安全漏洞頻頻出狀況 微軟要求修改遊戲規則

| | | | | | 留下回應

    

在歷經今年夏季連續兩次Code Red與Nimda病蟲把微軟伺服器與PC軟體攪得天翻地覆後，微軟在十月初成立一項提案名為「策略技術保護計畫」(Strategic Technology Protection Program)，向客戶鼓吹有效的安全管理方法。

不過該計畫成立以來，幾乎每周就會有一個新的安全漏洞被發現。光以這幾個禮拜來說，被發現的漏洞包含了Excel與PowerPoint，以及一個保護音樂內容的新系統；Window XP也出了一版主要安全修補程式；微軟甚至還一度暫時關閉.Net核心部分的Passport服務，以修補其中的一組技術瑕疵。

Gartner分析師John Pescatore表示，微軟必須要有一些大力作為才能消彌.Net伙伴與客戶的憂慮。.Net方案是微軟囊括所有線上服務的一項大計劃。

「微軟深知，若.Net要能成功，該公司必須予人『安全』的印象才行。」Pescatore表示。在Code Red與Nimda相繼發生不久後，Pescatore便發撰文表示受害公司應該立即換掉微軟IIS軟體以策安全。

而本週微軟將在加州Mountain View舉辦一場「電腦安全會議」(Trusted Computing Conference)，並廣邀安全專家、隱私權保護人士與政策制訂者參與。在這場會議中，微軟將有機會再度力推改寫披露安全漏洞資訊的遊戲規則。微軟希望專家在撰寫建議報告時，能減少公布該公司產品中的漏洞細節。若此提案獲得同意，則微軟將可在駭客針對漏洞發動攻擊前多了一些回應時間。當然，這也有助於該公司在安全問題上扳回一城。

微軟安全回應中心經理Scott Culp最近就寫了一篇文章，嚴厲批判研究人員與駭客提供太多程式碼，詳細解說漏洞所在與如何入侵之道。這些程式碼也稱為exploit code，有心人士極容易藉此開發駭客工具與病毒來攻擊電腦。

一般認識今年七月造成36萬台執行微軟Web伺服器軟體受害的Code Red即是一例。當初eEye Digital Security率先發現該軟體中有個列印ISAPI的漏洞，並與微軟聯合開發出一個修補程式，但該公司在報告中也將如何利用該漏洞的法門寫了進去。

共識或者欺瞞？

微軟這次的目的則是希望阻止駭客取得這些細節資料。「微軟將在未來數月與業界領袖共同建立一套安全共識。」Culp表示。

但有些人認為微軟真正的動機在於降低該公司的顏面受損。

「微軟藉著這場會議推廣其限制透露的理念，讓外界看似經過大會的背書，其實決多數的人都還沒看過細節。」TruSecure研究總監Russ Cooper表示。

根據Cooper的計算，微軟最近所發出的Windows XP更新檔案中含有5個安全修補程式，但該公司在建議報告中只顯示兩個。

電子隱私權人士則擔心微軟還未證明其有能力保護系統安全，未來.Net計畫是否能有效捍衛使用者的隱私。

上週有位軟體工程師便公開展示Passport認證系統中(.Net的安全關鍵部分)的諸多漏洞。

「這些不定時的安全炸彈更強化了我們的看法，微軟對隱私與安全的承諾並不可信，對消費者來說形同一種欺騙與不公。」數位隱私資訊中心主任Marc Rotenberg在寫給美國聯邦貿易委員會的信裡如此寫到。

「再者，微軟對於Passport服務所收集與使用的個人資訊，並無明確公布所可能產生的相關風險，這已經構成不公平與蓄意欺瞞的交易行為。」（陳奭璁）