微软公司召开蓝帽峰会 攻防双方相见恨晚

　　作者： 王飞

　　【eNet硅谷动力消息】美国东部时间6月15日(北京时间6月16日)消息：在西雅图郊区的微软公司总部园区内的管理情报中心，几百名微软公司的工程师汇聚一堂，展开了热烈地讨论。

　　然而，会议召开没过多久，大厅就立刻安静下来。黑客成功地引诱一台安装Windows操作系统的笔记本电脑登陆到了一个恶意无线网络。

　　微软公司安全部程序管理员Stephen Toulouse说：“会场突然安静下来。”“安静到连人们的呼吸声都几乎听不见了。”

　　为了尽快解决微软计算机系统开发中的漏洞，在这特别的两天里，有许多外界专家都被邀请进入微软帝国的中心，而这个演示黑客攻击是其中的内容之一。微软公司并未公开此次被称做“蓝帽”峰会的会议，这是参照著名的“黑帽”安全会议而来，为了显示代表微软公司的颜色因而称作“蓝帽”会议。

　　这是一次不寻常的集会，会议召集了许多黑客攻击研究组织的代表和主要受攻击的公司的代表。这显示出安全对于这个世界上最强大的软件公司来说是一个非常重要的问题。微软公司主席比尔盖茨在今年早期曾预计微软公司目前在与安全相关的问题上每年将花费20亿美元，超过其研究预算的三分之一。安全问题也是微软公司今年的开发者大会上的主要议题之一，包括在上周召开的技术教育大会上，微软公司向11000多名与会者展示了公司在Windows安全问题上所做的一些改进。

　　由于别的不切实的原因，蓝帽峰会是具有重大意义的。它对计算机安全的阴暗面进行了少有的剖析，在这个领域，网络工程师与黑客之间的龙争虎斗常常令道德伦理也失去了原有的效力。在会议期间，双方代表都首次目睹了另一方的内部工作体系、文化和心理。

　　一个微软公司外部的与会代表Dan Kaminsky说：“我不知道如果我们结束这种大规模对抗争斗之后，或者这种争斗变成了一种双方的合作以后会发生什么事情。”就象黑客阵营的其他人一样，包括那些以“安全研究员”为职业的许多黑客，他表示这种对抗关系将最终以合作的方式终结。

　　而且，在充满感情的气氛中，很快他们就真情流露了。

　　Matt Thomlinson的工作是帮助微软公司工程师们创建更多的安全代码，他在会议上注意到有些工程师在观看了黑客攻击事件的演示之后涨红了脸，明显很气愤。然而就象曾经经历的沉痛教训一样，他很高兴地发现大部分的工程师们都将安全问题当做是与他们个人密切相关的事来对待。

　　Thomlinson需要安全代码时经常向微软公司工程师们发出请求，但是他说他自己的话从来就没有起到同样的作用。Thomlinson指着他的头说：“它击中了人们的这里。”“当一大群程序员一起来审视他们开发出来的安全代码时，事情就完全不一样了。那是需要很大勇气的。”

　　微软公司的程序员们在这两天里不断受到打击，他们也学会了各种各样的开发方法。在第一天，包括微软公司高级管理员在内的几十个管理人员在这个模拟新兵训练营中就受到了惩罚。参加者中包括微软公司Windows部门的首席管理员Jim Allchin和 Windows操作系统开发核心小组组长Brian Valentine。第二天换上了大约400名普通的Windows系统工程师，其中还包括那些日常工作与安全性能无关的工程师。

　　Allchin并不仅仅是一个高层软件管理员。在技术界，他的名字已经基本上等同于他所负责的Windows操作系统了。Allchin是蓝帽峰会的强烈支持者之一，他希望 Windows团队不要仅仅道听途说各种安全问题，而应该来切实地观察和研究这些问题。

　　Allchin在谈到黑客工作时说：“我已经很久没有练习使用黑客工具来攻击系统了。”“我本人希望可以真正地钻研进去并真正了解其中的原理。”

　　这是一个获取经验的相对安全的方法。如果将安全改良专家比作“白猫”而将核心坏蛋比作“黑猫”，那么蓝帽峰会上的黑客们几乎不能代表黑色一边，如果他们有颜色，那充其量也只能算是一种灰色。

　　这可能就是微软公司召开蓝帽会议的重要原因，其目的是想追求形成一个有影响的团队，使它既可以选择小心谨慎地报告安全漏洞，也可以对公众公开那些安全问题。软件生产商们照例对此次峰会取得的成就大吹特吹，说它是一种“负责任的披露问题真相”的过程。

　　但是对于研究者来说，微软公司的动机并不重要，重要的是他们有机会见识那些掌握着帝国重权的人士，以及了解他们为什么要做那些他们所做的事。

　　Matt Thomlinson的工作是帮助微软公司工程师们创建更多的安全代码，他在会议上注意到有些工程师在观看了黑客攻击事件的演示之后涨红了脸，明显很气愤。然而就象曾经经历的沉痛教训一样，他很高兴地发现大部分的工程师们都将安全问题当做是与他们个人密切相关的事来对待。

　　Thomlinson需要安全代码时经常向微软公司工程师们发出请求，但是他说他自己的话从来就没有起到同样的作用。Thomlinson指着他的头说：“它击中了人们的这里。”“当一大群程序员一起来审视他们开发出来的安全代码时，事情就完全不一样了。那是需要很大勇气的。”

　　微软公司的程序员们在这两天里不断受到打击，他们也学会了各种各样的开发方法。在第一天，包括微软公司高级管理员在内的几十个管理人员在这个模拟新兵训练营中就受到了惩罚。参加者中包括微软公司Windows部门的首席管理员Jim Allchin和 Windows操作系统开发核心小组组长Brian Valentine。第二天换上了大约400名普通的Windows系统工程师，其中还包括那些日常工作与安全性能无关的工程师。

　　Allchin并不仅仅是一个高层软件管理员。在技术界，他的名字已经基本上等同于他所负责的Windows操作系统了。Allchin是蓝帽峰会的强烈支持者之一，他希望 Windows团队不要仅仅道听途说各种安全问题，而应该来切实地观察和研究这些问题。

　　Allchin在谈到黑客工作时说：“我已经很久没有练习使用黑客工具来攻击系统了。”“我本人希望可以真正地钻研进去并真正了解其中的原理。”

　　这是一个获取经验的相对安全的方法。如果将安全改良专家比作“白猫”而将核心坏蛋比作“黑猫”，那么蓝帽峰会上的黑客们几乎不能代表黑色一边，如果他们有颜色，那充其量也只能算是一种灰色。

　　这可能就是微软公司召开蓝帽会议的重要原因，其目的是想追求形成一个有影响的团队，使它既可以选择小心谨慎地报告安全漏洞，也可以对公众公开那些安全问题。软件生产商们照例对此次峰会取得的成就大吹特吹，说它是一种“负责任的披露问题真相”的过程。

　　但是对于研究者来说，微软公司的动机并不重要，重要的是他们有机会见识那些掌握着帝国重权的人士，以及了解他们为什么要做那些他们所做的事。