尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
一、引言
工業和信息化部6月18日發布了《網路安全漏洞管理規定(征求意見稿)》(以下簡稱「意見稿」),征求意見稿條文不多,共12條,旨在通過系統地規範網路產品、服務和系統的安全漏洞報告、收集、信息發布、驗證、修補或防范等行為,保證網路產品、服務和系統的漏洞得到及時修復,加強網路安全漏洞管理,提高網路安全防護水平。
圖1:工信部公開征求對《網路安全漏洞管理規定(征求意見稿)》的意見
1.1. 安全社區對《網路安全漏洞管理規定(征求意見稿)》的反映
征求意見稿的發布在國內安全社區引起各種爭議。對此,現騰訊玄武實驗室負責人於暘認為,該規定限制了漏洞披露,而限制漏洞披露,就是削減漏洞研究的收益,結果必然會影響漏洞研究本身。
圖2:於暘新浪微博博文
另有匿名人士在微信公眾號撰文認為,在廠商的漏洞已經修補完畢的情況下,限制PoC工具和漏洞利用代碼以及漏洞相關的技術文章等的發布分享,必然限制漏洞研究的發展,限制安全社區的發展。安全社區沉寂了,黑產圈可以互相交換信息,更加活躍。[1]
此外,白帽匯趙武也發微博提醒注意把控發布漏洞信息的法律邊界,稱白帽匯曾因此類事件收到多起律師函。
圖3: 白帽匯趙武新浪微博博文
安全業界也積極就征求意見稿內容獻言獻策。7月3日,360公司就邀請了來自中國信息安全測評中心、國家互聯網應急中心、國家工業信息安全發展研究中心、中國電子技術標準化研究院、清華大學、樂融集團、安在新媒體、奇安信補天漏洞平台、KEEN團隊、知道創宇等相關單位的專家在北京舉辦「網路安全漏洞管理閉門研討會」,匯集業界對《征求意見稿》的建設性意見。
圖4: 360舉辦網路安全漏洞管理閉門研討會
安全社區的爭議聲音主要落在意見稿的規定內容限制了合理的漏洞信息發布,亦即限制漏洞披露。而限制了合理的漏洞披露,將阻礙安全研究的發展。基於此,本文將從目前常見的網路安全漏洞披露類型、國內網路安全漏洞報送和披露管道、中美關於網路安全漏洞披露管理方面的法律法規進行探討,分析當前網路安全漏洞披露管理面臨的挑戰,並給出相關對策建議。
二、常見的網路安全漏洞披露類型
常見的網路漏洞披露類型主要有不披露、完全披露、負責任的披露和協同披露四種。[2]
圖5:常見漏洞披露類型
2.1. 不披露和完全披露
在實踐中,漏洞被發現後,就進入了漏洞披露階段。漏洞發現者有可能不披露漏洞,對安全漏洞的相關信息完全保密,既不報送給廠商,又不向公眾公開。這種行為不考慮用戶安全和權益以及廠商聲譽和權益,漏洞極有可能在黑市交易,導致漏洞利用,引發網路安全危險,甚或引發漏洞利用攻擊。事實上,暗網中也的確存在大量待價而沽的高風險安全漏洞。
與此相反,為了敦促廠商盡快修復漏洞,發布補丁,並促使用戶採取措施保護自己,漏洞發現者也可能公開完全披露相關的漏洞信息。完全披露漏洞信息,未對廠商進行告警,廠商沒有充分的時間修復漏洞,漏洞信息也直接暴露給了潛在的惡意攻擊者。雖然完全披露漏洞信息,用戶可以較早地得知漏洞信息,但是絕大部分的用戶還是依靠廠商發布安全補丁,進行修復漏洞。這也是最為廠商詬病的行為,因為廠商需要趕在漏洞遭到惡意利用之前開發並發布安全補丁,而這通常難以做到,所以這種行為也被廠商稱為不負責任的披露。[3]
2.2. 負責任的披露
第三種披露類型是負責任的披露。漏洞發現者首先與廠商溝通,報送漏洞,漏洞發現者與廠商協商修復漏洞的時間期限,廠商與漏洞發現者保持溝通,及時告知更新漏洞驗證進展,修復進展和完成修復的目標日期,以便漏洞發現者了解進展情況。待廠商修復漏洞後,廠商再公告相關漏洞信息並發布補丁。在廠商發布補丁之前,漏洞發現者不向任何其他方披露。這種做法看似一種公平的協商方式,給了廠商一定的時間修復漏洞,在一定程度上能夠提高安全性,保護用戶。然而,實踐中,漏洞發現者和廠商可能發生爭議。
例如,漏洞發現者向廠商報送漏洞信息後,廠商超過時間期限未做出反映、未及時修復或拒絕承認該漏洞,漏洞發現者通常會選擇公布相關漏洞信息。比如,GoogleProject Zero團隊的安全研究人員TavisOrmandy在今年6月11日發推文公開了一個微軟Windows10 0day漏洞。微軟承諾在90天內修復該漏洞,結果並沒有,於是在第91天,Ormandy選擇公開了這個漏洞。
