的利益,或某人的利益。我们的客户是最高优先,除此之外,如果我们没有接受任何人的委托,我们会把公众放在最先。但每样东西都有价钱,我相信所谓揭露的道德,当然也有价码。但若不为钱,就要为公众的利益。

  所以,你们的研究都不会流入地下市场或坏人的手中?

  Auernheimer:绝对不会。我们爱美国,我们爱美国人,而我们绝不会帮助美国商业上的策略对手。绝对不会。

  纽约时报对你有一篇相当丰富的报道…

  Auernheimer:那个人根本是通篇胡言,像他说我占据别人女儿的手机要赎金。我从没宣称自己做过那种事,我也从未作过那种事。他根本不想写真实的报道,他要把我放到他编造的故事里。

  被封为网络巨怪和顽童,你同意吗?

  Auernheimer:那部分我俯首认罪。

  还有什么大家应该知道的事吗?

  Auernheimer:我认为苹果的使用者会特别感到幻灭。现在执行OS X的产品,已经是可替换的商品。随着苹果使用者成为数量更可观的少数,他们对安全防护的不实际幻想,也将随之破灭。

本文来源:eNet硅谷动力 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行