信息安全界是时候减少点夸大其辞的炒作了。
阿列克斯·斯塔莫斯
脸书首席安全官阿列克斯·斯塔莫斯(Alex Stamos)是个直言不讳的人。昨天,他强烈抨击了下月即将在旧金山举行的全球知名信息安全峰会——RSA Conference。
“在我看来,RSA代表了安全业界最坏的部分,不仅导引方向不正,还没什么卵用。”在周二的UNIX用户协会(Usenix)主办的恩尼格玛(Enigma)大会上,斯塔莫斯如此说道。
那是一种错误的看法,总觉得所有事都得以巨大花费来修复,重点总在漏洞和超级黑客上,看什么都是战争。RSA是年度最大安全盛会之一,去年旧金山莫斯克尼会展中心就汇集了3.3万人聆听演讲,敲定交易。但斯塔莫斯认为,这个大会根本就是在将人们误导向错误的方向。
“四处煽风点火鼓动冲突就是个错误,这不是在为安全添砖加瓦。”
安全专业人士应该少放点精力在区分敌我上,共享知识,不断学习,改善安全系统才是更应该关注的东西。需要填补的知识空白还有很多,安全产业也太过聚焦在冲突上了。
某种程度上,斯塔莫斯的愤怒可以理解。2014年RSA大会举行的同一天,还有另一个名为TrustyCon的大会举行,该大会的组织者之一就是斯塔莫斯,而大会的目的,是抗议RSA公司从美国国家安全局(NSA)拿钱应用该间谍机构倡导的双椭圆曲线确定性随机数产生器(Dual EC DRBG)。据路透社报道,NSA支付了1千万美元,让RSA在其产品中默认启用该存在后门的随机数产生器。
RSA公司努力淡化了这些报道,但见诸媒体的消息足以导致很多著名演讲者取消了RSA大会的行程,包括F-Secure首席研究官米可·海普楠(Mikko Hyppönen)、加密大师布鲁斯·施奈尔(Bruce Schneier)和普林斯顿大学计算机科学教授艾德·菲尔顿(Ed Felten)。
TrustyCon规模不大,只有400人左右的参会者和媒体人,但它为电子前沿基金会筹集到了3万美元资金,并呈现了一些非常棒的演讲。斯塔莫斯称,TrustyCon如今已被整合进恩格尼玛大会,并鼓励参会者重新思考业内一些人导引他们看向的方向。
对参会者来说,斯塔莫斯的话有一定意义。RSA作为一个过大的行业聚会已被诟病多年,它更多地将重点放在了市场营销,而不是真正有意义的安全技术研讨上。很多人都称已经将RSA大会从自己的日程表上划去了,因为他们更钟爱有深度的研讨会。
“RSA已经变得太大了。某种程度上,黑帽大会就像是曾经的RSA,但就连它也正在慢慢改变。如今,我坚持去Defcon之类更小型的活动,这个永远不会变。”
然而,尽管如此,RSA依然是非常流行的大会,也是也是初始的几大反权威大会之一。米可·海普楠也称,有可能在联合抵制后再度参会。