圖6:TavisOrmandy的推特推文
再比如,獨立安全研究人員Filippo Cavallarin在今年5月底公開了利用AppleGateKeeper繞過漏洞的方法,而Apple尚未修復該漏洞。Cavallarin在2月22日就負責任地向Apple報送了他的發現,但是Apple未能在90天的披露期限內修復問題並且開始忽略他的郵件,所以Cavallarin在5月底公開了相關的信息。
2.3. 協同披露
微軟在2010年開始推行漏洞協同披露機制,得到了美國CERT/CC、JPCERT/CC、ArCERT、MITRE、Open Security Foundation、JuniperNetworks、英特爾等機構和組織的響應。微軟也極力號召業界使用該機制,在2015年對外發出號召書。
圖7:微軟提倡協同漏洞披露機制
圖8:微軟號召使用協同漏洞披露機制
隨著安全漏洞協同披露為更多的組織所支持和倡導,美國卡耐基梅隆大學軟件工程研究所CERT部門於2017年8月15日發布了《CERT漏洞協同披露指南》。協同披露建立在負責任的披露的基礎上,引入了協調者,協調者通常在各方利益相關者之間扮演信息傳達或信息經紀人的角色。除了選擇向廠商報送漏洞外,漏洞發現者還可以將漏洞信息報告給協調者,常見的協調者有國家級CERT(如美國CERT、日本CERT、中國CNNVD和CNVD)、大型廠商的產品安全應急響應團隊(PSIRT)(如微軟、蘋果、思科、英特爾等大廠商自己內部的PSIRT)、安全研究組織(如政府機構和學術研究團隊)、漏洞賞金和商業中間平台(如HackerOne等眾測平台)、非政府性質的信息共享和分析組織和平台。協同披露重視各方之間共享漏洞信息,協同合作,有利於保護用戶、社會和國家安全。
這四種漏洞披露類型,不披露類型不考慮廠商和用戶權益,可能導致漏洞在黑市交易,致使漏洞遭到利用,引發網路安全風險;在完全披露下,用戶雖然可以較為迅速地得知漏洞信息,但廠商沒有充足的時間修復漏洞,漏洞可能遭到潛在攻擊者的利益,也存在較大弊端;負責任的披露類型為相當大一部分組織(如Google)和獨立安全研究人員所採用,一定程度上能夠提高安全性,保護用戶,存在積極的作用。但如果漏洞發現者和廠商之間溝通不暢,在未有修復方案之前,漏洞信息極有可能被公開披露。協同披露強調漏洞信息的共享,各方的協同合作,更為有利於保護網路安全。
三、國內網路安全漏洞報送和披露管道
國家信息安全漏洞共享平台(CNVD)和中國國家信息安全漏洞庫(CNNVD)是由國家相關職能部門維護的公共的非營利性的國家信息安全漏洞庫,負責統一采集收錄安全漏洞和發布漏洞預警公告。漏洞發現者可以將相關漏洞報送給CNVD或CNNVD。CNVD鼓勵安全研究人員報送漏洞。CNVD設置了漏洞獎勵計劃,安全研究人員報送漏洞獲得相應積分,可兌換京東E卡。
圖9: CNVD的積分兌換
對在漏洞提交方面有傑出貢獻的安全研究人員,CNVD也會公開進行表彰,例如,CNVD曾在2018年度工作會議上對8位有傑出貢獻的安全研究人員進行了表彰。做為國家級的安全漏洞庫,CNVD和CNNVD都對公開漏洞進行采集收錄,並對社會公布。
第三方漏洞平台是連接企業和安全研究人員之間的橋梁。安全研究人員發現漏洞後,可以報送給第三方平台,獲取一定的獎勵。目前國內比較大的第三方漏洞平台主要有補天和漏洞盒子。但是即使在漏洞得到修補後,補天和漏洞盒子也不會披露漏洞的相關信息。這一點有別於國外HackerOne平台的做法。在取得漏洞發現者和廠商的一致同意後,HackerOne會公開漏洞的相關信息。
自騰訊在2012年建立自己的安全應急響應中心(SRC)後,越來越多的企業也紛紛自建安全應急響應中心,例如阿里巴巴、百度、網易等互聯網企業,接收和處理與企業的產品或服務相關的安全漏洞。但是國內SRC未見公開披露本企業的安全漏洞。這一點不同於企業的產品安全應急響應團隊(PSIRT)。企業的PSIRT的作用類似於SRC,但是多數PSIRT,例如華為PSIRT,會在修補漏洞後,對社會公開相關漏洞信息,提醒用戶漏洞風險,告知解決方案或緩解措施,致謝報送漏洞的安全研究人員。
