软件漏洞该如何披露 安全人员获利惹争议

　　CNET科技资讯网8月6日国际报道一家采用有争议商业模式的新创安全厂商成为了有关应当如何披露安全漏洞大讨论的中心。

　　与许多其他安全厂商一样，Vulnerability Discovery and Analysis(VDA)Labs也向软件厂商通报它们软件中的漏洞。但是，作为商业模式的一部分，软件厂商需要向VDA付费，否则，VDA将把缺陷的详细资料出售给第三方，或公开安全缺陷。VDA创始人迪摩特称其商业模式是“急躁”，其他安全研究人员则认为这简直就是勒索。

　　就在两周前，社交网络站点LinkedIn就“品尝”了VDA的商业模式，VDA声称发现了LinkedIn IE工具条中的一个危急缺陷。迪摩特在7月10日发送给VDA的一封电子邮件中说，我们已经发现了针对LinkedIn的攻击。如果你对该缺陷有兴趣，我们愿意给你予优先购买权，我们还愿意对你的产品进行更完整的安全检查，帮助提高它的安全性。

　　如果你不愿意购买，我们将把相关资料出售给第三方或公开这些资料，以避免使用户受到影响。我们非常希望保证用户的安全。我们愿意优先将缺陷资料出售给厂商而不是第三方或公开相关资料。如果你愿意购买缺陷资料，我们将提供有效的攻击代码，以方便你进行验证，然后再付款。

　　VDA要求LinkedIn在7月17日前给出回复，并要求LinkedIn支付5000美元。在没有LinkedIn的回复后，迪摩特于7月16日晚上又给LinkedIn发送了二封电子邮件，一封提醒LinkedIn最后期限已经逼近，另一封则把价码提高到了10000美元。

　　在最后期限过去二天后，迪摩特公开了缺陷详细资料，并再次致函LinkedIn。他说，如果你们公司政策是不购买缺陷报告，你们愿意与VDA签订安全咨询合同吗？我们将在报告中包括这一缺陷。我真的是被迫公开了缺陷资料。

　　LinkedIn没有发表评论。它修正了VDA发现的缺陷。

　　迪摩特对其公司的商业模式进行辩护，并指出，通过向用户发出预警，并促使厂商修正安全缺陷，这有助于保护用户的安全。

　　他说，我们的商业模式有些急躁，但我们从来不认为它是勒索。我们希望能够引起厂商的注意，修正安全缺陷不会给厂商带来利润，它们更大的兴趣在于出售更多的产品。

　　一些软件公司政策是不与安全研究人员合作，只解决由客户提出来的安全缺陷。

　　其他安全研究人员对VDA的商业模式提出了批评。VeriSign/iDefense Research Lab主任弗雷德里克表示，如果有人说发现了你产品中的缺陷，要求你付款，否则就出售给第三方或公开缺陷资料，这就是勒索。

　　Sans Institute首席研究员乌里奇表达了相似的看法。他说，我认为这就是勒索，尤其是威胁如果收不到钱就公开缺陷资料。

　　Tipping Point安全响应中心的经理特里表示，VDA并不是唯一一家采用这种商业模式的公司。她表示，在2000-2005年在微软任职时，她曾经遇到过约十多次这样的情况。

　　她说，包括微软在内的大多数大公司都有严格的政策，不会购买安全缺陷。因此，这种强迫厂商花钱水灾的做法就是勒索。

　　但是，迪摩特表示，他的公司已经获得了一些成功。在过去的4个月中，约有半数潜在的客户购买了他们的缺陷资料，其余的则拒绝了他们的要求。乌里奇称这类客户是在“花钱买保护”，我认为这不是一种合法的商业模式。

　　安全研究人员表示，“捉虫人”有多种方法可以获得收入。在一片缺陷买主可能是恶意黑客的质疑声中，拍卖站点WabiSabiLabi在本月早些时候开张了。

　　WabiSabiLabi策略主管罗伯托在一封电子邮件中说，自7月9日开张以来，已经有约20个缺陷待价而沽，价格从200-2600欧元不等。

　　他说，应当考虑到这一市场才刚刚开张，真正价值要到至少6个月后才能显现出来。该站点已经售出了3个缺陷。

　　“捉虫人”获得报酬的方法包括与软件厂商达成对它们产品进行安全检查的合同，或者参与由Tipping Point、iDefense、Mozilla Foundation提供的缺陷报告计划。

　　Tipping Point在2005年推出了Zero Day Initiative，根据这一计划，Tipping Point将向发现缺陷、概念证明代码、攻击代码的安全研究人员支付报酬。

　　特里指出，如果研究人员能够开发出概念证明型代码，他们通常会得到更多的报酬。迪摩特要求的金额与我们提供的基本相同，但这种方式是令人无法接受的。

　　Tipping Point购买安全缺陷和攻击代码后，会无偿提供给软件厂商，并根据这些资料对其Intrusion Prevention产品进行更新。

　　iDefense的iDefense Vulnerability Contributor Program(VCP)有着相同的理念。二者主要差别是：在验证信息和无偿向厂商提供信息后，iDefense还会向其客户通报相关资料，在厂商发布补丁软件前开发临时性解决方案。

　　弗雷德里克表示，VCP向研究人员提供了获得合法报酬的途径。他指出，报酬可能在200-10000美元之间。

　　对于在其软件中发现的每个严重缺陷，Mozilla Foundation提供500美元的报酬。

　　迪摩特表示，VDA Labs并不一定坚持其商业模式，可能对它进行调整。他说，如果我们的商业模式不能获得预期的成功，我们的重点可能转向政府或商业合同。