臉書首席安全官阿列克斯·斯塔莫斯(Alex Stamos)是個(gè)直言不諱的人。昨天,他強(qiáng)烈抨擊了下月即將在舊金山舉行的全球知名信息安全峰會——RSA Conference。
信息安全界是時(shí)候減少點(diǎn)夸大其辭的炒作了。
阿列克斯·斯塔莫斯
臉書首席安全官阿列克斯·斯塔莫斯(Alex Stamos)是個(gè)直言不諱的人。昨天,他強(qiáng)烈抨擊了下月即將在舊金山舉行的全球知名信息安全峰會——RSA Conference。
“在我看來,RSA代表了安全業(yè)界最壞的部分,不僅導(dǎo)引方向不正,還沒什么卵用。”在周二的UNIX用戶協(xié)會(Usenix)主辦的恩尼格瑪(Enigma)大會上,斯塔莫斯如此說道。
那是一種錯(cuò)誤的看法,總覺得所有事都得以巨大花費(fèi)來修復(fù),重點(diǎn)總在漏洞和超級黑客上,看什么都是戰(zhàn)爭。RSA是年度最大安全盛會之一,去年舊金山莫斯克尼會展中心就匯集了3.3萬人聆聽演講,敲定交易。但斯塔莫斯認(rèn)為,這個(gè)大會根本就是在將人們誤導(dǎo)向錯(cuò)誤的方向。
“四處煽風(fēng)點(diǎn)火鼓動(dòng)沖突就是個(gè)錯(cuò)誤,這不是在為安全添磚加瓦。”
安全專業(yè)人士應(yīng)該少放點(diǎn)精力在區(qū)分?jǐn)澄疑希蚕碇R,不斷學(xué)習(xí),改善安全系統(tǒng)才是更應(yīng)該關(guān)注的東西。需要填補(bǔ)的知識空白還有很多,安全產(chǎn)業(yè)也太過聚焦在沖突上了。
某種程度上,斯塔莫斯的憤怒可以理解。2014年RSA大會舉行的同一天,還有另一個(gè)名為TrustyCon的大會舉行,該大會的組織者之一就是斯塔莫斯,而大會的目的,是抗議RSA公司從美國國家安全局(NSA)拿錢應(yīng)用該間諜機(jī)構(gòu)倡導(dǎo)的雙橢圓曲線確定性隨機(jī)數(shù)產(chǎn)生器(Dual EC DRBG)。據(jù)路透社報(bào)道,NSA支付了1千萬美元,讓RSA在其產(chǎn)品中默認(rèn)啟用該存在后門的隨機(jī)數(shù)產(chǎn)生器。
RSA公司努力淡化了這些報(bào)道,但見諸媒體的消息足以導(dǎo)致很多著名演講者取消了RSA大會的行程,包括F-Secure首席研究官米可·海普楠(Mikko Hyppnen)、加密大師布魯斯·施奈爾(Bruce Schneier)和普林斯頓大學(xué)計(jì)算機(jī)科學(xué)教授艾德·菲爾頓(Ed Felten)。
TrustyCon規(guī)模不大,只有400人左右的參會者和媒體人,但它為電子前沿基金會籌集到了3萬美元資金,并呈現(xiàn)了一些非常棒的演講。斯塔莫斯稱,TrustyCon如今已被整合進(jìn)恩格尼瑪大會,并鼓勵(lì)參會者重新思考業(yè)內(nèi)一些人導(dǎo)引他們看向的方向。
對參會者來說,斯塔莫斯的話有一定意義。RSA作為一個(gè)過大的行業(yè)聚會已被詬病多年,它更多地將重點(diǎn)放在了市場營銷,而不是真正有意義的安全技術(shù)研討上。很多人都稱已經(jīng)將RSA大會從自己的日程表上劃去了,因?yàn)樗麄兏姁塾猩疃鹊难杏憰?/p>
“RSA已經(jīng)變得太大了。某種程度上,黑帽大會就像是曾經(jīng)的RSA,但就連它也正在慢慢改變。如今,我堅(jiān)持去Defcon之類更小型的活動(dòng),這個(gè)永遠(yuǎn)不會變。”
然而,盡管如此,RSA依然是非常流行的大會,也是也是初始的幾大反權(quán)威大會之一。米可·海普楠也稱,有可能在聯(lián)合抵制后再度參會。
京公網(wǎng)安備 11010502049343號