月28日外电消息,在本周举行的Black Hat美国会议上,互联网安全系统公司(ISS,Internet Security Systems)的研究工程师Michael Lynn表示,之前ISS曾命令他不能在会议上透露思科路由器产品存在的安全漏洞,而他却宁可辞职也要指出思科路由器的安全隐患。
Lynn称,由于思科路由器的安全问题对于互联网的健康发展起着非常关键的作用,因此他认为自己应当离开ISS,这样就可以不受限制地公布出思科路由器存在的漏洞。“我觉得我的做法是非常正确的。”他这样说道,“当你攻击路由器,你就可以掌控整个网络。”Lynn的发言赢得了听众热烈的掌声。
Lynn指出了思科路由器互联网网络操作系统(IOS)中的一处漏洞,并描述了怎么样通过该漏洞掌控路由器的流程。Lynn表示,尽管ISS向思科提到过这一漏洞,而后者也于今年4月时为该软件打上了补丁,但对于思科老版本软件的用户来讲,他们还是有被攻击的可能性。
Lynn宣称,思科对于他的言论极为不满,并曾向ISS和Black Hat大会的组织者施压,希望将Lynn的演讲取消。而思科未有即时对此种说法发表评论。
Lynn表示,他希望人们能够摆脱对思科产品已有的错误观念,不要认为思科的产品就一定具有更高的安全性,事实上思科的IOS和微软的Windows XP一样存在着各式漏洞。“IOS就是互联网领域里的Windows XP”他这样说道。
经过6个月的研究,Lynn发现了一种关闭思科路由器的方法,这样路由器就无法重新启动。另外2004年思科的IOS源代码曾经失窃,因此有可能黑客们会制造出一种极具攻击力的蠕虫病毒来令许多互联网路由器停止工作。
Lynn表示,思科近期决定在以后发布IOS中加入一种被称为“虚拟流程”(virtual processes)的技术,这里存在着一个真正的大漏洞,届时黑客们将可以非常简便地制造出一种蠕虫来破坏世界上任何一款路由器。
Lynn称,思科和ISS曾经威胁过他,声称如果他敢发表讲话就要对他采取法律手段。
一位ISS发言人证实了ISS确曾要求Black Hat会议的组织者们不要让Lynn发言,并将他的发言稿从会议材料上删除。不过该发言人表示,尽管ISS认为Lynn的发言欠思量,但从未计划过对他采取任何法律手段。
大会的组织者们并没有听取ISS的建议,而且还将Lynn写好的31页的发言稿从总计1200页的会议内容中单独抽调出来发给了与会者。
对于ISS的立场Lynn表示理解,因为ISS必须考虑股东的利益。他说:“ISS从股东的利益出发阻止我发言,而为了国家的基础设施安全我却必须发言。”
