应对明镜周刊报道的NSA后门事件：与供应商沟通

    思科及其他几个供应商已经公开否认参与或了解NSA的后门黑客和漏洞植入行为。思科已经表示公司正在调查这个问题，确保自己的产品是安全的。

    Buraglio、Davis和Cardozo都认为这些供应商说的是实话。但是，IT人员应该更主动地与供应商严正交涉这些问题。

    Cardozo说：“其中一个最大的问题是：‘我如何确定我数据中心的硬件就是从你那些购买的原版硬件？’如果他们能够给客户提供一些电路图，甚至派技术人员打开并检查设备，保证设备里没有额外的部件，那么或许这样才能消除客户的疑虑。”

    供应商也需要把产品做得更安全，让NSA无从下手。Cardozo说：“如果这意味着需要移除JTAG（Joint Test Action Group，联合测试行为组织）端口，或者要移除I2C，那么硬件供应商就应该开始这样做。如果他们在主板上留下调试端口，那么就可能给NSA留下可乘之机。或许现在是时候开始在产品出厂之前关闭这些漏洞了。”

    Buraglio准备与供应商沟通这些问题，不仅仅包括那些已经购买过他们产品的供应商。他希望从将来可能购买或推荐的供应商那里得到保证，其中不公限于明镜周刊所报道的供应商。他准备询问的一个主要问题就是，他们兼容联邦信息处理标准（FIPS）的设备是否提供了一些防御这些黑客和漏洞植入行为的保护措施。兼容FIPS的网络设备可以向工程师报告它们的完整性。

    Buraglio说：“FIPS一定会验证系统二进制文件的完整性。它会以加密方式验证操作系统。如果有一些东西被修改过，那么密码就无法匹配。大多数人的网络设备都兼容FIPS，但是他们可能还没有用过，因为这有点复杂。我想知道它是否能够保护设备不受NSA攻击的影响。您也应该向供应商询问这个问题。”

    Davis指出，他已经与供应商商定的约谈会议，讨论关于NSA泄密事件的短期和长期响应方式，但是他认为他还不能拆开各个设备逐一检查是否有监视程序植入。

    他说：“即使我开始逐一检查所有设备，但是我的网络中一共有近25,000台设备，而且这还只是网络和防火墙设备。我们需要在系统级上定位这些设备。在不久的将来，防火墙供应商可能会提供一些工具，帮助我们检查这些设备是否有问题。”

    一线希望

    虽然NSA的行为可能危害了无数的网络，但是Davis认为，长期而言，网络行业可能会从中受益。

    “我认为，从现在开始的3~5年里，我们将看到一种新的设备安全形态——打开新设备包装，在设备上执行检查程序，确认设备的各个部件没有被动过手脚。长期而言，这一定对于安全性产生积极作用。短期而言，它确实给我们带来了一个大难题。”

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。