不要指望微软会给那些披露其公司产品漏洞的安全人员发放什么奖金。
微软可信盘算部的总监Dave Forstrom在接收SearchSecurity.com的采访时表现,由谷歌和Mozilla建立的软件错误回购打算(bug buyback programs)和微软针对漏洞研究的策略是相违背的。Forstrom还表现,这种打算未能使得漏洞的处理过程透明化,最终对微软的用户也起不到什么帮助。
一般而言,谷歌会对那些发明Chrome浏览器漏洞的研究人员支付最多3133美元的费用。Mozilla的这一数字则为3000美元,不过针对的是Firefox浏览器的漏洞。
Forstom说:“我们认为,为每个漏洞支付必定的奖金并不能满足微软用户的最大利益,还有多种其他的道路可以让我们同安全研究人员开展合作,从而更好的服务于安全社区。比如说,微软可以通过承认研究人员的共同努力、援助各种安全会议,从而使得安全社区不断向前发展。”
上周,微软发布将转变自己现有的策略,立即在安全业界掀起了波涛,这也是这家软件巨头盼望见到的事情。微软把“负义务”这一字眼从自己的漏洞披露策略中拿掉了,并把自己的软件缺点报告打算(flaw-reporting program)更名为“协作的漏洞披露(coordinated vulnerability disclosure)”,这势必会转变人们关于漏洞披露的争辩。
这项声明得到了来自安全社区各种各样的反应。一些人认为去掉“负义务”这一词汇将转变安全研究人员和软件商之间长期对峙的局面,但对安全人员报告软件漏洞的方法并没有多大变更。
Forstrom目前正在参加本周举办的2010年度黑帽大会。他表现,漏洞披露是一个正在进行的话题,并不是只有微软一家公司在进行争辩。Forstrom说,“之所以要进行协作配合,其目标为了最大限度的满足用户的利益,并下降风险,不使之扩大。”
Adobe和微软在积极防御打算上开展合作
微软在2010年度黑帽大会上还发表了一项新的合作打算声明,微软信任这势必会加强自己的积极防御打算(Active Protections Program,MAPP)。
Adobe系统公司已在MAPP打算的框架内同微软展开合作,以便在微软发布漏洞补丁之前,提前得到详细的漏洞技巧材料。目前,已有65家安全厂商参加了该打算,这使得他们可认为自己的用户开发数字签名,并对漏洞攻击代码(exploit)进行检测。
Adobe公司负责产品安全和隐私的高级总监Brad Arkin表现,MAPP打算就像是专为Adobe而设计的一样,它能增加公司的透明度并减少攻击窗口期(attack window,即从漏洞发布到Adobe发布官方补丁之间的时间)。
Arkin说,“我们可以从安全厂商那里源源不断的获得反馈,微软的积极防御打算无疑是软件厂商之间得以分享信息的绝对标准(gold standard)。”
Arkin表现,Adobe公司在成为MAPP打算的会员之后,将会供给自己产品的安全信息,并将其称之为“多一层防御(one more layer of defense)”。这些数据将会按微软供给的模板进行格式化,所有在今秋成为MAPP会员的厂商都可以获得这些信息。
如果想参加MAPP打算,厂商必须能对至少1万名用户供给安全防御技巧,如反病毒、入侵检测系统和入侵防御系统等技巧。
最新减灾工具包(mitigation toolkit)
微软正在发行一款全新的工具,名叫“加强的减灾体验工具包(Enhanced Mitigation Experience Toolkit)”,其目标是帮助IT专业人员对现有的利用程序应用安全减灾技巧。该工具可以免费获取,在八月份就可供下载。
微软的Forstrom表现,对仍在运行微软老版本软件的公司而言,这款主动工具将尤其有用。比如,应用IE6的Windows XP用户在默认情况下会运行数据履行保护(DEP),但是堆喷射内存分配技巧(heap spray allocation,免遭攻击的内存减灾技巧)却需要手动进行。不过,应用这一全新的主动工具之后,IT专业人员就可以更加容易的对现有利用程序进行安全减灾。
相关阅读