知己知彼

我最近第二次参加了BlueHat大会，并讲述了今年夏天Collin Mulliner和我发现并利用的SMS漏洞。BlueHat是一个有趣的演讲场所，因为听众全是微软员工。有些人可能认为安全研究人员在微软演讲就像在敌人面前讲话，但事实并非如此（一个实际的例子是几年前我在CERT谈论漏洞销售时）。我在微软交谈过的人似乎真心感兴趣听我说什么，学习我如何寻找漏洞，以及一般来说，对手是如何思考的。我认为这是一个好迹象，表明他们在某种程度上非常重视安全。希望他们从听我如何攻击应用程序中获得了一些价值。

从我的角度来看，BlueHat总是非常有收获。我有机会与负责产品安全的微软员工交谈。今年，我与负责Windows Mobile安全的一大群人坐下来交流。听他们计划做什么、他们在做各种决定时的想法、他们手头有哪些工具等等，总是很迷人。然而，就像我不告诉他们我所有的秘密一样，我肯定他们也保留了一些自己的秘密，但我感觉他们比上次更愿意告诉我他们的工作方式，这是另一个积极的迹象。

有句老子的名言说“知己知彼”。不清楚这是否完全适用这里，但BlueHat确实为微软员工提供了一个坐下来与顶级安全研究人员交谈的方式，我认为双方都通过了解对方的思维方式而受益。现在，如果我能让他们停止自动重启我的电脑并损坏我的IDA Pro数据库就好了……

• Charlie Miller, Independent Security Evaluators