關於安全研究員,有一個普遍的迷思:軟體商是一群不願迅速 – 或甚至願意補救安全弱點的冷漠懶鬼,除非高尚的安全研究員以公開揭露要脅,迫使他們採取行動。
事實上,大多數的軟體商都努力改善安全弱點的處理,不需任何外力的「威脅」。反而是某些研究員,已經成為麻煩製造者。
話雖如此,我仍要感謝那些真正為公眾利益付出的研究員,他們大都不像某些惡名昭彰的同道,經常登上頭條新聞。但我也承認,軟體商社群需要改善商業軟體的品質,減少安全漏洞的存在。
以下是一般使用者對安全研究員與軟體商互動的若干迷思:
1. 你們應該在兩天內完成補救
某些研究員認為,他們可以藉由威脅「對外聲張」,迫使軟體商加快處理速度。而只要軟體商真的努力去作,一定可以達到他們任意指定的5天、15天,或30天的「補救窗口」。
事實上,當研究員提報某個安全弱點,補救方法或許是花上20分鐘即可完成的兩行程式修改。然而,將修補程式送到顧客手中,通常需要好幾週。根據正式的矯正程序,軟體商可能需要分析該錯誤是否存在特定版本/平台,或所有版本/所有平台,或需分析相關的程式碼是否有類似的問題(以便進行全面的修補)。軟體商可能也需提供多種版本/平台的修補程式,或結合多項安全修補程式,讓顧客的修補成本降至最低,更別說必要的各項測試,以確保補救方法本身不會與任何東西對衝。
舉例來說,甲骨文公司(Oracle)曾經針對單一安全弱點進行78個修補,整整花上5天才完成。我們也配合每季財報結算的時間,釋出多項修補程式的組合。(許多顧客不願在每季結算以外的時間,更動他們的生產系統。)
簡單兩行的程式碼修改可以在5分鐘內完成,但是將立即可用的修補程式送到顧客手中,絕非幾分鐘就能解決的事情。
2. 名聲越壞,生意越多
許多研究員認為,他們公開揭露的安全漏洞越多,會有更多軟體商聘請他們擔任顧問。有些人簡直就是勒索(”付我多少錢否則我就買給iDefense”),或暗示性的威脅(”三週之內修補好,因為我要在黑帽大會發表一篇報告”)。
實際上,許多最優秀研究員的名號,一般人甚至都沒聽過,因為低調行事是他們的工作資產之一。他們通常比那些動不動就向媒體大聲嚷嚷的研究員高竿。我們只會聘請並向顧客推薦那些行事謹慎的研究員。
此外,名氣也會自傷:我知道有顧客因為研究員公布安全弱點的刺探程式和他解約。在此奉勸諸位安全專家,當你們在黑帽大會上發表成果時,或許能贏得駭客的讚賞,但正常的公司不會付錢給你們自斷其首。知識永遠伴隨著責任。
3. 我發現的弱點,我自當居功
大多數的軟體商會獎勵提報安全漏洞的研究員,以便繼續和他們合作。另外,說聲「感謝你的合作」只是基本的禮貌。這裡的迷思是,研究員永遠有權獲得獎勵。
實際上,當研究員在軟體商有時間補救問題前就擅自釋出刺探程式,造成顧客面臨安全風險,難道還可笑地期望軟體商對他說「感謝你置我們的顧客於險境」嗎?我從未碰到顧客要求我們提供刺探程式或相關細節,但他們都想要足夠的資訊以進行風險評估。
在某些情況下,軟體商的功勞甚至比研究員還大。舉例來說,甲骨文自行發現的重大安全漏洞超過75%。但如果某位研究員發現一項我們已經自行發現,但可能尚未完成修補的問題,我們通常還是會給那個人應得的獎勵。
安全研究員並非全都有高尚的情操,軟體商也並非全是冷漠的懶鬼。最重要的是,這個戰場上每一個人的最高目的,都應該是保護這些產品的使用者免於傷害。
編按:本文作者是甲骨文公司的安全長,負責軟體安全評估與意外處理。
轉載自: 當安全專家變成麻煩製造者?