~# n0tr00t Security Team

负责的安全漏洞披露过程

26 Aug 2012 - superhei

[+] Author: superhei
[+] Team: n0tr00t security team 
[+] From: http://www.n0tr00t.com
[+] Create: 2012-08-26

Xcon 头一天没票,所以没去。第2天冒着被mm追赶的风险,并在教父光芒照耀下,终于进入会场,听到了大牛alert7的演讲《发现0day之后—负责任的安全漏洞披露过程》,资料如下:

尤其是《负责的安全漏洞披露过程》这个草案还是10年前发布的,国外的厂商基本都是按照这个标准流程来响应的,事实证明这个草案的经典。侧面也反应了国内安全漏洞披露的混乱,包括漏洞发现者和厂商。目前还存在有漏洞不知道往哪里报告的情况,就在今年xgf的会场我见到某门户网站的安全人员,我还特意询问了他们漏洞响应的email地址,因为之前我确实没着到!!!国外的厂商就不一样,比如微软,我记得有一次我blog提到我给ms报告漏洞,email没有响应,后来ms的人联系我说,那个email地址写错了,但是他们立即启用了这个错误的email地址,防止其他人因为同样的错误而错过漏洞报告。

可能也是这个原因,国内开始出现了第三方平台,我在大牛alert7演讲后提了2个问题,其中一个就是问他“怎么看待这样的第三方平台?”,因为站在官方的角度来看,第三方平台其实是有漏洞细节“泄露”风险的,一旦被恶意估计者利用,那么对于用户的危害无疑是巨大的,让官方的安全响应变得的极为被动!

可能也是这个原因,各大甲方也开始推出自己的漏洞响应平台,比如腾讯的TSRC[http://security.tencent.com]。这样的官方平台出现,对于国内的安全环境无疑有着巨大的意义,当然第三方平台在这个过程里起到了巨大的推动作用!在某个群里其实我说过“第三方平台的目标就是走向消失!”,也就是说当我们的甲方都重视和尊重安全漏洞的时候,有着自己的成熟的安全漏洞响应流程,那么第三方平台就没有存在的意义了。当然这个目标就是安全界的“义主CG”,只能是理想。所以第三方平台很难走向消失! 所以我在说“第三方平台的目标就是走向消失!”并不是反对、藐视第三方平台,悄悄相反,我认为第三方平台存在有着它自己的历史意义。也同时希望第三方平台的管理者理解我说的“消失”的含义!

Xcon 上大牛的演讲里提到了3个阶段:

那么“给钱===尊重吗?”这也是我在xcon上给大牛alert7提到的第2个问题。其实这个问题是真实存在的,在我的交流过程中,有的官方的态度的是“我都给钱了,你们还想怎么样!”、“其他公司有给钱吗?”。首先我申明一下,我绝对是“no more free bugs”忠实拥护者!,但是我认为第三个阶段必须是建立在第二个阶段之上的,也就是我认为的第三个阶段应该是:“尊重+认可价值(no more free bugs)”,而不是把“no more free bugs”当作一种show、一种“口水战”打击对手的武器!

至于xcon上我提问结束后,某大牛的激情呼吁、呐喊。其实是没有意义的!既然有市场,不管是上面的,还是下面的,商品的价格都是按照市场来运转的,所以官方的“no more free bugs”是影响不到啥子价格的?!

最后再次给各大官方推荐《负责的安全漏洞披露过程》,比如里面有这么一条:

3) 厂商不应该假设那些被报告者或参与的协作员所确定的漏洞的风险或影响是有限的

理由:报告者或参与的协作员可能没有足够的经验或时间去确定所有的问题 范围。有时,一个理论的漏洞后来发现比后续分析或创建一个工具更加容易 利用。例如,它可能是报告者很容易的通过发送那些导致产品崩溃的长久论 点去发现并证明的一个缓冲区溢出漏洞,它是一个指示,那个精心制作的能 用于执行任意代码的程序,报告者和厂商可能没有能力和资源去创建如此一 个程序,但该程序在将来可能被创建出来。

对于某些官方在评估漏洞风险时,过于看重漏洞的利用效果。这个是很不科学的!,另外《负责的安全漏洞披露过程》这个毕竟是10年的东西,另外更加多的是偏向系统漏洞。有些数字指标可能对于在线网站的一些漏洞,并不适合?!

【注:本文各种观点是“对事不对人”的,所以请不要用各种口水来恶心人】