拉斯維加斯——在黑帽2012大會上，Dan Kaminsky的年度“黑色行動”講話與去年的演講大不相同，去年他深入講解一個主題，介紹核心網絡功能的漏洞，如DNS安全漏洞、DNSSEC、證書問題等等。

但是，今年他向參會人員介紹的是宏觀安全性，以及在當前信息安全態勢得不到扭轉的情況下，一些問題可能對經濟和國家安全造成的影響。Kaminsky在大會上指出：“我們必須改變這個局面。但是僅僅依靠教條是解決不了問題的。”

Kaminsky重點提到了提高編碼質量和軟件開發安全，不僅僅針對于Web應用，也針對于操作系統內核開發。Kaminsky還提出了加快尋找Bug和實現凈中立性(這是他以前最拿手的)的新技術手段，以及由互聯網服務提供商(ISP)執行的數據與流量審查制度。

Kaminsky指出，開發者是解決安全問題的關鍵。開發者希望他們的代碼能夠正常工作，他們不希望數據泄露，他們也想有一些不影響效率或截止時間的簡單工具。他說：“需要承擔起責任的是開發者，而不是架構師、學者或管理人員;安全團隊也沒有責任。我們必須給予他們實用的工具。開發者樂于看到自己的代碼能夠正常工作。”

SQL注入攻擊漏洞仍然是主要暴露的編碼問題——當然，這個問題修復比例也很高。Kaminsky說：“我們必須杜絕這樣的攻擊。”他指出，成功發起的SQL注入攻擊已經使安全團隊麻木，以致忽略了它的嚴重性。“大多數攻擊都是為了偷取信息，它們在謀殺我們。它們并不是什么高明的攻擊手段，但卻非常有效。”

例如，去年攻擊者使用SQL盲注攻擊就攻破了mysql.com，并成功盜取數據。根據Privacy Rights Clearinghouse去年發布的研究報告，與黑客相關的數據泄露中，有83%是通過SQL注入攻擊實現的。根據Redwood Shores的另一份研究報告，加利福尼亞數據保護供應商Imperva捕獲的Web應用SQL注入攻擊數量達到1.15億。

Kaminsky表示，我們可以說已經修復了這些問題，但是如果它們已經修復，為什么危害還這么大呢?我們必須向開發者提供新的工具，幫助他們按照自己的意愿編寫優質代碼。Kaminsky還在努力進行反審查。在去年的黑帽大會上，他發布了一個新工具N00ter，它實際上是一個過濾器，能夠篩選出可能修改流量數據包路徑和傳輸時間的路由器，從而只允許ISP使用源路徑。

他說：“互聯網越來越不平靜。隨著您的位置變化，內容也在變化，而且這些變化不是因為網站運營者引起的。真正的原因是，ISP和政府在篡改內容。有時候，他們在偷偷做這些事情。”Kaminsky與隱私和公民自由組織合作(如Electronic Frontier Foundation)對抗互聯網審查，給他們N00ter等工具生成的數據流。這些工具僅僅作為數據源，而非數據管理模塊。他希望為他們提供一種方法，了解有哪些可用信息，哪些信息被攔截了。