專業性/軟體漏洞披露

介紹

軟體很少完美。龐大的網路安全人員短缺以及程式設計師的安全教育不足，為不安全系統的開發創造了完美的環境。^[1] 商業競爭將公司的重點從質量轉移到速度，導致軟體缺陷漏網。這些缺陷可能在系統被許多使用者積極使用時重新出現。

軟體漏洞披露是指將應用程式安全缺陷的詳細資訊釋出給特定受眾的行為。在行業中，這些缺陷通常被稱為“零日漏洞”（或當被武器化時稱為“零日漏洞利用”）。根據通訊方式和受眾的不同，這種披露可能導致完全不同的結果。這些缺陷的知識可以帶來價值，將其轉化為“漏洞價值”。

實際考量

漏洞的重新發現率很高。研究人員估計，每年至少有 15% 到 20% 的漏洞會被獨立發現兩次以上，超過之前的預期。^[2] 某些披露方法或缺乏披露可能會導致漏洞得不到修復，從而使該系統的每個使用者都面臨重大風險。

在最近的過去，許多組織認為，只要沒有人看到程式碼內部，它就是安全的。這被稱為“透過模糊來保證安全”。^[3] 如果有人發現了漏洞，通常的做法是忽略研究人員或以法律訴訟威脅他們，從而使漏洞得不到修補。2011 年，一位澳大利亞安全專家帕特里克·韋伯斯特 (Patrick Webster) 曾在警察局擔任安全分析師，他發現了 First State Super 公司擁有的軟體中的一個嚴重安全漏洞。在使用該系統時，他發現了一個漏洞，允許使用者從該網站所有 770,000 名使用者（包括警察和政客）中提取全名、地址、年齡、保險資訊、資金金額、受益人和僱主資訊。發現後，他立即通知了公司，認為自己是在做好事。幾天之內，他的賬戶被停用，電腦被沒收，他被指控對修復該漏洞的任何費用負責。^[4] 在某種程度上，發現漏洞意味著你攻擊了該系統。如果沒有明確的書面許可或“漏洞賞金”計劃，這些發現將研究人員置於法律灰色地帶。韋伯斯特的錯誤在於，他在檢視漏洞時實際上將資料下載到了自己的電腦上，這一點被 First State 公司用來攻擊他。這種報復會導致研究人員害怕報告他們發現的漏洞的負面影響。幸運的是，新的法律正在頒佈，保護這些告密者的權利。^[5]

披露後，供應商往往缺乏行動。保加利亞的安全研究員詹姆斯·格倫 (James Glenn) 在思科影片監控系統中發現了一個漏洞。在向他的主管和思科的事件響應團隊提交詳細報告後，沒有采取任何行動。在跟蹤並會見思科代表後，他在 3 天內被解僱。這個問題直到幾年後美國政府對思科提起訴訟才得到解決。^[6]

披露選項

在有意或無意地發現錯誤後，研究人員有多種選擇和披露路徑。

不做任何事。 這會讓每個使用該系統的人都面臨風險。如果研究人員被駭客攻擊，攻擊者可以竊取漏洞並自行使用。這發生在美國等政府身上，他們囤積漏洞，理由是將來可能需要這些漏洞。^[7]
向供應商報告漏洞。 這會將研究人員置於公司的掌控之下，該公司可能會獎勵他們或起訴他們。與其他買家相比，貨幣獎勵通常較少。公司致力於保護其資料的安全，而資料洩露會嚴重損害其聲譽，但它們往往低估了風險。
公開發布漏洞。 這顯然有負面影響，因為現在任何人都可以（即使是沒有安全經驗的人，被稱為“指令碼小子”）利用這個漏洞並使用它，因為還沒有現成的補丁。更糟糕的是，其中一些漏洞需要很長時間才能修復。
在灰色/黑市上出售漏洞。 這會將漏洞利用掌握在可能想要執行其議程的國家或惡意行為者手中。收益通常最高，但研究人員會失去對漏洞如何使用的控制權。

這些選項中的每一個都有不同的副作用。可以努力快速修復漏洞，發財，或者保持現狀，避免任何職業風險。這些選項中的每一個都有自己的負面後果，因此必須權衡利弊。根據自己的目標和對道德的理解，每位研究人員都必須自己做出選擇，幾乎所有上述選擇都可以被證明是合理的。這些心態可以歸類為三種一般動機：利他主義、利潤或政治。

公開披露

如今，研究人員可以選擇在網上釋出零日漏洞。這通常是為了吹噓，而不是出於惡意。如果研究人員對漏洞沒有得到足夠的關注或重視，也可能會選擇這種披露方式。亞利桑那州的母親米歇爾·湯普森 (Michele Thompson) 就遇到了這種情況，她在嘗試聯絡這家科技巨頭幾天後，在推特上釋出了蘋果 FaceTime 應用程式中的一個漏洞。湯普森的 14 歲兒子發現了一種方法，可以透過這種方法使用 FaceTime 在不提醒被叫手機的情況下接收來自遠端來源的音訊。^[8] 當她意識到自己的電話沒有得到回應時，湯普森轉向推特，揭露了這個安全問題，這迅速提高了蘋果對該問題的重視程度。雖然這不像負責任的披露那樣常見，但公開披露代表了一種讓關鍵問題聲名大噪的可行方法。這種方法確實讓研究人員有可能面臨公司的潛在法律訴訟，聲稱研究人員非法入侵了他們的產品。

