黑客团体窃取iPad用户邮件 称是为公众利益最大化

    使得AT&T的iPad用户e-mail外泄的黑客团体成员称，他们的行动是为了公众利益最大化。

    日前，T&T狼狈地修补了网站漏洞。该公司表示，他们7日接到一个企业顾客通知，便在隔日修补完成。而踢爆这个安全瑕疵的黑客团体Goatse Security，也在9日将详情公布在一个博客网站，引发媒体疯狂追踪。

     ZDNET 特别在10日访问Goatse的主要成员，奥恩海默（Escher Auernheimer（别名Weev）），说明该团体的动机。

    问：AT&T发言人说你们没有联络他们，能说明一下吗？

    奥恩海默： 我们选择不采取直接对话。我们一直等到8日，确定他们网站的漏洞已经修补好之后，才公布资料和攻击的细节。而且我们只把消息放给Gawker Media（八卦网站）的塔特（Ryan Tate），因为他答应会检查ICCID和e-mail，以免被人利用。我们做了很多努力，但不想直接和AT&T接触，以免他们试图发出禁止令或者做出对我们不利的事情。

    问：如果你们没有直接联络AT&T，那是怎么和他们接触？

    奥恩海默： 那不是我的职责。另有一个人负责确保AT&T已经防护好他们的网站，和这个漏洞不会被其它任何人利用。我是负责确定攻击程序的作者已经确认该漏洞被封闭，然后才对外公布数据和细节。那是我们的公司流程。

    问：所以，Goatse Security 的行动是商业目的？

    奥恩海默：我们有一个非常重视的客户基础，他们的利益优先。但客户之外，我们最看重的是公众利益。我们为大众服务，而公开这件事，是因为民众有知情的权利。这个问题可能产生几个严重后果，尤其是这些数据被人偷走，然后发动Safari攻击……现在，有几个我知道的零时差（未修补）攻击漏洞存在。有多少人拥有这个东西？我不知道，但如果他们可以拿到这份数据，就等于有一份可攻击的候选人名单，这是非常危险的。

    因此，我认为有必要用这种方式告知大众。我知道有些人批评我们不负责任，但我们在这件事情上，是尽了全力扮演好人。等到漏洞修补好，我们只把数据提供给一位同意隐藏重要部分的记者。这都是为了民众的最大利益。

    问：Gawker取得这份资料没有付出任何报酬吗？

    奥恩海默：完全没有。

    问：除了那位记者之外，你们还有和任何人分享这个信息和攻击指令吗？它有没有可能落到居心不良的人手中？

    奥恩海默：指令有可能落入第三方手中，但我不认为会发生。我觉得参与这次行动的每个人都非常负责，我没有理由怀疑他们。

    问：所以是你们其中一位成员有一台iPad，然后发现这个与AT&T网站的奇特互动？

    奥恩海默：他使用这一项AT&T的安全维护程序，并且发现，这个普通的使用者经验中的某部分，可以用来骗取数据。

    问：然后就写出自动执行的指令了？

    奥恩海默：没错。

    问：这种网站安全问题是非常普遍的，对吗？

    奥恩海默：可能吧。对于这种俄罗斯地下市场可能已经备好攻击码的装置，AT&T竟然还有这种问题，令人相当震惊。

    问：那些ID验证码可以被用来执行锁定或控制该装置的目标性攻击吗？所有iPad使用者会受影响吗？

    奥恩海默：理论上有可能。我认为最坏的状况是某人发出一个Safari攻击码到那些e-mail地址，然后有人用他们的iPad点入连结……我最担心的是，有人拿到这份e-mail名单，再到RBN（俄罗斯商业网络地下市场）买到Safari攻击码，然后用来攻击美国政府官员和企业高层，那就不好了。所以这是为了民众 的利益，至少现在他们知道了。至少大家知道自己可能被攻击。你或许想变更与iPad有关的e-mail地址。民众可以采取自保的步骤，那些过去大家不以为意的事情，我认为非常重要的。

    问：苹果有任何过失吗？他们是否该要求使用者以不同于Mac或iPad的e-mail地址去注册新装置？

    奥恩海默：对我而言，真正的威胁是藉由e-mail附件传送的攻击码，而那部分只要换新的e-mail即可解决，网络上有很多免费的e-mail账号可申请。苹果应该对电信商的安全防护作某种程度的评估吗？他们应该作业务稽核评估吗？他们应该作网络应用程序审核吗？也许吧，但我认为大部分的错在AT&T。

    问：你们究竟是什么组织？帮企业测试安全防护的顾问公司吗？

    奥恩海默：没错。我们接受几方的咨询，对新工作保持开放，我们也喜欢作有趣的研究。我们有高竿的员工，我们的团队包含一些世上最聪明的人。我很荣幸能与Sam Hocevar这些人共事，他是一位影像处理（captcha-breaking）天才。有些人更是让我佩服的五体投地，我的同事都很伟大，我很高兴能成 为其中一员，也对我们的成果引以为傲。

    问：你们总共有多少人？

    奥恩海默： 核心成员有9位，还有一些承包商。

    问：你们的基地在美国？

    奥恩海默：我们没有任何基地。我们都在自己家里工作，有几个人在德州，几个在洛杉矶，有一个人在法国，其它分散在各处。

    问：你们公司的名字，和一个恶心的惊骇网站一样。那是否会损伤你们的信誉和名声？

    奥恩海默：（笑）我不认为。我们的研究成果能证明一切。我们上一次公开的成果（我们大部分的成果都没有对外公布），是一个Safari溢流错误。我们的团队和我们 的成果都非常棒，如果有人因为我们的发言感到极度不爽，以致于无法用文明的方式接受我们，那他们就是混蛋，我们也不想为他们工作。

    问： 你说你们大部分的工作都没有曝光，你的意思是没有告知受影响的公司，或居心不良的人吗？

    奥恩海默：这是成本效益分析的问题。当你发现一个错误，特别是在某种情况下，有时候不公布比较有利，如果这是为了你客户的利益，或某人的利益。我们的客户是最高优先，除 此之外，如果我们没有接受任何人的委托，我们会把公众放在最先。但每样东西都有价钱，我相信所谓揭露的道德，当然也有价码。但若不为钱，就要为公众的利益。

    问：所以，你们不会让研究流入地下市场或坏人的手中？

    奥恩海默：绝对不会。我们爱美国，我们爱美国人，而我们绝不会帮助美国商业上的策略对手，绝对不会。

    问：《纽约时报》对你有一篇相当丰富的报导。

    奥恩海默：那个人根本是通篇胡言，像他说我拿着别人女儿的手机索要赎金。我从没宣称自己做过那种事，我也从未作过那种事。他根本不想写真实的报导，他要把我放到他编造的故事里。

    问：被封为网络巨魔和顽童，你同意吗？

    奥恩海默：俯首认罪。

    问：还有什么大家应该知道的事吗？

    奥恩海默：我认为苹果的使用者会特别感到梦幻破灭。现在执行OS X的产品，已经是可替换的商品。随着苹果使用者成为数量更可观的少数，他们对安全防护的不实际幻想，也将随之破灭。