中国领先的IT技术网站
|
|

Google安全专家TCP/IP漏洞发现者沃森访谈

网络安全专家保罗·“托尼”·沃森(Paul 'Tony' Watson )为世人所瞩目始于去年4月他发现了TCP/IP协议的一个漏洞。他曾在美国空军服役,随后为政府从事计算机反间谍工作,目前在搜索引擎巨擘Google公司就职。

作者:Krishna来源:51CTO|2005-08-08 00:00

Tech Neo技术沙龙 | 11月25号,九州云/ZStack与您一起探讨云时代网络边界管理实践


网络安全专家保罗·“托尼”·沃森(Paul 'Tony' Watson )为世人所瞩目始于去年4月他发现了TCP/IP协议的一个漏洞。他曾在美国空军服役,随后为政府从事计算机反间谍工作,目前在搜索引擎巨擘Google公司就职。

1)大家对您的姓名搞不大清楚,您的名字到底是保罗还是托尼?为什么不用其中一个?

大家老问我这问题。我的真实姓名是保罗·安东尼·沃森(Paul Anthony Watson)。我的家人和朋友从小到大都管我叫托尼。但是在正式场合我用本名保罗。不过最简单的回答是,不知是在CanSecWest还是DefCon会议期间,有个人和我喝了几瓶科罗娜啤酒后,大家就开始都叫我托尼了。

2)您从事互联网安全领域的工作有多长时间了?您是如何起步的?

我是在1983~84年间开始接触计算机安全。我第一台电脑是Commodore-64。我爱好游戏编程,但我当时经济很拮据。为获得更好的编程工具,我在80年代初期就开始破解软件。由于大多数人喜欢互相交换游戏,我只好破解游戏,以换取其他软件——图形处理软件、机器语言监视程序、汇编程序之类的东西。我还用红盒子和蓝盒子破解电话线路,这样就可以免费拨号上欧洲的BBS,那里软件与游戏交易比美国更流行。然后有一天我一位朋友向我介绍了C语言。我很想学这门语言,可是Commodore电脑上的C语言编译器非常昂贵,我也找不到破解版。正好我有位朋友的母亲在普度大学计算机学院工作,我就和她做了笔“交易”:我帮她编写计算机课上用的程序,她让我用她的Unix帐号。这样一来,我就可以学Unix和C语言。我马上就迷上了Unix。

1993年的时候,我作为程序员加入了美国空军,帮助开发北美防空联合司令部(NORAD)的命令与控制系统。这时我终于可以随时上网,就开始做黑客找点乐子。空军特别调查办公室最终发现了我娱乐性质的黑客活动,就征召我去做计算机反间谍工作。几年后,我还常和朋友开玩笑说,这相当于国防部给了我“黑客执照”(从詹姆斯·邦德的“杀人执照”那获得的灵感)。打那时起我就停止了娱乐性质的黑客活动,因为我看到形势开始发生变化——政府不再认为黑客活动只是小捣蛋,而是一种现实的威胁。我有几位朋友就玩过了火触犯了法律,他们要么没有意识到这一变化,要么就是不屑一顾。

3)您在Google工作有多长时间了?是不是和所有人想的一样,觉得为Google工作很酷?

我是去年夏末进的Google。很多媒体现在争先恐后地报道Google,不遗余力地称赞它。我在进Google之前也在一些很酷的地方呆过,不过Google比媒体和Slashdot网站的描绘还令人难以置信。至于形容Google最贴切的词,我能想象出的是“怪人的天堂”。

4)您是如何得到Google公司这份工作的?您在Google到底做什么?

我去年6月给Google发了简历,结果侥幸成功。我先和Google负责招聘的人通了两个时间很长的电话,然后是两天时间的面试。第一个电话让我我很难忘。当时我正在拉斯维加斯参加DefCon会议,那天上午我喝了不少酒,就和几个朋友在游泳池里泡着闲聊。我突然想起Google会随时打电话找我,就爬出游泳池撒腿跑回房间找我的手机。我刚拿起手机,它就响了。我在醉醺醺的状态下,接了一生中最艰苦的一个电话,和Google招聘人员在电话里谈了有个把钟头。

我在Google的工作重点是网络安全。但我整天忙着设置防火墙和路由器,测试新的应用程序,评估加密和哈希算法,或者编写简化工作的代码。这份工作很具挑战性,它需要你在安全领域各个方面拥有渊博的学识和丰富的经验。我可以很公正的说,Google的安全工程师是我共事过的最具经验最有才华的人。

5)在Google之前您在什么公司工作?

