作为互联网公司,相信2000年大规模的网络攻击给雅虎的记忆是深刻的,从那开始,我相信安全已经成为管理层心中的生命线。呵呵,不错的文章。原文…
2007年06月27日09:58 来源:CNET
此篇是CNET为期四天的网络安全现状与未来专题的第二部分。
CNET科技资讯网6月27日国际报道 对Arturo Bejar来说,任职8年之后,雅虎安全团队在他的感觉当中只有一个名字:“偏执狂”
Bejar的头衔叫“雅虎偏执狂酋长,”尽管他希望自己部门绰号能被去掉,让安全人员以一种友善的形象示人。
他说:“我们试着快乐的处理安全问题。安全一方面相当的重要,但如果如果太过于严肃,反而不容易提高安全性。”
这种非正式的外号适合雅虎,在互联网反传统的文化中,这家公司曾经是代表,雅虎创始人至今还被人冠以“雅虎酋长”的外号。
这种非正式性- 或者至少从感觉上非正式- 的特性对雅虎显得尤其重要,公司的目标是在数字时代,在创建安全标准的前沿,成为最具良好用户体验的公司。
与Google(搜索)以及微软(操作系统)这样以技术为自我标榜的对手不同,雅虎长久以来就把自己定位为一家媒体公司。
但请别误会:尽管它有着非正式的外号,雅虎对安全问题相当的认真。在这点上,“偏执狂”这一称号绝对不是乱说的。
整个雅虎存在偏执狂,大大小小都有。作为全球第三大网络公司的雅虎虽然没有给出具体的数字,但公司称,他们的专业安全人员的数量比Google和微软的多出50几个。而且,除了Bejar 领导的核心安全团队,雅虎各个部门还有安全“大使”,也称“本地偏执狂,”
这些人可能不会从事全职的安全工作,但也承担了部分职责。
雅虎的职员从开始入门培训之时就要接受基本的安全培训,产品管理部门的人能够学习安全快速入门课程。雅虎设有偏执狂大学,他们定期去世界各地巡回开课,为员工提供更深入的安全培训。
过去三年,雅虎还举办了“安全周”活动。这是汇集各个学科,部门的会议,参会人员来自雅虎内外。外部嘉宾包括安全专家 Matt Blaze 和Dan Geer. 员工们每年都会接受“偏执狂效力”的评估。
偏执狂是必要的。雅虎面临一系列的安全问题,从即时通讯软件中的臭虫到跨站脚本漏洞等等。
Bejar 本身就代表了雅虎对安全看法的两面性:尽管他完全保证公司众多业务的安全性,但他回避了对网络安全人员形象的评价。
他说:“很多人谈起安全人员时都存在偏见,但你谈到偏执狂,感觉就不同。”
成为一名超级英雄雅虎安全明星与执法人员的一个不同是制服。在雅虎,如果你的安全工作做得很好,根据成绩的大小,公司将给你一件蓝色,绿色或者红色的体恤衫。蓝色表示良好,积极工作,绿色表示有英雄事迹,红色则奖励给那些提供了超出本职工作以外贡献的人。
这种体恤是一种奖励,它可不随便颁发。这些体恤衫已经成为雅虎公司的谈论话题。Bejar 说:“我们从来不会乱发体恤衫,每个获得印有偏执狂字样体恤的人都是靠成绩获得它们的。”
那些为用户提供非同寻常安全性的员工将成为超级英雄,“超级偏执狂”。卡通漫画师将为他作画,然后雅虎会将其卡通形象摆放在公司内部。
超级英雄的奖励还包括一笔奖金,高层官员还会亲自会见该君。
雅虎最新一位超级偏执狂在新成立的雅虎邮件部门负责安全工作,他开发出了反钓欺诈功能,并且在欧洲招募了更多的偏执狂。
Bejar 说,所有这些都可以归为提高网络安全性,他说:“爱丽丝在没有获得鲍勃的同意下,无法看到鲍勃的电子邮件。”这种解释略显复杂,用他给自己五岁的儿子的话讲,就是,他的工作就是试图阻止坏人阅览别人的电子邮件。
Bejar说:“他问我是不是一名警察,他是这样认为的,但我的不这样看。”或许,Bejar自然流露出的侦探特质或许要得益于他从很小的时候就受到了电脑侦探文化的熏陶吧。
Bejar在墨西哥城长大,在夏令营时,他对电脑产生了兴趣。他说:“当我后来回家,有人送给我父亲一台没有游戏的电脑,因此我开始学习如何编程。”
当他发现,程序可以做程序员没有预想的一些事情后,Bejar 开始从事软件安全方面的开发。后来,在读完了Clifford Stoll的《杜鹃蛋:电脑间谍案曝光录》这部侦探纪实小说后,他的兴趣被进一步激发了。
Bejar 说:“这部小说讲的是某些系统中的默认密码的事情,我们当时的学校就有,那里的电脑当中的管理员密码从来没有改变过,校长的电脑密码也没有改变过,用这些默认密码,你可以做很多的事情。我不知道他们发现过这一问题没有。”
后来,Bejar开始为IBM工作。他还是苹果创始人Steve Wozniak的好朋友,在伦敦国王大学,Bejar获得了数学专业学位。
然后他就搬到了美国,为一家从事分布式社会电脑社会系统开发的初创公司工作,十年后,他加入了雅虎,最开始从事支付系统的开发。
他说:“最终,安全程序吸引了我,使我加盟雅虎。”
当然,这样的目标说起来比做起来简单。Bejar 说:“网络程序为世界上每个人提供,因此,你需要开发出能够经受住即时考验的程序。”
他指出,理论上,开发安全的网络程序与开发安全的PC桌面程序没有任何的不同,但早期的PC程序员以及操作系统没有设计帐户访问权限,也没有为网络连接进行设计考虑。
安全学课程过去都集中在对加密等技术的课题研究上。Bejar 说:“安全学过去并没有考虑到假如有人利用恶意软件操纵你的API(应用程序接口),你该怎么办,现在的程序安全在这方面已经改进很多。”
目前,美国已经开发出了一些能够鉴别,追踪潜在网站及网络应用程序安全问题的工具。其中一种工具叫做“Scanmus”(扫描XSS的工具-编辑注),它可以发现跨站脚本问题。这种扫描工具的三个字母源自PHP脚本语言的创始人,雅虎安全部门成员Rasmus Lerdorf的名字。
还有一种工具叫做“Code Ferret”,它可以检查代码,并向Pepe臭虫追踪系统进行报告。
这些工具都在为雅虎服务。雅虎曾经尝试了一些商业程序来发现漏洞,但扫描的时间相当的长。
扫描网站或者网络程序漏洞是一项艰苦的任务,但Bejar认为值得等待。1998年,当他进入雅虎开始工作时,Bejar改装了一辆1973年的保时捷Carrera汽车,他为这辆车取名“El Pato”,西班牙语“鸭子”的意思。
Bejar说:“El Pato改装于雅虎腾飞之时。在机修师鲍勃的监督下,我几乎全部改装了这辆车的每个零件,在某种程度上,我将改装El Pato比喻为我在雅虎所从事的工作。安全程序要花时间去组装,它需要对不同的部件,它们之间如何相互作用有很多想法以及了解。”
他说,现在是雅虎需要外界分担这种艰苦工作的时候了。
Bejar说:“我们全都联系在一起。如果我们中的任何人碰到了任何事,大家都要受影响。”
(责任编辑:romp)
Recent Comments