負責任的披露

目前，披露零日漏洞最常見的方法是一種類似談判的方式，研究人員與相關方簽訂合同。這份合同會給公司一定的時間（通常是 90 天，這是由谷歌的“Project Zero”專案設立的先例），用於複製和解決漏洞。時間期限過後，研究人員可以自由釋出漏洞，以獲得吹噓權或任何其他目的。理想情況下，這能讓客戶在漏洞釋出並可能被濫用之前有時間修復問題。然而，在某些情況下，負責任的披露協議可能無法為公司留出足夠的時間來修復更復雜的漏洞，或者客戶可能認為漏洞優先順序過低，不值得處理。對於研究人員來說，負責任的披露流程也可能十分繁瑣，他們可能要經過數天或數週的乏味溝通才能看到結果。一些公司為在系統中發現漏洞的研究人員提供常設獎金。微軟目前為 Azure 雲服務的漏洞提供高達 30 萬美元的獎金。但這可能導致公司要篩選大量複雜的漏洞報告，不可避免地會遺漏一些。負責任的披露實踐自然而然地催生了規模更大的公司，它們建立了自己的漏洞定價模式和時間框架，能讓客戶避免與研究人員進行艱難的漏洞價格談判。這些專案，如 Zerodium 和 Project Zero，讓負責任的披露更有條理。

不負責任的披露

不負責任的披露是指以除通知負責該軟體的公司或供應商以外的任何方式披露漏洞。它可以有多種形式，通常是研究人員為了個人利益（無論是透過支付還是吹噓權）而採取的行動。這就是軟體漏洞披露的倫理問題所在，研究人員面臨著道德行為或為了個人利益而採取不道德行為的選擇。一位綽號為“SandboxEscaper”的安全研究人員在推特上釋出了一個利用 Windows 缺陷的零日漏洞。她似乎對微軟的漏洞賞金計劃感到沮喪，這表明公司必須擁有可用的漏洞報告系統。公司也曾犯下不負責任的披露錯誤。MedSec 是一家網路安全公司，發現聖猶達醫療裝置中的漏洞。他們沒有通知聖猶達，而是與一家投資公司合作，在披露此漏洞之前做空聖猶達股票，從而從發現中獲利。^[9] 許多安全領域人士反對此舉，因為協議規定 MedSec 應該在發現漏洞後首先通知聖猶達。

未披露

在某些情況下，研究人員或組織發現漏洞後，選擇不以任何形式披露，而是自己利用漏洞。這種情況的常見案例是政府機構或公司發現漏洞，並發現可以利用漏洞獲取自身利益的機會，通常是收集更多關於競爭對手/國家的資訊。NSA 就是一個著名的例子。NSA 發現了一個影響多個 Windows 版本的嚴重漏洞。他們沒有通知微軟，而是將該漏洞用於名為 EternalBlue 的工具中，並將其用於秘密目的長達近五年。^[10] 2017 年，該工具的程式碼被洩露，並被用於名為 WannaCry 的勒索軟體攻擊中，這成為有史以來規模最大的網路攻擊之一。^[11] NSA 只是在程式碼洩露後才通知微軟該漏洞，並遭到了科技界的強烈批評。

漏洞市場

許多研究人員選擇將自己的漏洞出售給第三方市場，通常尋求比負責任地披露漏洞更高的回報。研究人員將這些市場劃分為三類：白市、灰市和黑市。白市包括漏洞賞金計劃或負責任地向相關方披露漏洞。選擇在這些市場上出售的研究人員可以獲得豐厚的回報，並且不應該期望漏洞在短期內得到解決。

灰市

灰市主要是一個平臺，政府機構、國防承包商和其他經紀人可以在此購買軟體漏洞。通常，某種實體會充當中間人，讓買方和賣方都能保持匿名。在這個市場上進行的交易在技術上是合法的，買方往往支付的價格低於黑市。

黑市

黑市性質更加惡劣，通常涉及想要將軟體漏洞用於某種非法目的的各方。犯罪組織通常是這個市場的買方，不過一些在灰市無法滿足需求的政府機構也可能使用黑市。在這個市場上進行的交易幾乎總是違法的，並且發生在暗網上，即不受普通瀏覽器索引的網際網路部分。因此，在這個市場上更容易保持匿名。黑市上的交易平均支付的價格也最高。

