在五月底,兩個Google安全工程師宣布來自Google總部關於零時差漏洞和揭露的新政策。他們強烈建議,已經出現在外的零時差漏洞資訊,廠商應該要在被通知後不超過七天內公布出來。理想狀況下,公告或修補程式都應該由廠商提供,但他們也表示,如果廠商沒有動作,研究人員應該要自己公布詳細的資訊。
這是個非常積極的作法。以微軟為例,對於重要修補程式並沒有設定公布期限:這需要在品質和時效性間尋求一個平衡點。要平衡這兩者並不容易。一方面,仍在活躍中的可攻擊漏洞會讓惡意軟體作者知道廠商的漏洞。另一方面,快速推出的修補程式可能會對應用程式和整體系統有負面影響,讓其更加脆弱。
幾乎每個安全廠商都曾經因為不小心而出現誤報。我們有許多的安全措施,像是白名單比對,但總是會有莫非定律。讓我們的產業因此影響了使用者的電腦。作業系統廠商在進行修補時要更加小心。他們需要有適當的品質保證,因為修補程式將會影響到數百萬台的電腦。
在我看來,七天後揭露的作法是合理而可行的,但期待在這時間內推出修補程式就不合理了。讓我們來看看Google本身會怎麼做。目前,有一個Google Android木馬程式正在擴散,它可以在「設備管理程式」中隱藏自己,讓安全軟體無法看到或試圖去清除它。這有可能是因為Android內的一個安全漏洞造成。Google可以在七天內解決這個問題嗎?讓我們拭目以待…
更大的問題不只是應該多久被報告和修補漏洞。更重要的是漏洞資訊應該要如何被報告。如果你相信最近的一次媒體報導,美國政府現在是惡意軟體最大的買主。我們要如何確保受影響的廠商有被告知,以及這些並不會用在攻擊用途,像Stuxnet一樣?我們如何確保這些漏洞不會出現在地下市場,最後被用在廣泛散播的威脅上?
這裡需要做的是針對如何處理被發現的漏洞舉行一次較大規模的討論。讓所有相關領域的人員都加入其中:開發商、政府和研究人員,去決定我們在未來要如何處理安全漏洞。
請點選上面縮圖來觀看我談論此話題的影片。
@原文出處:Vulnerability Disclosure – Open or Private?
@延伸閱讀
《CTO看資安趨勢》長遠的端點防護~從 Google 號稱每月可阻止約五萬個惡意軟體下載談起
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中