圖10: 華為PSIRT致謝安全研究人員
關於安全漏洞的報送和披露途徑,國內目前已基本形成國家安全漏洞庫,第三方漏洞平台和企業SRC或PSIRT並存的結構。
四、中美關於網路安全漏洞披露管理方面的法律法規
4.1. 國內關於網路安全漏洞披露管理方面的法律法規
安全漏洞披露的前提是漏洞的報送,而漏洞報送的前提則是漏洞挖掘。漏洞挖掘涉及對計算機系統的訪問。《中國人民共和國刑法》第二百八十五條、第二百八十六條規定了非法侵入計算機信息系統罪、非法獲取計算機系統數據罪、非法控制計算機信息系統罪、破壞計算機信息系統罪。從2016年的袁煒案可看出大陸法律當前對漏洞挖掘,或者說對計算機系統非授權訪問行為持否定性評價。
大陸關於網路安全的立法起步較晚,2016年11月發布了《中華人民共和國網路安全法》。其中第十條規定了建設、經營網路或網路服務方維護網路數據的完整性、保密性和可用性的義務;第二十二條和二十五規定網路產品、服務的提供者修復漏洞,告知用戶和向主管部門報告的義務;第二十六條規定向社會發布漏洞等網路安全信息應遵守國家有關規定;第二十七條規定個人和組織不得非法侵入他人網路、干擾他人網路正常功能、竊取網路數據。
當前大陸關於漏洞挖掘和披露方面的立法多以禁止性規定和責任性規定為主,將情節和後果做為認定犯罪的依據,且缺少對善意安全研究人員的保護。
4.2. 美國關於網路安全漏洞披露管理方面的法律法規
作為世界信息產業的發源地,美國的信息化水平一直處於世界領先地位,發展程度也是全球最高。信息化的高速發展,伴隨而來一系列安全漏洞的發現和披露問題。在網路安全漏洞的披露方面,美國也制定了各種法律並結合政策手段加以規範。2001年出台的《愛國者法案》、《2002年關鍵基礎設施信息法》及2013年發布的《提高關鍵基礎設施的網路安全》鼓勵個人和組織向政府披露漏洞信息,以減少網路入侵事件,提高網路安全的信息共享並為用戶營造可信賴的網路環境。美國國防部2004年1月發布的漏洞披露政策,允許自由安全研究人員通過合法途徑披露國防部公眾系統存在的任何漏洞。2017年7月,美國司法部犯罪科網路安全部門發布《在線系統漏洞披露計劃框架》,幫助組織機構制定正規的漏洞披露計劃。美國已從政策、立法和程序上,構建了國家層面統一的網路安全漏洞披露協調和決策機制。上述法律法規的時間線如下圖所示:
圖11:美國漏洞披露相關法律法規時間線
美國充分認識到善意的安全研究人員在關鍵信息系統的漏洞發現方面的價值,一方面對未經授權的漏洞發現和披露行為進行規範,另一方面加大對善意的安全研究人員漏洞發現和合法披露的保護。美國國防部2016年開始通過安全漏洞披露平台HackerOne發起三大漏洞獎勵項目:「入侵五角大樓(Hack the Pentagon)」,「入侵陸軍(Hackthe Army)」和「入侵空軍(Hackthe Air Force)」,允許善意安全研究人員在不觸犯法律的前提下訪問並探尋政府系統。像HackerOne這樣的安全眾測平台,在漏洞發現和披露過程中扮演著越來越重要的作用。
圖12:美國國防部在HackerOne的報告接收頁面
圖13:美國國防部在HackerOne上的三大漏洞獎勵項目
五、相關建議
我們應建立健全合理的漏洞披露管道和機制,通過法律或漏洞披露策略明確責任和權利,幫助安全研究人員在法律的保護下分享信息和技術,才能有效促進安全社區的健康發展和安全技術的進步。同時,應該鼓勵更多的協調機制,加強安全研究人員和廠商之間的交流,而不是簡單直接向公眾公開披露。
安全漏洞發布機制的健全與否對於修補漏洞有著積極的意義,及時、準確地將漏洞消息通知用戶,使用戶了解自己的系統的缺陷,及時進行修補,提高系統的安全性,避免黑客攻擊,對於企業、組織和團體乃至一個國家而言都有非常重要的現實意義。
參考資料:
[1] 匿名,關於《網路安全漏洞管理規定》的一些意見,公眾號二道情報販子,2019年6月19日。檢索日期2019年7月10日.
[2] 黃道麗,網路安全漏洞披露規則及其體系設計[J]. 暨南學報(哲學社會科學版),2018.
