安全漏洞披露總是往往充滿了戲劇性。

[[127631]]

究竟什么才是“負責任”的披露存在諸多爭論。Web安全專業人士因“有人敲門”而被束縛住了手腳，軟件安全研究人士幸災樂禍地公布概念證明漏洞。安全漏洞研究人士大聲嚷著“不再有免費的軟件缺陷”，而軟件廠商閃爍其詞，時而說‘當然，我們會付錢給你’，時而說‘不，但我們會好好感謝你’，又時而說‘那是敲詐勒索’。

這些年來，安全行業和軟件行業已想出了一些更好的法子來開展合作：比如說，軟件缺陷懸賞計劃和企業政策授權第三方找出其網站中的安全漏洞。

不過，這方面取得的進展并不大。最近的事件表明，仍有很長一段路要走;這些是孤立事件還是新的趨勢，仍需拭目以待。

技術巨頭之間公開爭執

今年1月11日，谷歌最新成立的互聯網安全項目Project Zero公開披露了微軟軟件存在一個沒有打補丁的安全漏洞。谷歌私下將該漏洞告知了微軟，讓對方有90天的時間來打補丁。可是微軟在過了90天后，Project Zero卻公布了安全漏洞，還附有完整的概念證明代碼，而不是答應微軟要求再延緩兩天、以便等到周二補丁日(Patch Tuesday)的請求。這已是短短兩周內Project Zero第二次發布沒有打補丁的微軟安全漏洞了。

微軟自然不高興。在一篇博文中，微軟安全響應中心的高級主管Chris Betz撰文道：“谷歌決定這么做不太像是正大光明的做法，更像是一種‘耍人’，因而可能遭殃的會是客戶。”

谷歌的反應是，過去不到一周，緊接著發布了另一個沒有打補丁的微軟安全漏洞。

Javvad Malik得出的結論是“安全行業需要非常成熟，需要成長起來，想方設法以便能夠共同更快速、更有效地找到軟件缺陷。”

付錢給已查明的網絡犯罪分子

前不久一家欺詐檢測公司報告，一位名叫“Mastermind”的黑客在黑市上大做廣告，為其從設在俄羅斯的約會網站Topface竊取的2000萬條用戶記錄尋找下家。

于是，Topface設法聯系到了Mastermind，給對方開出了優厚的條件。他們讓Mastermind同意停止出售竊取來的數據;作為回報，正如Topface的首席執行官Dmitry Filatov告訴路透社的那樣，“我們出錢請他尋找安全漏洞，并談妥了數據安全方面的進一步合作。”

Filatov沒有披露他們向Mastermind總共付了多少錢。不過，Topface的慷慨之舉令人驚訝，尤其是考慮到他們表示該竊賊只竊取了電子郵件地址，并沒有竊取密碼或郵件內容。(但事實可能不是這樣，那家欺詐識別公司報告，竊取來的數據當中包括200萬條“登錄信息”――包括來自Hotmail帳戶的700萬條信息和來自Yahoo和谷歌主帳戶的250萬條信息。)

試圖讓黑帽子搖身變成白帽子肯定存在爭議。向要求贖金的犯罪分子(上面那個犯罪分子倒沒有提出要求)支付贖金更是存在爭議。不過，付錢給犯罪分子以及雙方達成協商仍樹立了一個很危險的榜樣。要是Mastermind沒有堅守約定，更是危險得很。

不過，Filatov充滿信心地認為對方會堅守約定。據路透社報道：“但Filatov特別指出，廣告已經被撤下了，Topface已同意不對這個身份不明的人提出指控。Filatov說‘因為我們已與對方有了約定，我們認為他沒有理由違反約定。’”

法律變得更復雜了

1月20日，奧巴馬總統宣布了新提議的網絡安全立法，法律雖然出于善意，但是被誤導了。該法要求擴大《計算機欺詐和濫用法案》對“超過授權訪問”所下的定義，這可能會進一步阻礙安全漏洞研究人士的工作。

正如互聯網安全研究公司WhiteHat的Jeremiah Grossman告訴安全網站DarkReading的Ericka Chickowski：“這項提議的立法要做的是，宣布專業的日常安全研究為非法，這種研究工作對保護全體公司和公民起到了重大作用。其結果將會是災難性的。”

軟件缺陷懸賞計劃公司Bugcrowd主管運營的副總裁Jonathan Cran補充說：“一旦該法通過，它會給安全研究人士潑去一盆冷水，同時法院需要厘清定義。”

你有何看法?谷歌和微軟之間的爭執、付酬金給網絡犯罪分子以及更廣泛的立法會加強所有人的信息安全嗎?還是只會讓整個安全行業顯得很糟糕?歡迎留言交流。

原文地址：http://www.darkreading.com/3-disturbing-new-trends-in-vulnerability-disclosure/d/d-id/1318925