安全漏洞披露總是往往充滿了戲劇性。

[[127631]]

究竟什么才是“負(fù)責(zé)任”的披露存在諸多爭(zhēng)論。Web安全專業(yè)人士因“有人敲門”而被束縛住了手腳，軟件安全研究人士幸災(zāi)樂禍地公布概念證明漏洞。安全漏洞研究人士大聲嚷著“不再有免費(fèi)的軟件缺陷”，而軟件廠商閃爍其詞，時(shí)而說‘當(dāng)然，我們會(huì)付錢給你’，時(shí)而說‘不，但我們會(huì)好好感謝你’，又時(shí)而說‘那是敲詐勒索’。

這些年來，安全行業(yè)和軟件行業(yè)已想出了一些更好的法子來開展合作：比如說，軟件缺陷懸賞計(jì)劃和企業(yè)政策授權(quán)第三方找出其網(wǎng)站中的安全漏洞。

不過，這方面取得的進(jìn)展并不大。最近的事件表明，仍有很長(zhǎng)一段路要走;這些是孤立事件還是新的趨勢(shì)，仍需拭目以待。

技術(shù)巨頭之間公開爭(zhēng)執(zhí)

今年1月11日，谷歌最新成立的互聯(lián)網(wǎng)安全項(xiàng)目Project Zero公開披露了微軟軟件存在一個(gè)沒有打補(bǔ)丁的安全漏洞。谷歌私下將該漏洞告知了微軟，讓對(duì)方有90天的時(shí)間來打補(bǔ)丁?？墒俏④浽谶^了90天后，Project Zero卻公布了安全漏洞，還附有完整的概念證明代碼，而不是答應(yīng)微軟要求再延緩兩天、以便等到周二補(bǔ)丁日(Patch Tuesday)的請(qǐng)求。這已是短短兩周內(nèi)Project Zero第二次發(fā)布沒有打補(bǔ)丁的微軟安全漏洞了。

微軟自然不高興。在一篇博文中，微軟安全響應(yīng)中心的高級(jí)主管Chris Betz撰文道：“谷歌決定這么做不太像是正大光明的做法，更像是一種‘耍人’，因而可能遭殃的會(huì)是客戶。”

谷歌的反應(yīng)是，過去不到一周，緊接著發(fā)布了另一個(gè)沒有打補(bǔ)丁的微軟安全漏洞。

Javvad Malik得出的結(jié)論是“安全行業(yè)需要非常成熟，需要成長(zhǎng)起來，想方設(shè)法以便能夠共同更快速、更有效地找到軟件缺陷。”

付錢給已查明的網(wǎng)絡(luò)犯罪分子

前不久一家欺詐檢測(cè)公司報(bào)告，一位名叫“Mastermind”的黑客在黑市上大做廣告，為其從設(shè)在俄羅斯的約會(huì)網(wǎng)站Topface竊取的2000萬條用戶記錄尋找下家。

于是，Topface設(shè)法聯(lián)系到了Mastermind，給對(duì)方開出了優(yōu)厚的條件。他們讓Mastermind同意停止出售竊取來的數(shù)據(jù);作為回報(bào)，正如Topface的首席執(zhí)行官Dmitry Filatov告訴路透社的那樣，“我們出錢請(qǐng)他尋找安全漏洞，并談妥了數(shù)據(jù)安全方面的進(jìn)一步合作。”

Filatov沒有披露他們向Mastermind總共付了多少錢。不過，Topface的慷慨之舉令人驚訝，尤其是考慮到他們表示該竊賊只竊取了電子郵件地址，并沒有竊取密碼或郵件內(nèi)容。(但事實(shí)可能不是這樣，那家欺詐識(shí)別公司報(bào)告，竊取來的數(shù)據(jù)當(dāng)中包括200萬條“登錄信息”――包括來自Hotmail帳戶的700萬條信息和來自Yahoo和谷歌主帳戶的250萬條信息。)

試圖讓黑帽子搖身變成白帽子肯定存在爭(zhēng)議。向要求贖金的犯罪分子(上面那個(gè)犯罪分子倒沒有提出要求)支付贖金更是存在爭(zhēng)議。不過，付錢給犯罪分子以及雙方達(dá)成協(xié)商仍樹立了一個(gè)很危險(xiǎn)的榜樣。要是Mastermind沒有堅(jiān)守約定，更是危險(xiǎn)得很。

不過，F(xiàn)ilatov充滿信心地認(rèn)為對(duì)方會(huì)堅(jiān)守約定。據(jù)路透社報(bào)道：“但Filatov特別指出，廣告已經(jīng)被撤下了，Topface已同意不對(duì)這個(gè)身份不明的人提出指控。Filatov說‘因?yàn)槲覀円雅c對(duì)方有了約定，我們認(rèn)為他沒有理由違反約定。’”

法律變得更復(fù)雜了

1月20日，奧巴馬總統(tǒng)宣布了新提議的網(wǎng)絡(luò)安全立法，法律雖然出于善意，但是被誤導(dǎo)了。該法要求擴(kuò)大《計(jì)算機(jī)欺詐和濫用法案》對(duì)“超過授權(quán)訪問”所下的定義，這可能會(huì)進(jìn)一步阻礙安全漏洞研究人士的工作。

正如互聯(lián)網(wǎng)安全研究公司W(wǎng)hiteHat的Jeremiah Grossman告訴安全網(wǎng)站DarkReading的Ericka Chickowski：“這項(xiàng)提議的立法要做的是，宣布專業(yè)的日常安全研究為非法，這種研究工作對(duì)保護(hù)全體公司和公民起到了重大作用。其結(jié)果將會(huì)是災(zāi)難性的。”

軟件缺陷懸賞計(jì)劃公司Bugcrowd主管運(yùn)營的副總裁Jonathan Cran補(bǔ)充說：“一旦該法通過，它會(huì)給安全研究人士潑去一盆冷水，同時(shí)法院需要厘清定義。”

你有何看法?谷歌和微軟之間的爭(zhēng)執(zhí)、付酬金給網(wǎng)絡(luò)犯罪分子以及更廣泛的立法會(huì)加強(qiáng)所有人的信息安全嗎?還是只會(huì)讓整個(gè)安全行業(yè)顯得很糟糕?歡迎留言交流。

原文地址：http://www.darkreading.com/3-disturbing-new-trends-in-vulnerability-disclosure/d/d-id/1318925