知名黑客谢恩·麦考莱(Shane Macaulay)周二在接受外界采访时表示,自己在eBay上拍卖含有Windows Vista攻击代码的获奖笔记本,并不会危及广大计算机用户安全,原因是自己设定的拍卖终止期限已在相应厂商发布漏洞补丁之后.在上周名为“PWN 2 OWN”的2008年全球黑客大赛上,苹果MacBook Air超薄笔记本上周四首先被攻破,麦考莱则于上周五利用Flash软件中存在的一处漏洞攻破了微软Vista系统;到比赛结束时,运行Ubuntu系统 的笔记本仍没有被攻破.本周一,麦考莱将其奖品笔记本在eBay上拍卖,起价为0.01美元,并表示这台机器仍含有可攻击Vista的执行代码.
但eBay于周一晚上随即删除了麦考莱的相应拍卖信息,称此举会威胁广大计算机用户的安全.麦考莱周二对此表示,自己在eBay拍卖奖品笔记本并不算违规,原因是自己设定的拍卖终止日期为4月8日,而此时软件开发商Adobe已经发布相应Flash漏洞补丁,故而即使奖品笔记本被拍卖出去,也不会对计算机用户构成危害.
下面就是麦考莱周二接受采访的精彩搞要:
问:你怎么会想起来把那台奖品笔记本在eBay上拍卖?
答:我想知道一下含有执行代码的笔记本能卖出多少价钱.这种东西你平常想买也买不着.为了遵守eBay的相应拍卖规则,我只得对所透露的信息加以限制.
问:你干吗对(拍卖这种含有攻击代码笔记本)这种事情如此着迷?
答:我此前已经向一些安全公司出售过一些攻击执行代码之类的东西,当然前提是这些买家们将合法使用.但这种情况下,出售者没有多少讲价的余地,多是由购买者说了算.
问:eBay周一晚上就删除了你的拍卖信息,你对此是否感到惊讶?
答:不感到惊讶,因为我发布的拍卖信息确实有点草率.我应当事先在eBay通过邮件向他们发出通知,首先解释清楚我的作法并不违规.这样我的拍卖活动就能进行下去,而不会出现所谓的“零天攻击”(注:zero day,指某软件被查出漏洞的当天就遭到相应攻击).
问:你所谓的不会出现“零日攻击”具体怎么解释?
答:就是说,在有人利用软件漏洞实施攻击之前,相应厂商已经推出漏洞补丁,并通过自动升级等方式发放到用户手中.具体到我所拍卖的奖品笔记本来说,在拍卖结束之前,Adobe届时已经发布了Flash漏洞补丁.
问:于是你把拍卖终止日期定在了4月8日,也就是Adobe有望推出补丁的当天?
答:正是那天.
问:你前两天曾说过,你发现的这个漏洞对90%的操作系统系统有效,那你为什么专门挑中了Vista作为攻击对象?
答:不久前我刚刚做了一些与Windows有关的开发工作.虽然我对Linux操作系统钟爱有加,但自2001年以来,我一直没有机会研究Linux中的安全漏洞.我目前较擅长于Windows平台,因为我在这方面花费了将近十年的时间.如果现在回到Linux领域,还需要重新学习和掌握很多新知识.
问:本届黑客大赛所使用的三种操作系统,每种系统都有自己的“粉丝”,你对此怎么看?
答:用户选择特定操作系统后,自然而然会认为,自己所使用产品有其独特性和其他优点.在这个问题上,我与普通用户没有什么两样.
问:明年还想不想参赛?
答:当然想了.我已经掌握了一些东西,明年参赛时或许用得上.
问:明年准备攻击何种操作系统?
答:没准是Linux,也就是觉得好玩而已.