安全漏洞披露总是往往充满了戏剧性。
究竟什么才是“负责任”的披露存在诸多争论。Web安全专业人士因“有人敲门”而被束缚住了手脚,软件安全研究人士幸灾乐祸地公布概念证明漏洞。安全漏洞研究人士大声嚷着“不再有免费的软件缺陷”,而软件厂商闪烁其词,时而说‘当然,我们会付钱给你’,时而说‘不,但我们会好好感谢你’,又时而说‘那是敲诈勒索’。
这些年来,安全行业和软件行业已想出了一些更好的法子来开展合作:比如说,软件缺陷悬赏计划和企业政策授权第三方找出其网站中的安全漏洞。
不过,这方面取得的进展并不大。最近的事件表明,仍有很长一段路要走;这些是孤立事件还是新的趋势,仍需拭目以待。
技术巨头之间公开争执
今年1月11日,谷歌最新成立的互联网安全项目Project Zero公开披露了微软软件存在一个没有打补丁的安全漏洞。谷歌私下将该漏洞告知了微软,让对方有90天的时间来打补丁。可是微软在过了90天后,Project Zero却公布了安全漏洞,还附有完整的概念证明代码,而不是答应微软要求再延缓两天、以便等到周二补丁日(Patch Tuesday)的请求。这已是短短两周内Project Zero第二次发布没有打补丁的微软安全漏洞了。
微软自然不高兴。在一篇博文中,微软安全响应中心的高级主管Chris Betz撰文道:“谷歌决定这么做不太像是正大光明的做法,更像是一种‘耍人’,因而可能遭殃的会是客户。”
谷歌的反应是,过去不到一周,紧接着发布了另一个没有打补丁的微软安全漏洞。
Javvad Malik得出的结论是“安全行业需要非常成熟,需要成长起来,想方设法以便能够共同更快速、更有效地找到软件缺陷。”
付钱给已查明的网络犯罪分子
前不久一家欺诈检测公司报告,一位名叫“Mastermind”的黑客在黑市上大做广告,为其从设在俄罗斯的约会网站Topface窃取的2000万条用户记录寻找下家。
于是,Topface设法联系到了Mastermind,给对方开出了优厚的条件。他们让Mastermind同意停止出售窃取来的数据;作为回报,正如Topface的首席执行官Dmitry Filatov告诉路透社的那样,“我们出钱请他寻找安全漏洞,并谈妥了数据安全方面的进一步合作。”
Filatov没有披露他们向Mastermind总共付了多少钱。不过,Topface的慷慨之举令人惊讶,尤其是考虑到他们表示该窃贼只窃取了电子邮件地址,并没有窃取密码或邮件内容。(但事实可能不是这样,那家欺诈识别公司报告,窃取来的数据当中包括200万条“登录信息”――包括来自Hotmail帐户的700万条信息和来自Yahoo和谷歌主帐户的250万条信息。)
试图让黑帽子摇身变成白帽子肯定存在争议。向要求赎金的犯罪分子(上面那个犯罪分子倒没有提出要求)支付赎金更是存在争议。不过,付钱给犯罪分子以及双方达成协商仍树立了一个很危险的榜样。要是Mastermind没有坚守约定,更是危险得很。
不过,Filatov充满信心地认为对方会坚守约定。据路透社报道:“但Filatov特别指出,广告已经被撤下了,Topface已同意不对这个身份不明的人提出指控。Filatov说‘因为我们已与对方有了约定,我们认为他没有理由违反约定。’”
法律变得更复杂了
1月20日,奥巴马总统宣布了新提议的网络安全立法,法律虽然出于善意,但是被误导了。该法要求扩大《计算机欺诈和滥用法案》对“超过授权访问”所下的定义,这可能会进一步阻碍安全漏洞研究人士的工作。
正如互联网安全研究公司WhiteHat的Jeremiah Grossman告诉安全网站DarkReading的Ericka Chickowski:“这项提议的立法要做的是,宣布专业的日常安全研究为非法,这种研究工作对保护全体公司和公民起到了重大作用。其结果将会是灾难性的。”
软件缺陷悬赏计划公司Bugcrowd主管运营的副总裁Jonathan Cran补充说:“一旦该法通过,它会给安全研究人士泼去一盆冷水,同时法院需要厘清定义。”
你有何看法?谷歌和微软之间的争执、付酬金给网络犯罪分子以及更广泛的立法会加强所有人的信息安全吗?还是只会让整个安全行业显得很糟糕?欢迎留言交流。
原文地址:http://www.darkreading.com/3-disturbing-new-trends-in-vulnerability-disclosure/d/d-id/1318925