安全漏洞披露總是往往充滿了戲劇性。

[[127631]]

究竟什么才是“負責任”的披露存在諸多爭論。Web安全專業(yè)人士因“有人敲門”而被束縛住了手腳，軟件安全研究人士幸災樂禍地公布概念證明漏洞。安全漏洞研究人士大聲嚷著“不再有免費的軟件缺陷”，而軟件廠商閃爍其詞，時而說‘當然，我們會付錢給你’，時而說‘不，但我們會好好感謝你’，又時而說‘那是敲詐勒索’。

這些年來，安全行業(yè)和軟件行業(yè)已想出了一些更好的法子來開展合作：比如說，軟件缺陷懸賞計劃和企業(yè)政策授權第三方找出其網(wǎng)站中的安全漏洞。

不過，這方面取得的進展并不大。最近的事件表明，仍有很長一段路要走;這些是孤立事件還是新的趨勢，仍需拭目以待。

技術巨頭之間公開爭執(zhí)

今年1月11日，谷歌最新成立的互聯(lián)網(wǎng)安全項目Project Zero公開披露了微軟軟件存在一個沒有打補丁的安全漏洞。谷歌私下將該漏洞告知了微軟，讓對方有90天的時間來打補丁?？墒俏④浽谶^了90天后，Project Zero卻公布了安全漏洞，還附有完整的概念證明代碼，而不是答應微軟要求再延緩兩天、以便等到周二補丁日(Patch Tuesday)的請求。這已是短短兩周內(nèi)Project Zero第二次發(fā)布沒有打補丁的微軟安全漏洞了。

微軟自然不高興。在一篇博文中，微軟安全響應中心的高級主管Chris Betz撰文道：“谷歌決定這么做不太像是正大光明的做法，更像是一種‘耍人’，因而可能遭殃的會是客戶。”

谷歌的反應是，過去不到一周，緊接著發(fā)布了另一個沒有打補丁的微軟安全漏洞。

Javvad Malik得出的結論是“安全行業(yè)需要非常成熟，需要成長起來，想方設法以便能夠共同更快速、更有效地找到軟件缺陷。”

付錢給已查明的網(wǎng)絡犯罪分子

前不久一家欺詐檢測公司報告，一位名叫“Mastermind”的黑客在黑市上大做廣告，為其從設在俄羅斯的約會網(wǎng)站Topface竊取的2000萬條用戶記錄尋找下家。

于是，Topface設法聯(lián)系到了Mastermind，給對方開出了優(yōu)厚的條件。他們讓Mastermind同意停止出售竊取來的數(shù)據(jù);作為回報，正如Topface的首席執(zhí)行官Dmitry Filatov告訴路透社的那樣，“我們出錢請他尋找安全漏洞，并談妥了數(shù)據(jù)安全方面的進一步合作。”

Filatov沒有披露他們向Mastermind總共付了多少錢。不過，Topface的慷慨之舉令人驚訝，尤其是考慮到他們表示該竊賊只竊取了電子郵件地址，并沒有竊取密碼或郵件內(nèi)容。(但事實可能不是這樣，那家欺詐識別公司報告，竊取來的數(shù)據(jù)當中包括200萬條“登錄信息”――包括來自Hotmail帳戶的700萬條信息和來自Yahoo和谷歌主帳戶的250萬條信息。)

試圖讓黑帽子搖身變成白帽子肯定存在爭議。向要求贖金的犯罪分子(上面那個犯罪分子倒沒有提出要求)支付贖金更是存在爭議。不過，付錢給犯罪分子以及雙方達成協(xié)商仍樹立了一個很危險的榜樣。要是Mastermind沒有堅守約定，更是危險得很。

不過，F(xiàn)ilatov充滿信心地認為對方會堅守約定。據(jù)路透社報道：“但Filatov特別指出，廣告已經(jīng)被撤下了，Topface已同意不對這個身份不明的人提出指控。Filatov說‘因為我們已與對方有了約定，我們認為他沒有理由違反約定。’”

法律變得更復雜了

1月20日，奧巴馬總統(tǒng)宣布了新提議的網(wǎng)絡安全立法，法律雖然出于善意，但是被誤導了。該法要求擴大《計算機欺詐和濫用法案》對“超過授權訪問”所下的定義，這可能會進一步阻礙安全漏洞研究人士的工作。

正如互聯(lián)網(wǎng)安全研究公司W(wǎng)hiteHat的Jeremiah Grossman告訴安全網(wǎng)站DarkReading的Ericka Chickowski：“這項提議的立法要做的是，宣布專業(yè)的日常安全研究為非法，這種研究工作對保護全體公司和公民起到了重大作用。其結果將會是災難性的。”

軟件缺陷懸賞計劃公司Bugcrowd主管運營的副總裁Jonathan Cran補充說：“一旦該法通過，它會給安全研究人士潑去一盆冷水，同時法院需要厘清定義。”

你有何看法?谷歌和微軟之間的爭執(zhí)、付酬金給網(wǎng)絡犯罪分子以及更廣泛的立法會加強所有人的信息安全嗎?還是只會讓整個安全行業(yè)顯得很糟糕?歡迎留言交流。

原文地址：http://www.darkreading.com/3-disturbing-new-trends-in-vulnerability-disclosure/d/d-id/1318925