国安局计算机科学家说:“修补漏洞只是一种虚假的安全感”
国安局计算机科学家说:“修补漏洞只是一种虚假的安全感”
46岁的戴夫·艾特尔(Dave Aitel)是美国国家安全局的前计算机科学家,多年来经营着自己的安全商店 Immunity,他说,这些年来,安全供应商和大型技术公司提出的补救措施使人们陷入了一种错误的安全感,而事实上所有的老问题仍然存在。
Aitel 的对手 Phillip Wylie,一位著名的进攻性安全专家和 CyCognito 的技术布道者,则认为打补丁并非完全无用,而是防御者武器库中的众多工具之一。
该会议由 Point3 Security 公司于4月8日和9日组织召开。Aitel 于4月18日在Twitter上发布了这场辩论的 。
Aitel 指出,如果网络上有易受攻击的设备,那么它们应该被移除,用其他设备代替,而不是不断打补丁。
在他为 Immunity 工作期间(他在2019年将 Immunity 卖给了 Cyxtera Technologies) Aitel 说,他的许多客户都是大型金融公司,他曾建议他们与软件供应商签订的任何合同也包含一个条款:如果任何软件被证明有过度的漏洞,他们可以退出合同。
Aitel 将补丁比作橙汁(美国人早餐中的必备),他说,多年来人们一直认为它是一个人早餐中最有用的部分;而最后,人们发现橙汁含有过多的糖分,只会使人发胖。
他在提到微软和其他大的软件供应商时措辞很严厉,他说他们在实际减轻劣质软件所带来的问题方面做得很少。他还批评了PHP的许多安全性问题。
Aitel 对 Linux 的批评同样严厉,他指出 “内核的最大贡献者是中国电信厂商华为”,他称该公司已被美国起诉,并问道:如果这么多补丁来自这样的公司,人们怎么能放心?
Aitel 呼吁进行漏洞管理,主张 “政府是处理这一问题的最佳实体”。他的论点是,没有其他实体有足够的力量来反击大型软件供应商和安全行业的游说。
不过,最终决定辩论胜负的观众投票站在了 Wylie的 一边,56%的观众支持他的立场。
您可以自行判断。我们认为漏洞是政治问题,而不仅仅是技术问题。此外请记得 Aitel 的身份,并且,他对谷歌的吹捧有些奇怪。
#security
