LinuxFR:你认为安全专家,漏洞利用者与内核开发人员相比,他们的心态不同吗? Linus Torvalds:是的,特别是某些有趣的漏洞利用方法让我们抓狂,让人印象深刻。我常对安全界的不道德行为感到很沮丧,安全专家有时也是装模作样。 LinuxFR:我曾经采访过GRSecurity作者Brad Spengler,并问了他对你和内核安全的意见,Brad的回答是:“他有时比其它开发人员对安全的理解更好,但安全不是他的主要目标,他对安全的想法 已经成了内核开发的官方政策,在修改日志中忽略与安全相关的信息,对所有Bug一视同仁”。你认为应该对所有Bug一视同仁吗?为什么? Linus Torvalds:我倾向于对所有Bug一视同仁,我既不想挑出,也不想刻意隐藏我们的安全问题。 问题是,安全人员不赞同这种做法,有些人希望完全公开,有些人(厂商和大型金融机构)希望有限制的公开,还有一部分人希望完全保密,避免这些问题泄露给那些编写漏洞利用程序的“黑帽”黑客。 “坏人”也分几种,有的人只是想测试一下,如在校大学生在听说了某个可利用的漏洞后,决定测试一下大学的机器是否真的能崩溃,还有的人属于脚本小子,他们无深厚的技术背景,但他们的所作所为让人讨厌,最后还有一种人非常聪明,他们真的能搞破坏,甚至造成严重的犯罪。 如何解决这些争论呢?我认为无法解决,每个人都有自己的信息公开或封锁方法,你无法左右他们。 我个人的意见是,唯一理智的方法是要知道它不是一个可解决的问题,公正地对待Bug。我们尽量避免Bug,但一旦发生,我们会立即修复它们,对于漏 洞的利用方法,我们不会透露细节,也不会让那些想利用漏洞的人轻易得逞,因此我们一般不会在修改日志中列出如何利用漏洞的描述,甚至不会列出相关漏洞的任 何描述信息。 安全人员总是支持我们这种做法吗?当然不是!但也有人支持我们这种做法。 LinuxFR:你对OpenBSD的质量有何看法?他们一直高度重视安全,是否从这个项目汲取了一些教训? Linus Torvalds:我认为任何单一目的的操作系统项目都是失败的,自身安全不是一个值得追求的目标,你需要让用户将安全问题摆在首位。因此,我认为OpenBSD重视安全只会让整个项目失去兴趣。 但同样,这只是我“Bug就是Bug”的思想,我认为安全也很重要,但这个世界不只是有黑色和白色,也没有哪个事情总是比别的事情更重要。 |