威斯康星州米尔沃基市的Rockwell公司。人们听到Rockwell,大多会联想到航天飞机什么的。不过这是一非常大的公司,涉及很多领域。它的工作环境很好,我很怀念那时的同事。

6)除了发现利用TCP漏洞进行重启式攻击的工作,您最引以为豪的项目是什么?哪个项目对人们最有用?

在空军服役时,我做过很多项目,其中有个项目CTIS(指挥战术信息系统)尤其引以为豪。CTIS能从各方收集并分析数据,然后将数据传送到Mac终端,向终端用户及RAOC(区域空中作战中心)的特大屏幕显示战术信息。这和“战争游戏”差不多,不过图形界面要好的多。我们团队为此还荣获了麻省理工大学Brunnell奖。虽然它不是开源项目,但是我想对国防科技作出贡献,当然也对广大群众有用,即便他们绝对没机会亲眼目睹。

7)Hammersmith项目的作用是什么?为什么Cygnus也会牵扯进去?什么时候才能完成开发?

Cygnus是Hammersmith的新名字。我在以前公司工作时,发生了几起严重的蠕虫/病毒注入事件,整个网络都崩溃了。Hammersmith是我从零开始编写的darknet/blackhole系统。我的想法是,只要我能观察到网络正常时的“静态背景”,那么当系统开始感染蠕虫时我就能探测到异常。但问题是网络过于巨大,遍布全球。因此我创建了一个囊括所有网络及关键系统信息的数据库,里面有它们的地理位置、系统管理员、联系方式及其他许多信息。当系统探测到某一主机的可疑活动,就收集其关键细节数据,如MAC地址和NetBIOS信息。然后这些数据和数据库中的静态信息一起,发送给该主机的管理员,向他提供快速响应所需的所有细节信息。这样一来,我们就可以在发生事故时赢得先机。自从部署这一系统之后,再没有发生过网络崩溃事故。而且它在探测错误配置的软件及系统方面也很有用。

这一系统是专门为我以前的公司量身打造的,现在我想重新编写所有代码,使它适用范围更广,就把名字为Cygnus。但自从我进了Google之后,一直忙于其他项目,根本没有太多空余时间。我希望很快能有时间继续这一项目。

8)您发现了思科公司的路由器漏洞。问题真的存在吗?他们现在解决的怎么样,您满意吗?

这不是一个问题,而是会导致严重后果的一系列问题。我现在还奇怪,为什么真正理解我的文章的人这么少。

1. 有人认为数据包的序列号需要完全相同才能使TCP注入攻击生效。事实上,只要序列号在TCP窗口尺寸之内,就可以把数据包偷换成非法内容,并被目标机器接收。

2. 即便与接收到的其他TCP数据序列号不同,复位包也会受影响。

3. TCP源端口信息可预测。我发现思科不同版本的互联网络操作系统(IOS)启动后的源端口都不同,每增加一新连接端口号就增加1。由于路由器向外的TCP连接很少(除了边界网关协议连接),这样就很容易猜出源端口信息。

4. 带宽对于普通用户来说,已经不再是奢侈品了。

5. 最后,很容易发现路由器连接的对象。由于ISP将网络拓扑图发布到网上,路由反射器使它很容易探测BGP backbone。Traceroute程序和DNS服务器的反向记录用来探测路由器也很有用。

我是否满意思科的解决方案并不重要。使用MD5加密可以防止漏洞被利用,这很好。当然,用迫使路由器计算欺骗数据包的资源耗尽攻击法进行攻击还是有可能发生的。不过真出现这种攻击时他们会解决这一问题的。

我对思科解决问题的方式很震惊。这是很聪明的解决问题的办法,但这让我对他们丧失了信心。像思科这样的厂商会要求安全研究人员通知他们之后再公布问题。但思科利用本应修复问题的这一时间差,却发布专利,这就象华尔街的内部交易。随着时间流逝,这让我越来越不舒服。

9)要让解决问题的人认真听取您的意见有多难?

美国计算机紧急事件反应小组(CERT)对思科和我的电子邮件视而不见,一连几个月都没回音。后来他们辩解说当时在整编,文书工作出了点问题。这个借口很蹩脚。我个人认为事实是这样的:CERT看了文章标题“利用TCP漏洞进行重启式攻击”后,就认为是老掉牙的问题,具体内容看都没看就把我的文章扔一边了。

英国国家基础设施安全协调中心(NISCC)的做法就完全不同。在CERT没有回复之后,思科建议我将文章寄给NISCC。他们读了我的文章之后,意识到问题的严重性,在几小时内就回复我。而且他们在整个处理过程中一直与我协作。他们很厉害。

10)为什么思科的漏洞在北美被媒体曝光的次数很多,而西欧媒体报道的很少?

