技術長見解:漏洞出售中

作者:Raimund Genes(趨勢科技技術長)

2014年顯示了漏洞可以在所有的應用程式中發現 — Heartbleed心淌血漏洞Shellshock都讓系統管理者出乎意料,顯示出開放原始碼伺服器應用程式也可能出現嚴重的安全性漏洞。

 

現實是,要讓軟體完全沒有漏洞是困難且代價高昂的,即便並非完全不可能。每一千行程式碼中,你可以預期找出15到50個某種錯誤。這錯誤率在真正關鍵的應用程式(像是太空探險用)上可能會較低,但這需要軟體開發成本付出額外的時間和金錢。

儘管這樣很耗費成本,開發人員還是需要更好地去建立安全的產品。軟體漏洞如何被發現和披露的變化意味著使用者因為安全性漏洞所面對的風險都比以往都還要大。

在過去,被發現的漏洞會回報給開發人員,好讓他們可以修復以盡可能地保護更多的使用者。然而,有越來越多發現安全性漏洞的公司將這些資訊賣給出價最高者。這無法幫助任何人 — 除了從事買賣這些漏洞的公司。開發人員無法修復他們的產品,使用者遺留在風險中,安全社群的大多數人都還一無所悉。整體來說,網路是更加不安全的。

所以某些國家的政府已經在設法控制這些市場並不令人驚訝。在去年,瓦聖納協定(Wassenaar Arrangement)考慮將漏洞攻擊程式碼列入新的「入侵軟體」領域;此協定所涵蓋的項目被認為是「雙重用途」(即軍事和民間應用)。這表示協定的41個成員國可能對這些項目進行出口管制。事實上,今年Pwn2Own的準出席者被要求與其律師確認他們是否需要出口授權或政府通知才能參加。

當然,發現漏洞的研究人員也想為自己的努力獲取回報。這有許多方式可以達成,無須將漏洞賣到公開市場上。主要網站和廠商都提供漏洞獎金給在他們產品找出漏洞的研究人員。有許多方法能夠讓研究人員得到報酬,而無須將漏洞放在公開市場上。

我們不能強迫公司或個人停止買進或賣出漏洞,我們所能做的就是減少貨源。通過建立更加安全的產品,包含更少的漏洞及更好的解決那些已知問題,我們讓網際網路對每個人來說都更加安全。

 

@原文出處:CTO Insights: Vulnerabilities for Sale
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

◎ 歡迎加入趨勢科技社群網站