漏洞到底应该怎样披露? 漏洞披露、漏洞奖励计划,甚至是漏洞市场营销已经成为整个安全生态环境的重要组成部分。但在漏洞披露机制及其产生的影响上,业界并没有统一和清晰的认识。漏洞细节披露益处和坏处孰重敦轻?这些漏洞奖励计划,是合理的吗?
目前漏洞提交大致有四种情形:
1. 不披露。如白帽子直接给各企业SRC提交的漏洞。
2. 部分披露。360的补天平台仅仅公布漏洞类型、影响程序,并不会公布漏洞利用的技术细节。360补天依据互联网协会规定的漏洞披露和处置公约选择了部分披露的方式,主要目的是为了保护企业的利益,因为大量的漏洞在保护期后依然无法得到很好的修复,导致被再次利用的情况非常普遍,同时我们也通过更多的现金奖励和大量厂商共同参与奖励的办法,给白帽子带来切实的利益。除此之外。我们还会通过其他方式如360安全播报定期发布最新安全技术文章帮助白帽子在不披露漏洞细节的情况得到能力的成长。
3. 保护期披露。国内第三方漏洞提交平台乌云,在漏洞保护到期之后,才会披露详细的漏洞信息。漏洞的良性通报过程,需要一个技术实力雄厚与健康发展的社区,漏洞细节的公开可以给这样的社区与人才提供充足的发展空间与“营养”,令行业获取到健康并可持续性发展的重要因素。此外,报告平台对漏洞细节的公开也是让大众监督的一种考虑,只有企业、平台与大众用户这种三角关系才是最稳定的,其信息真实性与可靠性也经得起长久的考验,才能得以在漏洞报告的道路上贡献更纯粹的价值。
4. 全面披露。有些研究人员为了出名,甚至是报复企业,而采取的一种极端披露方式。有人认为,保护期披露应该是第一选择,因为毕竟漏洞披露的最终目标是产出更好更安全的代码。但问题是有些情况下,被发现的漏洞可能真的需要厂商做出重大改动和测试。于是,如果披露期较短,企业可能并未来得及修复。但披露期较长的话,一方面会纵容企业的懒惰,另一方面还可能导致漏洞被利用的风险加大,要知道时机是非常重要的,因为其他人也有机会在差不多的时间点上发现这个漏洞,或者野生的活跃漏洞利用一直在进行而且随时有可能被公之于众。
因此,如果采用保护期披露机制,一个考虑到漏洞影响、修复难度等因素的弹性披露机制是比较合理的选择。比如,谷歌的90天+2周。当企业在90天内未修复好漏洞时,如果保证在2周之内修复,则延长2周,否则90天到期之后即公开。
如果在通知了企业之后,出于各种原因企业选择沉默以逃避修复责任的话怎么办?
有人认为,这种情况下全面披露就是出路。整个安全社区会判定此问题的严重性,而厂商则有望在压力之下迅速转变态度。但在漏洞得到修复前,用户则会处于风险之中。因此,最终符合终端用户利益的,还应该是厂商和安全研究员之间的精诚合作。
漏洞的影响不是任何一家机构可以定性的,其中涉及太多的影响场景与受害者群体等特殊情况。所以还原与理解漏洞的风险,就是要公开信息,让各种性质的用户群体都可以自己从中获取答案。整个过程中保持清晰通畅的沟通和对对方观点的相互尊重非常重要,过去曾经出现过两者之间沟通破裂恶性案例:漏洞严重性‘谈判’的影响导致了全面披露。
漏洞的价值如何体现?
虽然漏洞奖励计划越来越常见,但有时候奖金远远值不上漏洞的真实价值,研究人员常常认为漏洞挖掘而付出的时间和努力并没有物有所值。
的确,很多情况下奖励平台上漏洞的价值若与黑市相比可能不太“公平”。而且鉴于各种因素,这些数字可能永远不会平衡。有些研究人员虽然尝试直接与厂商取得联系,但想要到应得的奖励也许并不容易,因为漏洞或漏洞利用代码的价值很可能不被大多数厂商理解。这也是众多SRC兴起的一个重要原因,只有专业人员才能理解专业技术的真正价值所在。
……