安全天下事
(2010年8月)文/江海客
近期从事苹果相关系统漏洞挖掘的中国安全研究者吴石被媒体报道,他通过几年来的相关发现安全漏洞 并通报给漏洞采集收购企业的工作,其获得了不菲的收益。
在这篇报道中 ,比较值得关注的是ZDI和iDefense等漏洞采集组织在漏洞挖掘者与软件厂商之间的枢纽作用。这样的组织让相关研究人员能找到一个非常合理合法的经济模式,也避免了一些孤高的企业 与fuzzing者之间直接对话的尴尬。而从整个社会 而言,合法漏洞采集和收购企业/组织的存在,使信息安全研究民力能有一个良性的聚合,从而快速 达成漏洞修补和应急响应,对于减少相关资源向地下经济体系的流动,起到了良性的作用。当然这只是遏制网络犯罪的诸多措施中的一个环节,因为从支付筹码上,合法收购,与黑市购买还是有其完全不对等的支付能力,而最后的屏障,也只能是安全研究者的个人操守。
同时,ZDI和iDefense的买家列表中,除了相关厂商,是否也会有FBI、CIA这样的官方机构,也不得而知。但可以肯定的是,任何一种新经济模式,都无法摆脱地缘政治的影响,新游戏规则由其制定者、执行者、跟随者、旁观者的定位不同,确定先发与后发的位置。
当然漏洞采集企业不是IT企业和民间研究资源互动的唯一方式,他们也乐于采用合作、鼓励、收编等很多方式建立相对直接的联系。 在如何调度民间力量方面,国际IT巨头企业都有自身的心得和特色,如微软在高校的微软俱乐部、MSDN社区的VIP评选等等,而在安全方面微软也创造了双管齐下的两手结合。一边积极的对黑客组织和个人所发现的漏洞进行快速处置,一边也采用悬赏缉拿的方式来锁定震荡波等病毒的作者。
但从安全角度,微软似乎更乐于赞助类似xcon一类的聚会,而苹果却显得更加个人主义,不介意公开的与民间黑客进行有名有实的个人互动。这似乎也是不同的企业文化使然。
但相关机制对国内企业还不成熟, 面对民力,或者是什么50万防火墙打擂之类的噱头,或者更在意产品出问题之后的危机公关。洗却炒作之后,其实都没有引火烧身的勇气。但对于理想飘摇迷离的产业环境来说,功利主义下必然导致做局于内而作秀于外,当产品未“绿”先“黄”,其安全性又有什么价值。
安全焦点峰会(XCon)将在8月4日-5日在京召开,而其中最引人注目的的嘉宾是GNU之父Richard Stallman。他演讲的题目是《The Danger of Software Patents》。从前几年漏洞挖掘的专门性讲坛,到自由软件奠基大师的登台。也许XCon也在走向黑客开放与共享精神本源的回归。但从分时系统革命到抬起五角大楼,黑客阶层破袭从来就不只是系统核心,而同样包括旧的秩序与体制。
最新漏洞:
国家信息安全漏洞共享平台(以下简称CNVD)发布了最新一期漏洞通告,在收集和整理的59个漏洞中,其中高危漏洞15个、中危漏洞14个、低危漏洞30个。上述漏洞中,可利用来实施远程攻击的漏洞有57个。经检测发现,网上已经出现针对“Wiki Web Help 'getpage.php' SQL注入漏洞”、“Linux Kernel 'btrfs'文件权限安全绕过漏洞”的day攻击代码,请广大用户注意做好防护措施。而目前其中33个漏洞,已经有官方的修补方案。
而CNVD重点提示的漏洞包括:
Adobe Reader/Acrobat的九个安全漏洞和IRC客户端KVIrc的两个安全漏洞等。本月漏洞也再次说明,在微软整个的漏洞响应能力已经完全体系化后,漏洞挖掘的关注度已经开始分散,而类似abobe这样的必备工具出品商,将成为重灾区。
1779
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