在西欧媒体报道的很少?我不清楚。当有朋友从巴基斯坦或其他国家发来头版报道思科漏洞的报纸,就觉得很有趣(虽然我看不懂当地报纸)。

11)2004年4月的时候您声名鹊起,现在还有媒体关注您吗?您会找出更大的安全问题,以此超越自己?

有时候记者写文章时会打电话找我,要我提供一些引用的文章,或者去参加讨论计算机安全话题的电台节目。就媒体关注而言,最酷的一次就是我的大名上了Slashdot网站,这就跟获得Geekville的荣誉市民称号一样光荣。全世界有数十万人叫保罗·沃森,但用Google搜索这一名字,有阵子我的排名最高,甚至在创建绿色和平组织的保罗·沃森之前。我在第一的位置呆了很久,不过最近有个洛杉矶的音乐家超过我了。有媒体关注我很不错,但是能上Slashdot和在Google排名第一更让我受宠若惊。

我不想也没必要超越自己。我的妻子辛迪看报纸上的报道比我还起劲。说实在的,我对所有媒体报道都觉得很有趣,但这会让我分心。我说有趣,是因为我了解了媒体是如何运作的。我有个主意,想编写个从各个网站索引新闻的软件。好象大多数记者都是文抄公,只是把一流记者的文章改撰一下而已。我想,开发一个能够识别新闻真正出处并如何被其他文章引用的软件是很有意思的事。

12)您告诉思科本来要140年才能破译的漏洞现在只需要15秒钟之后,他们的反应是什么?

马修·弗兰茨(Matthew Franz)和肖恩·康弗瑞(Sean Convery)在黑帽会议读的一篇文章启迪了我,我才写了这篇文章(《利用TCP漏洞进行重启式攻击》)。我把文章寄给他们,希望他们评价一下。马修很热心,立刻就给了我回复,但他的回答是“哦,我们当时确实错失良机...”Matt和Sean让我觉得真的很不舒服,他们发布了一篇很好的文章,但把所有注意力都集中到他们把事情搞砸这一事实上,而不是他们文章中提到的许多问题。

13)您是何时收购terrorist.net网站的?为什么收购这一网站?

以前任何人都可以到Network Solutions的WHOIS数据库里直接查询域名,它根本不加限制。我曾写过一个小程序,每晚DNS服务器升级完成后就开始自动运行。它可以自动扫描并注册我认为值得拥有的一千个域名。我用这种办法得到很多域名,其中就有billgates.org。它很象比尔·盖茨的主页,我用5分钟就架设好这一网站,以此取乐。我在2000年时注册了terrorist.net,它其实是一个假冒的恐怖分子招募网站。在2001年的时候,我离开华盛顿来到芝加哥,就关闭了这一网站。在我打算重新开通这一网站时,发生了911恐怖袭击,我就决定不把以前的内容放到网上。后来我把这一网站指向自己的主页。我想这一域名对媒体关注我的研究会有所帮助。在新闻里提到恐怖分子、破坏网络之类的东西,一定能吸引读者的眼球。

14)您遇到过不受欢迎的访客吗?

911恐怖袭击之前,terrorist.net网站是一个假冒的招募和雇佣恐怖分子的网站,还真有几个人上钩了。有人还给我发来他们的简历,其中一人是刚退役的海军陆战队员,精通爆破,还是个神枪手。这真是有点不可思议。

15)拥有域名这样张扬的网站给您带来过麻烦吗?

这一域名真的使一些人很紧张。有人就不敢发电子邮件到我的@terrorist.net信箱,也不敢在浏览器里输入www.terrorist.net——害怕国家安全机关会踢破门闯进来拘捕他,把他关进关塔那摩监狱。所以这一网站还有其他域名,如www.paulwaston.org和www.paw.org。其实都是同一网站,只是URL和网页标语不同。


点赞 0
分享:
大家都在看
猜你喜欢

热门职位+更多

读 书 +更多

网管员世界2007超值精华本

《网管员世界》是国内唯一一家专门面向网管员职业的刊物。本书是2006年《网管员世界》各期内容的汇集,内容权威、全面、时效性强,贴近应用...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× CTO训练营(深圳站)