參考文獻

↑ Crumpler, W., & Lewis, J. A. (2019, January 29). The cybersecurity workforce gap. CSIS. https://www.csis.org/analysis/cybersecurity-workforce-gap
↑ Herr, T., Schneier, B., & Morris, C. (2017, July). Taking Stock: Estimating Vulnerability Rediscovery. Harvard Kennedy School Belfer Center. https://www.belfercenter.org/sites/default/files/files/publication/Vulnerability%20Rediscovery%20%28belfer-revision%29.pdf
↑ SecurityTrails. (2020, February 13). Security through obscurity. https://securitytrails.com/blog/security-through-obscurity
↑ Whittaker, Z. (2018, February 19). Lawsuits threaten infosec research — just when we need it most. ZDNet. https://www.zdnet.com/article/chilling-effect-lawsuits-threaten-security-research-need-it-most/
↑ Rodriguez, K., Opsahl, K., Cardozo, N., Williams, J., Ugarte, R., & Israel, T. (2018, October 16). Protecting security researchers' rights in the Americas. Electronic Frontier Foundation. https://www.eff.org/wp/protecting-security-researchers-rights-americas
↑ Goodwin, B. (2019, August 9). Whistleblowers: James Glenn’s battle with Cisco opens new front on cyber security. Computer Weekly. https://www.computerweekly.com/news/252468089/Whistleblowers-James-Glenns-battle-with-Cisco-opens-new-front-on-cyber-security
↑ Chappell, B. (2017, May 15). WannaCry ransomware: Microsoft calls out NSA for 'stockpiling' vulnerabilities. NPR. https://www.npr.org/sections/thetwo-way/2017/05/15/528439968/wannacry-ransomware-microsoft-calls-out-nsa-for-stockpiling-vulnerabilities
↑ McMillan, R. (2019, January 29). Teenager and his mom tried to warn Apple of FaceTime bug. The Wall Street Journal. https://www.wsj.com/articles/teenager-and-his-mom-tried-to-warn-apple-of-facetime-bug-11548783393
↑ Bone, J. (n.d.). Independent research firm confirms St. Jude security vulnerabilities. MedSec. https://medsec.com/entries/stj-lawsuit-response.html
↑ Burgess, M. (2017, June 28). Everything you need to know about EternalBlue – the NSA exploit linked to Petya. Wired. https://www.wired.co.uk/article/what-is-eternal-blue-exploit-vulnerability-patch
↑ Sherr, I. (2017, May 19). WannaCry ransomware: everything you need to know. Cnet. https://www.cnet.com/news/wannacry-wannacrypt-uiwix-ransomware-everything-you-need-to-know/

[1] Crumpler, W., & Lewis, J. A. (2019, January 29). The cybersecurity workforce gap. CSIS. https://www.csis.org/analysis/cybersecurity-workforce-gap

[2] Herr, T., Schneier, B., & Morris, C. (2017, July). Taking Stock: Estimating Vulnerability Rediscovery. Harvard Kennedy School Belfer Center. https://www.belfercenter.org/sites/default/files/files/publication/Vulnerability%20Rediscovery%20%28belfer-revision%29.pdf

[3] SecurityTrails. (2020, February 13). Security through obscurity. https://securitytrails.com/blog/security-through-obscurity

[4] Whittaker, Z. (2018, February 19). Lawsuits threaten infosec research — just when we need it most. ZDNet. https://www.zdnet.com/article/chilling-effect-lawsuits-threaten-security-research-need-it-most/

[5] Rodriguez, K., Opsahl, K., Cardozo, N., Williams, J., Ugarte, R., & Israel, T. (2018, October 16). Protecting security researchers' rights in the Americas. Electronic Frontier Foundation. https://www.eff.org/wp/protecting-security-researchers-rights-americas

[6] Goodwin, B. (2019, August 9). Whistleblowers: James Glenn’s battle with Cisco opens new front on cyber security. Computer Weekly. https://www.computerweekly.com/news/252468089/Whistleblowers-James-Glenns-battle-with-Cisco-opens-new-front-on-cyber-security

[7] Chappell, B. (2017, May 15). WannaCry ransomware: Microsoft calls out NSA for 'stockpiling' vulnerabilities. NPR. https://www.npr.org/sections/thetwo-way/2017/05/15/528439968/wannacry-ransomware-microsoft-calls-out-nsa-for-stockpiling-vulnerabilities

[iphone-8] McMillan, R. (2019, January 29). Teenager and his mom tried to warn Apple of FaceTime bug. The Wall Street Journal. https://www.wsj.com/articles/teenager-and-his-mom-tried-to-warn-apple-of-facetime-bug-11548783393

[MedSec-9] Bone, J. (n.d.). Independent research firm confirms St. Jude security vulnerabilities. MedSec. https://medsec.com/entries/stj-lawsuit-response.html

[EB-10] Burgess, M. (2017, June 28). Everything you need to know about EternalBlue – the NSA exploit linked to Petya. Wired. https://www.wired.co.uk/article/what-is-eternal-blue-exploit-vulnerability-patch

[WC-11] Sherr, I. (2017, May 19). WannaCry ransomware: everything you need to know. Cnet. https://www.cnet.com/news/wannacry-wannacrypt-uiwix-ransomware-everything-you-need-to-know/

[9]

[10]

[11]