Jeff Moss 是刚刚在 Las Vegas 召开的 Black Hat (黑帽)与 Defcon 安全大会的创始人。他1993年创办 Defcon,1997年创办黑帽并于 2005 年将黑帽以1400万美金卖给 CMP Media。以下是 VentureBeat 的记者对 Jeff Moss 的访谈。(请参阅:DNS 漏洞发现者 Dan Kaminsky 访谈录)
VB: 请向那些不太了解 Defcon 的人介绍一下这个大会。
JM: 这个大会包含技术和社交两层意义,人们可以学习和分享技术,也可以在这里结交朋友。如果你是从那个没有视频聊天的早期黑客环境中长大,你会根据那些黑客的 所作所为来了解他们,人们也因为各自所做的事或所知道的东西而相互接受。你看一下这里的人,染着蓝色头发的,梳小辫的,穿正规职业装的,他们都坐在一张桌 子上交流,他们有共同的东西,这是一个很大的成功。
VB: Defcon 和 Black Hat (黑帽)有什么区别?
JM: Black Hat 是学院派,Defcon 是江湖派。在 Defcon 我们也有很好的内容,来 Defcon 的人想学习如何破解 Xbox,破解卫星系统,或者开锁。这些东西放在黑帽将很不合事宜,因为黑帽的参与者多是公司。
VB: 你是否注意到外部世界对你们的看法,比如,是否偏离法律或责任?
JM: 我并不关心外界的看法。
VB: 你如何保证不走歪?
JM: 你需要树立一个榜样,让其他人学着这个样子来。但我无法控制他们的作为。如果他们想犯罪,他们就会犯罪。我试图向他们展示,还有别的选择。你不能命令别人 如何做。如果你发现一个新漏洞,你应该怎么做,是全部透露出去,还是部分透露出去,还是选择有责任地透露?我会选择有责任的透露,将漏洞透露给相关方,让 他们有时间打补丁,然后再透露给公众。我们在选择发言者的时候,会选择那些有道德感的,我们希望其他人会学着来。
VB: 会有官方的人参加并发言吗?
JM: 从一开始,就有司法部门的人参加,观众中有他们要抓的人,我们尝试各种不同的观点。
VB: 那这还是一个中立的场所吗?
JM: 这是我要把它创办成的样子。一开始,我们还没有 Internet 和 Amazon.com。你要获取信息,就要来听人讲,就要让那些专家现场消解那些口耳相传的神话。我知道联邦机构会来,我还邀请了 FBI,每个人都以为我疯了,我给联邦情报局打电话,他们说,我们知道你们的行动。
VB: 他们没在这里抓过人吧?
JM: 2001年,FBI 在抓了一个,是 Dmitri Sklyarov,他刚参加完 Defcon 回到宾馆。那件事的起因是 Dmitri 工作的公司和 Adobe 有争端,因为他们没有办法去俄罗斯去处理,便抓了 Dmitri 做“人质”。
VB: 每年都有很多争端。Massachusetts Bay Transit Authority 曾起诉要求禁止你们的三个与会者讲话。你们每年都是怎么处理的?
JM: 这真不怎么样。有时候,要求取消某个讲话的理由是正确的,但绝大部分都是神经过敏,这对社区是一种伤害。那些公司如果不吸取这些现实的信息如何才知道各种风险?如果每个人都害怕讲话,谁会继续去研究?我们会失去这些最前沿的东西。
VB: 你自己是否黑过什么?
JM: 以前有过。我现在管理 Defcon 的网络,每天都看到数以百万的攻击,很自豪的是,没有人得逞,但我知道不会永远这样,我现在的主要精力放在这里。
VB: 你的网名“The Dark Tangent”是怎么来的?
JM: 有一本漫画,叫“D’Arc Tangent”,是我喜欢的一个作者出的,关于一个人工智能机器人的,我向杂志写文章的时候,用 The Dark Tangent。
VB: 一个政府与会者离开后曾说,他觉得很恐怖,安全漏洞到处都是,我们需要大量的工作来提高安全。
JM: 这是正常的反应。技术并不可靠,这不是一个什么事情都有条不紊的领域。
VB: 你们的“绵羊墙”(Wall of sheep)传统是怎么来的?(将一些使用无线网络的粗心笔记本用户的用户名和密码写在一面墙上)
JM: 刚开始一年,人们把那些帐户写在纸盘上并挂在墙上,无线网络是免费的格斗场,风险自担。今天头号入侵者是 iPhone,iPhone 发现任何无线网络都会自动关联。
VB: 你的胸牌是电子的,我看到还有媒体专用胸牌,你们对媒体有很多限制吗?
JM: 是的。媒体行为不检所以我们才为他们制定了制度。今年,我们把 G4 赶了出去,他们在一个房间中,未经同意拍摄与会者,那些电视摄像镜头总是规则的破坏者,他们只想着镜头效果,他们喜欢拍那些绿头发和穿孔的脸,那些文字记者写的东西更好。
VB: 在现实世界的物理安全和网络空间中的安全之间是否有某种接合?你们这里有开锁的吗?
JM: 我们吸引的是那些喜欢弄懂事情机理的人,他们喜欢一些非常规的东西。
VB: 那些安全领域的创业公司在做什么?
JM: 风险投资越来越聪明了,他们越来越会问问题。据我所知,他们喜欢投资一些可靠的,短期能获得回报的项目,那些说不清楚的项目他们是不会感兴趣的。
VB: 好象以安全行业作为职业生涯仍然是不错的。
JM: 也许是一些电影描述的缘故,这个行业有很多激动人心的东西,很多新人加入这个行业。但现在,因为经常卷入犯罪调查,所以这个行业更象一场辩论游戏。但这个行业仍然需要那些拥有计算机安全知识的人。
VB: 一些独立安全研究者可以通过将发现的漏洞卖给某些公司而赚大钱。
JM: 如果你有能力发现漏洞,人们就会雇你,一些人白天为安全公司工作,晚上研究漏洞赚外快。如果人们将发现的漏洞都卖掉,而不再讨论,我们是否将只有那些二线的信息在大会上讨论,因为所有有价值的东西都卖掉了?到目前位置,这种事还没发生。
本文国际来源:http://venturebeat.com/2008/08/11/qa-a-chat-with-black-hatdefcon-organizer-jeff-the-dark-tangent-moss/
中文翻译:COMSHARP CMS