Mozilla：軟體漏洞 駭客說了算

留下回應

Mozilla安全主管23日表示，軟體商在安全瑕疵揭露上，仍須仰賴業餘高手的善意配合。

Mozilla安全首長Window Snyder在華府舉辦的ShnooCon駭客會議中表示，安全業多年來不斷推動所謂的漏洞揭露指導方針。這些「責任揭密」（responsible disclosure）的呼籲確實產生若干效果，但安全研究員仍掌控整個程序。Snyder說：「研究員大權在握，他們控制揭露的時間，控制軟體商能否即時地反應。」

如何公佈安全漏洞細節一直是熱門的話題。安全業提倡的責任保密是由業者先完成解決方案，再由發現漏洞的研究員對外公佈。因為太早曝光可能幫助惡徒發動攻擊，損害軟體商的名聲。

但遵守這項原則的研究員經常得忍受軟體商的缺乏回應。另一個爭議點是製作修補方案和研究員獲得適當獎勵所需的時間。曾在微軟工作的Snyder說：「軟體商有確實回應外界通報的責任。」

但並非所有人都願意遵守責任保密原則。安全公司Immunity與會代表Dave Aitel認為，那是軟體商設下的陷阱。他說：「責任保密是一種行銷說法。責任保密有利於微軟和其他大型軟體商…他們想控制整個程序。」

與其向軟體商通報，Aitel希望業餘抓錯專家把漏洞資訊賣給他。Immunity向這些專家收購安全漏洞的詳細資訊，然後用在自己的產品上，包括可用來闖進電腦和網路的滲透測試工具。

安全檢查公司Veracode創辦人兼技術長Chris Wysopal不認為研究員有這麼大的權力。他說：「我們碰過許多威脅，身為法律威脅的接受方並不好過。」

TippingPoint安全研究經理Rohit Dhamankar表示，如果軟體商對安全研究員提告，那這家公司肯定搞不清楚狀況。他說：「有些軟體商經驗老道，如Mozilla和微軟，也有些軟體商完全不知道何謂適當的程序。」該公司也向獨立的研究員購買漏洞資訊，最近被一家網路入口軟體商威脅控告。

為取得競爭優勢，Immunity和TippingPoint這類公司都願意付錢買資訊。在其他公司或官方的修補方案釋出之前，他們的產品就能偵測出問題。Wysopal表示，畢竟，沒有公開揭露，瑕疵便難以被修補。他說：「責任保密就是先通報軟體商，但之後他們卻完全不作為，除非你威脅公開揭露。…公開揭露是實際解決問題的唯一方法。」

Mozilla的Snyder認為，30天是軟體商製作解決方案，並要求獨立研究員配合的合理時限。他說：「我認同目前業界的表現，我也支持在全世界都知道（某個安全漏洞）之前，能有一點作業時間…我希望有30天，但我會把握任何可用的時間。」（陳智文/譯）