三个星期前,在OS X 10.10.4中发现了一个严重的安全问题。
经常发现流行的软件包中的安全漏洞,并且OS X也不例外。开源漏洞数据库(OSVDB)至少显示了1100个标记为“ OS X"的漏洞。但是,有趣的是披露此特定漏洞的方式。
研究人员决定不发布通知苹果给他们时间来解决问题,而是决定发布他的漏洞利用程序
最终结果是苹果公司与黑帽黑客之间的激烈竞争。苹果必须在漏洞被武器化之前发布补丁,而黑客必须在风险系统被补丁之前创建漏洞利用。
您可能会认为特定的披露方法是不负责任的。您甚至可以称其为不道德或鲁ck的。但这要复杂得多。欢迎来到陌生的,令人困惑的漏洞披露世界。
有两种流行的方法可以将漏洞披露给软件供应商。
第一种称为完全披露 。就像在前面的示例中一样,研究人员立即将漏洞发布到了野外,使供应商绝对没有机会发布修复程序。
第二个称为负责任的披露,或者错开了披露。
然后双方双方就研究人员保证不发布该漏洞的时间框架达成共识,以便为卖方提供构建和发布漏洞的机会。
发布修复程序。该时间段可以为30天到一年之间的任意时间,具体取决于漏洞的严重性和复杂性。有些安全漏洞无法轻松修复,并且需要从头开始重建整个软件系统。
一旦双方对所产生的修复程序感到满意,便会披露此漏洞并为其指定CVE编号。它们唯一地标识每个漏洞,并且该漏洞已在线存储在OSVDB上。
但是,如果等待时间到期,会发生什么?好吧,两件事之一。然后,卖方将与研究人员协商延期。但是,如果研究人员对供应商的响应或行为方式感到不满意,或者他们认为对扩展的要求不合理,则可能只是在没有准备好修复的情况下将其在线发布。
在安全性字段中,关于哪种披露方法最好的争论非常激烈。有人认为,唯一合乎道德和准确的方法就是全面披露。有人认为,最好是让供应商有机会解决问题,然后再将其发布。
事实证明,双方都有一些令人信服的论点。
让我们看看在哪里最好使用负责任的披露。
当我们谈论Internet上下文中的关键基础结构时,很难避免谈论DNS协议。这就是使我们能够将人类可读的Web地址(例如PCPC.me)转换为IP地址的原因。
DNS系统非常复杂,而不仅仅是在技术层面上。这个系统有很多信任。我们相信,当您输入网址时,我们会被发送到正确的位置。
如果有人能够干扰或破坏DNS请求,则很可能造成破坏。例如,他们可以将人们发送到欺诈性的在线银行页面,从而允许他们获取其在线银行详细信息。他们可以通过中间人攻击来拦截电子邮件和在线流量,并阅读其中的内容。它们可能从根本上破坏整个Internet的安全性。
Dan Kaminsky是一位受人尊敬的安全研究人员,在发现知名软件中的漏洞方面早有履历。但是他以2008年发现DNS系统中最严重的漏洞而闻名。这将使某人可以轻松地对DNS名称服务器执行缓存中毒(或DNS欺骗)攻击。该漏洞的更多技术细节在2008年的Def Conconference会议上进行了解释。
Kaminsky敏锐地意识到释放这样一个严重漏洞的后果,决定将其披露给DNS软件供应商。受此错误的影响。
有许多主要的DNS产品受到影响,包括由阿尔卡特朗讯,BlueCoat Technologies,苹果和思科制造的产品。此问题还影响了一些流行的Linux / BSD发行版附带的许多DNS实施,包括Debian,Arch,Gentoo和FreeBSD的发行。
Kaminsky给了他们150天的时间来产生修复程序,并与他们秘密地帮助他们了解漏洞。他知道这个问题是如此严重,并且潜在的损失如此之大,以至于在没有给供应商发布补丁的机会的情况下公开发布它是非常鲁re的。
该漏洞是安全公司Matsano在博客文章中意外泄露了该消息。这篇文章被删除了,但得到了反映,并且在发布后的第二天就创建了漏洞利用。
Kaminsky的DNS漏洞最终总结了支持负责任,错开披露的论点。某些漏洞(如零日漏洞)是如此重要,以至于公开发布它们将造成重大损失。
但是,还有一个令人信服的论点,即不发出预警。
通过公开发布漏洞,您可以解锁潘多拉魔盒,那些不擅长个人的人可以快速,轻松地产生攻击并破坏易受攻击的系统。那么,为什么有人会选择这样做呢?
有两个原因。首先,供应商对安全通知的响应通常很慢。通过有效地释放漏洞来强迫自己的手,他们更有动力快速做出响应。更糟糕的是,有些人倾向于不公开他们正在发布易受攻击的软件的事实。全面披露迫使他们对客户诚实。
但是,它还允许消费者在是否要继续使用特定的,易受攻击的软件方面做出明智的选择。我想大多数人不会。
供应商真的不喜欢全面披露。
毕竟,这对他们的PR令人难以置信,这使他们的客户处于危险之中。他们试图鼓励人们通过漏洞赏金计划以负责任的方式披露漏洞。这些都是非常成功的,仅Google在2014年就支付了130万美元。
尽管值得指出的是,一些公司(例如Oracle)不鼓励人们对其软件进行安全性研究。
但是仍然有一些人出于哲学原因或出于娱乐目的而坚持使用全部披露。没有漏洞赏金计划,无论多么慷慨,都无法解决。