微軟在尋求真正“負(fù)責(zé)任”的漏洞披露機(jī)制
不要指望微軟會給那些披露其公司產(chǎn)品漏洞的安全人員發(fā)放什么獎金。
微軟可信計(jì)算部的總監(jiān)Dave Forstrom在接受SearchSecurity.com的采訪時(shí)表示,由谷歌和Mozilla建立的軟件錯(cuò)誤回購計(jì)劃(bug buyback programs)和微軟針對漏洞研究的策略是相違背的。Forstrom還表示,這種計(jì)劃未能使得漏洞的處理過程透明化,最終對微軟的用戶也起不到什么幫助。
一般而言,谷歌會對那些發(fā)現(xiàn)Chrome瀏覽器漏洞的研究人員支付最多3133美元的費(fèi)用。Mozilla的這一數(shù)字則為3000美元,不過針對的是Firefox瀏覽器的漏洞。
Forstom說:“我們認(rèn)為,為每個(gè)漏洞支付一定的獎金并不能滿足微軟用戶的最大利益,還有多種其他的途徑可以讓我們同安全研究人員開展合作,從而更好的服務(wù)于安全社區(qū)。比如說,微軟可以通過承認(rèn)研究人員的共同努力、贊助各種安全會議,從而使得安全社區(qū)不斷向前發(fā)展。”
上周,微軟宣布將改變自己現(xiàn)有的策略,立即在安全業(yè)界掀起了波瀾,這也是這家軟件巨頭希望見到的事情。微軟把“負(fù)責(zé)任”這一字眼從自己的漏洞披露策略中拿掉了,并把自己的軟件缺陷報(bào)告計(jì)劃(flaw-reporting program)更名為“協(xié)作的漏洞披露(coordinated vulnerability disclosure)”,這勢必會改變?nèi)藗冴P(guān)于漏洞披露的爭論。
這項(xiàng)聲明得到了來自安全社區(qū)各種各樣的反應(yīng)。一些人認(rèn)為去掉“負(fù)責(zé)任”這一詞匯將改變安全研究人員和軟件商之間長期對峙的局面,但對安全人員報(bào)告軟件漏洞的方式并沒有多大變化。
Forstrom目前正在參加本周舉辦的2010年度黑帽大會。他表示,漏洞披露是一個(gè)正在進(jìn)行的話題,并不是只有微軟一家公司在進(jìn)行爭論。Forstrom說,“之所以要進(jìn)行協(xié)作配合,其目的為了最大限度的滿足用戶的利益,并降低風(fēng)險(xiǎn),不使之?dāng)U大。”
Adobe和微軟在積極防御計(jì)劃上開展合作
微軟在2010年度黑帽大會上還發(fā)表了一項(xiàng)新的合作計(jì)劃聲明,微軟相信這勢必會加強(qiáng)自己的積極防御計(jì)劃(Active Protections Program,MAPP)。
Adobe系統(tǒng)公司已在MAPP計(jì)劃的框架內(nèi)同微軟展開合作,以便在微軟發(fā)布漏洞補(bǔ)丁之前,提前得到詳細(xì)的漏洞技術(shù)資料。目前,已有65家安全廠商加入了該計(jì)劃,這使得他們可以為自己的用戶開發(fā)數(shù)字簽名,并對漏洞攻擊代碼(exploit)進(jìn)行檢測。
Adobe公司負(fù)責(zé)產(chǎn)品安全和隱私的高級總監(jiān)Brad Arkin表示,MAPP計(jì)劃就像是專為Adobe而設(shè)計(jì)的一樣,它能增加公司的透明度并減少攻擊窗口期(attack window,即從漏洞發(fā)布到Adobe發(fā)布官方補(bǔ)丁之間的時(shí)間)。
Arkin說,“我們可以從安全廠商那里源源不斷的獲得反饋,微軟的積極防御計(jì)劃無疑是軟件廠商之間得以分享信息的絕對標(biāo)準(zhǔn)(gold standard)。”
Arkin表示,Adobe公司在成為MAPP計(jì)劃的會員之后,將會提供自己產(chǎn)品的安全信息,并將其稱之為“多一層防御(one more layer of defense)”。這些數(shù)據(jù)將會按微軟提供的模板進(jìn)行格式化,所有在今秋成為MAPP會員的廠商都可以獲得這些信息。
如果想加入MAPP計(jì)劃,廠商必須能對至少1萬名用戶提供安全防御技術(shù),如反病毒、入侵檢測系統(tǒng)和入侵防御系統(tǒng)等技術(shù)。
最新減災(zāi)工具包(mitigation toolkit)
微軟正在發(fā)行一款全新的工具,名叫“增強(qiáng)的減災(zāi)體驗(yàn)工具包(Enhanced Mitigation Experience Toolkit)”,其目的是幫助IT專業(yè)人員對現(xiàn)有的應(yīng)用程序使用安全減災(zāi)技術(shù)。該工具可以免費(fèi)獲取,在八月份就可供下載。
微軟的Forstrom表示,對仍在運(yùn)行微軟老版本軟件的公司而言,這款自動工具將尤其有用。比如,使用IE6的Windows XP用戶在默認(rèn)情況下會運(yùn)行數(shù)據(jù)執(zhí)行保護(hù)(DEP),但是堆噴射內(nèi)存分配技術(shù)(heap spray allocation,免遭攻擊的內(nèi)存減災(zāi)技術(shù))卻需要手動進(jìn)行。不過,使用這一全新的自動工具之后,IT專業(yè)人員就可以更加容易的對現(xiàn)有應(yīng)用程序進(jìn)行安全減災(zāi)。
Forstrom說:“IT專業(yè)人員無需再次進(jìn)行編碼和編譯,只需擁有基礎(chǔ)設(shè)施就可以在進(jìn)程中運(yùn)行該工具。”
【編輯推薦】
