安全公司与黑帽黑客之间很多脱节的地方

admin

    在邮件列表 Bugtraq创建之前,发现了漏洞以及利用漏洞的方法的人们只能直接相互交，流。 Bugtrap的创建为这些人提供了一个开放的论坛,使他们能够讨论相同的问题,并合作实现某个目标。由于接触到利用漏洞的方法变得很容易,因此导致 script-kiddie点击工具数量大增,从而使得那些根本不理解漏洞的人们也可以成功地利用它们。将越来越多的漏洞发布到这个站点已经成为黑客、骇客和安全从业者等人群打发时间的一种很有吸引力的活动。Bugtraq导致 Intemet和网络上以及针对供应商的攻击数大大增加。许多供应商感到非常不满,要求通过一种更负责的方法来揭秘漏洞信息，2002年, nternet安全系统( intemet Security Systems,ss)在一些产品中发现了儿个关键漏洞,涉及的产品包括 Apache Web服务器、 Solaris X Windows的字体服务和 Intemet软件联盟nternet Software Consortium)的BND软件。ISS采用了与供应商直接协作的方式,开发出了解决方案由 Sun Microsystems开发并发布的一个补丁本身就存在缺陷,因此只能被召回。 Apache的补丁直到漏洞被公开后才发布给公众,而事实上供应商事先已经知道漏洞的存在。尽管这些例子早已是老生常谈,但此类行为(类似的还有很多)使得个人和公司变得非常脆弱,有可能成为攻击的受害者,最终使他们对软件供应商产生强烈的不信任感。批评家也指责安全公司(如ISS)发布此类信息的动机不纯。他们暗示,通过发布系统缺陷和漏洞,安全公司给自己做了良好的宣传,从而带来了新业务并增加了收入，由于Ss遇到的挫折和导致的争议,因此它决定创建自己的揭秘策略,以便更好地处理将来可能发生的类似事件。它制定了在发现漏洞时应该遵循的过程,以确定何时以及如何将漏洞信息发布给公众。虽然其策略通常被认为是“负责任的信息揭秘”,但是这个策略包含一个重要的说明:在通知供应商漏洞信息后,会在“预定时间”内将漏洞的详细信息发布给用户及公众。ISS会协调自己与供应商的漏洞信息发布活动。对于那些认为漏洞信息应该让公众知道、以提高他们的自我保护能力的人们来说,这种策略只是火上浇油诸如此类的难题反映出供应商、安全公司和灰帽黑客之间仍然存在脱节的现象。不同的观点和动机使得每个群体走上了不同的道路。本章将讨论正当的漏洞信息揭秘模型,以帮助各方坐到一起协同工作,但是围绕这个问题所引发的争议仍将存在。
注意:关于是否应该完全揭秘,各方存在不同的看法和态度,由此产生了大量的辩论和争议。客户和安全从业者等方对软件产品中从一开始就存在缺陷,而软件供应商在改进问题时显得积极性不足而感到失望。供应商则对自己在尝试开发补丁时,有人不断地发布利用漏洞的代码而备感挫败,本书不会站在任何一方的角度展开讨论,而是会尽力说明如何促进揭秘过程朝着正确的方向发展,而不是损害这个过程。