|
|
|
|
|
|
來源:安全牛 發(fā)布日期:2015.06.15 點(diǎn)擊量:
漏洞獎(jiǎng)勵(lì)已不算是非常新鮮的事物,并漸漸發(fā)展成為平常之需。不僅公司企業(yè)希望能夠從奉公守法的漏洞挖掘人員那里獲取信息,找到自身的弱點(diǎn),另一方面也是大量獨(dú)立研究人員從廠商和第三方漏洞獎(jiǎng)勵(lì)平臺(tái)上賺取生活費(fèi)的途徑。
但是美國工業(yè)與安全局最近對瓦瑟納爾協(xié)定提出的修改,卻給上述靠漏洞獎(jiǎng)勵(lì)吃飯的各方都提出了真正的挑戰(zhàn)。
這些規(guī)定旨在抑制兩用武器的買賣和交易,在計(jì)算機(jī)安全語境下,兩用武器就是所謂的入侵軟件,如FinFisher和HackingTeam之類據(jù)稱賣給專制國家用于監(jiān)視國民的。安全研究人員在美國公布新規(guī)的兩周里已經(jīng)表達(dá)了他們對此提案的關(guān)注,他們認(rèn)為新規(guī)對入侵軟件的定義過于寬泛,合法的漏洞研究和概念驗(yàn)證(PoC)將受到監(jiān)管。
這就意味著發(fā)現(xiàn)了零日漏洞并做出觸發(fā)漏洞利用的概念驗(yàn)證程序的研究人員將不得不先申請出口許可證才能向受影響的廠商透露他們的發(fā)現(xiàn)。因此,將會(huì)出現(xiàn)這樣的情況:國外研究人員發(fā)現(xiàn)了零日漏洞,卻不得不先跟本國政府共享漏洞細(xì)節(jié),再通知受影響的廠商。
如果這份提案被正式實(shí)施,也就意思著需要經(jīng)政府批準(zhǔn),并且極可能要與政府共享漏洞細(xì)節(jié),那么申請出口許可證的額外負(fù)擔(dān)肯定會(huì)打擊安全研究人員花費(fèi)時(shí)間精力去挖掘和提交漏洞的積極性,造成更多的研究人員選擇不去報(bào)告漏洞,甚至根本不去做研究。
至于廠商,肯定不愿意在修復(fù)漏洞之前讓外國政府知道自己軟件或系統(tǒng)的詳細(xì)漏洞信息。而且政府總能找到理由拒絕發(fā)放出口許可證,不僅使研究人員的生計(jì)處于危險(xiǎn)境地,還能在審批過程中獲悉可被加入到政府武器庫的嚴(yán)重漏洞的細(xì)節(jié)。最終的結(jié)果就是阻止了漏洞獎(jiǎng)勵(lì)項(xiàng)目以及跨國廠商之間的漏洞協(xié)作,更不用說研究人員合作共享概念性驗(yàn)證代碼的權(quán)利了。
一些研究人員對提案中過寬的入侵軟件定義持反對意見,因?yàn)楹茱@然,漏洞獎(jiǎng)勵(lì)計(jì)劃、與漏洞利用有關(guān)的攻防競賽,甚至是安全人才培訓(xùn)都會(huì)受到這一定義的影響。而且,考慮到很多政府,尤其是美國也在從研究人員手中購買零日漏洞,出口許可這一規(guī)定就給政府免費(fèi)獲取零日漏洞開辟了康莊大道。即使政府愿意出錢,也會(huì)阻礙廠商獲悉和修補(bǔ)漏洞的渠道。
在網(wǎng)絡(luò)安全圈里,漏洞獎(jiǎng)勵(lì)是一個(gè)相對較新的現(xiàn)象。國際上的Bugcrowd和HackerOne是最大的兩家獨(dú)立平臺(tái),國內(nèi)影響力最大的第三方漏洞提交平臺(tái)是烏云,但360補(bǔ)天計(jì)劃和騰訊TSRC也都開放了第三方漏洞提交。此外,包括國際上的微軟、谷歌、惠普(零日計(jì)劃)、臉書、雅虎,國內(nèi)的網(wǎng)易、京東、新浪、金山、迅雷、攜程、小米、搜狗等等絕大多數(shù)主要互聯(lián)網(wǎng)或科技廠商都提供了某種形式的漏洞獎(jiǎng)勵(lì)項(xiàng)目。
獨(dú)立研究人員的收入通常分化巨大。西方國家里,大部分研究人員都有正職,漏洞獎(jiǎng)勵(lì)只是補(bǔ)貼他們收入的一個(gè)興趣愛好。但在中東地區(qū)、菲律賓、拉丁美洲和東歐,包括中國的許多白帽子,他們?nèi)康氖杖雭碓淳拖蚨鄠€(gè)項(xiàng)目提交漏洞以獲取獎(jiǎng)勵(lì)。
某個(gè)漏洞有時(shí)候會(huì)在多個(gè)有著同樣的底層業(yè)務(wù)邏輯缺陷的產(chǎn)品中重現(xiàn)。每個(gè)漏洞獎(jiǎng)勵(lì)項(xiàng)目不僅要為漏洞研究付賬,還要支付隨后的補(bǔ)丁或客戶代碼修改費(fèi)用。在某些情況下,這有可能會(huì)是一筆巨款。因此研究人員或第三方平臺(tái)想要負(fù)責(zé)任地披露漏洞,其中一種方式就是POC(概念驗(yàn)證漏洞利用)。這是漏洞獎(jiǎng)勵(lì)中甚為重要的一環(huán),也是受瓦森納爾新規(guī)影響最大的一環(huán)。畢竟,概念驗(yàn)證就是開發(fā)者用以修復(fù)漏洞的基礎(chǔ)。
但不管怎樣,中國不屬于瓦瑟納爾協(xié)定的簽約國,而且國外人員給中國科技廠商提交漏洞的實(shí)例少之又少。因此,目前瓦瑟納爾協(xié)定新規(guī)會(huì)對中國產(chǎn)生什么樣的影響還不好判斷。
瓦森納協(xié)定的修改方案現(xiàn)在正出于征求意見階段,7月20日結(jié)束。
相關(guān)新聞:
