瓦瑟纳尔新规将冲击漏洞市场
作者: 日期:2015年06月12日 阅:3,124

5

漏洞奖励已不算是非常新鲜的事物,并渐渐发展成为平常之需。不仅公司企业希望能够从奉公守法的漏洞挖掘人员那里获取信息,找到自身的弱点,另一方面也是大量独立研究人员从厂商和第三方漏洞奖励平台上赚取生活费的途径。

但是美国工业与安全局最近对瓦瑟纳尔协定提出的修改,却给上述靠漏洞奖励吃饭的各方都提出了真正的挑战。

这些规定旨在抑制两用武器的买卖和交易,在计算机安全语境下,两用武器就是所谓的入侵软件,如FinFisher和HackingTeam之类据称卖给专制国家用于监视国民的。安全研究人员在美国公布新规的两周里已经表达了他们对此提案的关注,他们认为新规对入侵软件的定义过于宽泛,合法的漏洞研究和概念验证(PoC)将受到监管。(相关阅读:《代码即武器:美国开始控制漏洞市场》)

这就意味着发现了零日漏洞并做出触发漏洞利用的概念验证程序的研究人员将不得不先申请出口许可证才能向受影响的厂商透露他们的发现。因此,将会出现这样的情况:国外研究人员发现了零日漏洞,却不得不先跟本国政府共享漏洞细节,再通知受影响的厂商。

如果这份提案被正式实施,也就意思着需要经政府批准,并且极可能要与政府共享漏洞细节,那么申请出口许可证的额外负担肯定会打击安全研究人员花费时间精力去挖掘和提交漏洞的积极性,造成更多的研究人员选择不去报告漏洞,甚至根本不去做研究。

至于厂商,肯定不愿意在修复漏洞之前让外国政府知道自己软件或系统的详细漏洞信息。而且政府总能找到理由拒绝发放出口许可证,不仅使研究人员的生计处于危险境地,还能在审批过程中获悉可被加入到政府武器库的严重漏洞的细节。最终的结果就是阻止了漏洞奖励项目以及跨国厂商之间的漏洞协作,更不用说研究人员合作共享概念性验证代码的权利了。

一些研究人员对提案中过宽的入侵软件定义持反对意见,因为很显然,漏洞奖励计划、与漏洞利用有关的攻防竞赛,甚至是安全人才培训都会受到这一定义的影响。而且,考虑到很多政府,尤其是美国也在从研究人员手中购买零日漏洞,出口许可这一规定就给政府免费获取零日漏洞开辟了康庄大道。即使政府愿意出钱,也会阻碍厂商获悉和修补漏洞的渠道。

在网络安全圈里,漏洞奖励是一个相对较新的现象。国际上的Bugcrowd和HackerOne是最大的两家独立平台,国内影响力最大的第三方漏洞提交平台是乌云,但360补天计划和腾讯TSRC也都开放了第三方漏洞提交。此外,包括国际上的微软、谷歌、惠普(零日计划)、脸书、雅虎,国内的网易、京东、新浪、金山、迅雷、携程、小米、搜狗等等绝大多数主要互联网或科技厂商都提供了某种形式的漏洞奖励项目。

独立研究人员的收入通常分化巨大。西方国家里,大部分研究人员都有正职,漏洞奖励只是补贴他们收入的一个兴趣爱好。但在中东地区、菲律宾、拉丁美洲和东欧,包括中国的许多白帽子,他们全部的收入来源就向多个项目提交漏洞以获取奖励。

某个漏洞有时候会在多个有着同样的底层业务逻辑缺陷的产品中重现。每个漏洞奖励项目不仅要为漏洞研究付账,还要支付随后的补丁或客户代码修改费用。在某些情况下,这有可能会是一笔巨款。因此研究人员或第三方平台想要负责任地披露漏洞,其中一种方式就是POC(概念验证漏洞利用)。这是漏洞奖励中甚为重要的一环,也是受瓦森纳尔新规影响最大的一环。毕竟,概念验证就是开发者用以修复漏洞的基础。

但不管怎样,中国不属于瓦瑟纳尔协定的签约国,而且国外人员给中国科技厂商提交漏洞的实例少之又少。因此,目前瓦瑟纳尔协定新规会对中国产生什么样的影响还不好判断。

瓦森纳协定的修改方案现在正出于征求意见阶段,7月20日结束。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章