不要指望微软会给那些披露其公司产品漏洞的安全人员发放什么奖金。
微软可信计算部的总监Dave Forstrom在接受SearchSecurity.com的采访时表示,由谷歌和Mozilla建立的软件错误回购计划(bug buyback programs)和微软针对漏洞研究的策略是相违背的。Forstrom还表示,这种计划未能使得漏洞的处理过程透明化,最终对微软的用户也起不到什么帮助。
一般而言,谷歌会对那些发现Chrome浏览器漏洞的研究人员支付最多3133美元的费用。Mozilla的这一数字则为3000美元,不过针对的是Firefox浏览器的漏洞。
Forstom说:“我们认为,为每个漏洞支付一定的奖金并不能满足微软用户的最大利益,还有多种其他的途径可以让我们同安全研究人员开展合作,从而更好的服务于安全社区。比如说,微软可以通过承认研究人员的共同努力、赞助各种安全会议,从而使得安全社区不断向前发展。”
上周,微软宣布将改变自己现有的策略,立即在安全业界掀起了波澜,这也是这家软件巨头希望见到的事情。微软把“负责任”这一字眼从自己的漏洞披露策略中拿掉了,并把自己的软件缺陷报告计划(flaw-reporting program)更名为“协作的漏洞披露(coordinated vulnerability disclosure)”,这势必会改变人们关于漏洞披露的争论。
这项声明得到了来自安全社区各种各样的反应。一些人认为去掉“负责任”这一词汇将改变安全研究人员和软件商之间长期对峙的局面,但对安全人员报告软件漏洞的方式并没有多大变化。
Forstrom目前正在参加本周举办的2010年度黑帽大会。他表示,漏洞披露是一个正在进行的话题,并不是只有微软一家公司在进行争论。Forstrom说,“之所以要进行协作配合,其目的为了最大限度的满足用户的利益,并降低风险,不使之扩大。”
Adobe和微软在积极防御计划上开展合作
微软在2010年度黑帽大会上还发表了一项新的合作计划声明,微软相信这势必会加强自己的积极防御计划(Active Protections Program,MAPP)。
Adobe系统公司已在MAPP计划的框架内同微软展开合作,以便在微软发布漏洞补丁之前,提前得到详细的漏洞技术资料。目前,已有65家安全厂商加入了该计划,这使得他们可以为自己的用户开发数字签名,并对漏洞攻击代码(exploit)进行检测。
Adobe公司负责产品安全和隐私的高级总监Brad Arkin表示,MAPP计划就像是专为Adobe而设计的一样,它能增加公司的透明度并减少攻击窗口期(attack window,即从漏洞发布到Adobe发布官方补丁之间的时间)。
Arkin说,“我们可以从安全厂商那里源源不断的获得反馈,微软的积极防御计划无疑是软件厂商之间得以分享信息的绝对标准(gold standard)。”
Arkin表示,Adobe公司在成为MAPP计划的会员之后,将会提供自己产品的安全信息,并将其称之为“多一层防御(one more layer of defense)”。这些数据将会按微软提供的模板进行格式化,所有在今秋成为MAPP会员的厂商都可以获得这些信息。
如果想加入MAPP计划,厂商必须能对至少1万名用户提供安全防御技术,如反病毒、入侵检测系统和入侵防御系统等技术。
最新减灾工具包(mitigation toolkit)
微软正在发行一款全新的工具,名叫“增强的减灾体验工具包(Enhanced Mitigation Experience Toolkit)”,其目的是帮助IT专业人员对现有的应用程序使用安全减灾技术。该工具可以免费获取,在八月份就可供下载。
微软的Forstrom表示,对仍在运行微软老版本软件的公司而言,这款自动工具将尤其有用。比如,使用IE6的Windows XP用户在默认情况下会运行数据执行保护(DEP),但是堆喷射内存分配技术(heap spray allocation,免遭攻击的内存减灾技术)却需要手动进行。不过,使用这一全新的自动工具之后,IT专业人员就可以更加容易的对现有应用程序进行安全减灾。
Forstrom说:“IT专业人员无需再次进行编码和编译,只需拥有基础设施就可以在进程中运行该工具。”
【编辑推荐】