Web 2.0时代下的安全漏洞披露新挑战与法律风险

本文探讨了Web 2.0时代安全漏洞披露面临的重大变化,从传统软件漏洞披露的"绅士准则"转向第三方网站漏洞研究的法律风险,强调了未经许可的研究可能构成网络犯罪,并提出了基于意图沟通的新披露范式。

新的安全披露格局

安全披露一直是一个有争议的话题,将“发现漏洞的人”与“对漏洞负责的人”对立起来。在安全披露成为一个正式话题之前,那些遵循某种道德准则的人通常试图遵循一种“绅士准则”,通常包括真诚地向供应商披露问题并给予供应商修复的机会。最终,这种非官方的披露行为准则受到了不同意识形态的影响,这使得很难知道披露者或供应商信奉哪种意识形态。因此,逻辑上的举措是将未成文的披露规则写下来,这就是RFPolicy的来源。请注意,目标不是指定披露的规则,而是记录一种特定的披露意识形态。记录某些内容使得在披露者向供应商提出安全问题时更容易传达预期的“交战规则”,可以这么说。鼓励其他人修改和记录他们自己的披露意识形态;重要的方面不是披露的过程,而是过程被双方沟通和理解。这真正突出了披露过程的整个基础:沟通。只要双方有效沟通,所采取的确切披露过程实际上是无关紧要的,这尤其包括关于时间表、预期沟通/更新等的期望沟通。因此,书面披露政策只是促进双方沟通以最终达成关于修复安全问题的解决方案的基础。

这一切在这些政策首次起草时运作良好;然而,所有这些披露意识形态都是建立在一个适合那个时代但不再成立的假设之上的。也就是说,这些意识形态都假设披露包含在传播软件中的安全问题,在封闭环境中发现。对安装在自己系统上的软件进行安全评估的行为通常被认为不会影响该软件的任何其他独立安装副本——安全研究人员本质上是在真空中进行安全研究,(理论上)他们的研究不会立即影响除自己以外的任何人。在这种背景下披露安全问题的目的是让供应商更新软件,以便其他软件用户在其安装中不会受到相同的安全问题影响。同样,这是那个时代的适当思维。然而,现在我们处于Web 2.0时代,这一切开始崩溃。无论是流行的网站、SaaS(软件即服务)产品等,有一件事立即不同:安全研究人员不再在封闭环境中行动,其行为的后果仅限于自己。被评估的事物的性质已经改变,因此我们需要一种新型的披露过程来适应Web 2.0范式。

不幸的是,这不仅仅是调整预期披露时间表和重新措辞一些披露政策段落以指定“网站更新”而不是“软件补丁”的简单问题。现在有更多因素在起作用。更重要的是,现在有更多风险。不,我不是指供应商和企业意识到他们有一个必须处理的大安全问题。不,我不是指当你有一个安全问题时发生的所有后果(宣传、金钱等)。你看,形势已经逆转。安全研究人员现在是面临风险的人。在你自己的封闭环境中审查已安装的软件,虽然在概念上受版权和其他知识产权侵权的影响,但在该确切背景下是足够良性的。然而,审查他人的生产网站(当然未经其许可)以查找安全问题本质上是一种犯罪活动。为了帮助使网站更安全而寻找漏洞与为了恶意目的而寻找漏洞之间有什么真正的区别?在初始阶段,两种方法涉及完全相同的技术活动/过程。唯一的区别是攻击者的意图——而意图只是一个人的主观心态,在法庭上很容易被(错误)解释。

没有真正实际的方法来改变在第三方托管网站上寻找安全问题的行为,使其100%清楚行为/意图不是恶意的(除了事先获得执行此类活动的许可)。此外,许多国家的法律和先例关于网络犯罪非常明确……它们直接定义、包含并惩罚许多善意的安全研究人员认为他们可以针对第三方网站执行的活动。是的,这些善意的安全研究人员可能没有恶意意图,但意图通常是一个事后指定,可能在活动被视为网络犯罪并被起诉之前不被考虑。因此,简单地说:无论你的意图如何,在第三方网站上(未经许可)寻找安全漏洞根据你国家的法律是非法的。句号。这个陈述如此重要,我将重复它:无论你的意图如何,在第三方网站上(未经许可)寻找安全漏洞根据你国家的法律是非法的。

法律就是法律,改变它是一个漫长而耗时的过程。虽然许多人可能不同意法律,但目前它仍然如此。如果你国家的法律涉及网络犯罪活动,那么在第三方托管网站上寻找安全漏洞很可能与利用第三方托管网站进行恶意目的没有任何区别。因此,旨在描述如何披露在第三方网站中发现的问题的披露政策和意识形态有点用词不当,因为研究人员通常应该被劝阻不要寻找,因为研究活动可能被视为犯罪!

当然,这是一个暗淡的观点,主张研究人员只是放任不管,我们都幸福地 unaware 世界上猖獗的安全问题,全部由于害怕起诉。为了互联网的利益和安全,需要有其他东西(不涉及全面的全球法律变更以 favor/accommodate 安全研究)。幸运的是,我认为有。

记住:善意研究人员和网络犯罪分子之间的区别是他们的总体意图。因此,解决这个难题的一个好方法是让研究人员向负责目标网站的供应商/第三方展示他们的意图。由于供应商/第三方决定是否进行刑事调查,知道研究人员的意图可能会改变他们启动调查的决定。虽然表面上简单,但仍然有很多注意事项:

  • 供应商/第三方必须愿意相应地识别不同的意图(善意的安全研究人员 vs. 网络犯罪分子)
  • 需要有一种可调和的方式让研究人员向供应商/第三方建立意图
  • 建立意图的方法应该劝阻网络犯罪分子使用该方法来伪装他们真实的(恶意)意图
  • 整个过程不应干扰或以其他方式阻碍供应商/任何事件响应过程,这些过程仍然需要及时处理真正的网络犯罪事件

这是一个很高的要求,但我相信是可能的。然而,为了工作,它将需要另一个范式转变:供应商/第三方将必须主动决定他们的参与水平,而安全研究人员将以更绝对的方式受供应商的决定约束。这与过去时代的传统披露意识形态相反,这些意识形态给研究人员优势。然而,如果研究人员真正想要能够评估第三方托管网站的安全问题而不受刑事处罚,他们需要在第三方愿意操作的范围内这样做。

我认为这可以如何完成的细节仍在草案阶段。希望在接下来的几周内,在接收并纳入反馈后,我将讨论一种方法的细节,希望能为如何处理这些类型的披露提供方向。关注此博客或 www.wiretrip.net 以获取详情。

——————

有关微软在线发现者承认的更多信息,请参见:http://www.microsoft.com/technet/security/acknowledge/default.mspx 和 http://www.microsoft.com/technet/security/acknowledge/faq.mspx

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次