[3] 壞蛋是我,安全滲透測試筆記——-安全漏洞披露方式與安全漏洞公共資源庫,https://blog.csdn.net/henni_719/article/details/77962007,檢索日期2019年7月15日.
[4] 中華人民共和國工業和信息化部,《網路安全漏洞管理規定(征求意見稿)》.
[5] tombkeeper,2019年6月19日微博博文,https://weibo.com/101174?is_search=0&visible=0&is_all=1&is_tag=0&profile_ftype=1&page=2#feedtop,檢索日期2019年7月5日.
[6]aqniu,網路安全漏洞管理閉門研討會召開,https://www.aqniu.com/industry/50910.html,檢索日期2019年7月15日.
[7] xplanet,Google研究員披露Windows10 0day漏洞,https://www.oschina.net/news/107413/warning-windows-10-0day-vulnerability-outed-by-google-researcher,檢索日期2019年7月5日.
[8] DaveyWinder,Warning:Google Researcher Drops Windows 10 Zero-day Security Bomb,https://www.forbes.com/sites/daveywinder/2019/06/12/warning-windows-10-crypto-vulnerability-outed-by-google-researcher-before-microsoft-can-fix-it/#526e3a3f2fd6,檢索日期2019年7月5日.
[9]Mohit Kumar,NewMac Malware Exploits Gatekeeper Bypass Bug that Apple Left Unpatched,https://thehackernews.com/2019/06/macos-malware-gatekeeper.html,檢索日期2019年7月5日.
[10] MicrosoftSecurity Response Center,Microsoft’s Approach to Coordinated Vulnerability Disclosure,https://www.microsoft.com/en-us/msrc/cvd?rtc=1,檢索日期2019年7月5日.
[11]MSRC Ecosystem Strategy Team,Coordinated Vulnerability Disclosure: Bringing Balance to the Force,https://blogs.technet.microsoft.com/ecostrat/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force/,檢索日期2019年7月5日.
[12]Chris Betz,ACall for Better Coordinated Vulnerability Disclosure,https://blogs.technet.microsoft.com/msrc/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure/,檢索日期2019年7月5日.
[13] 國家信息安全漏洞共享平台召開2018年度工作會議,https://www.cert.org.cn/publish/main/12/2018/20181127122459099693364/20181127122459099693364_.html,檢索日期2019年7月15日.
[14] 雷建平,白帽子提交世紀佳緣漏洞後已被抓3個月 拷問網路安全邊界,https://tech.sina.com.cn/zl/post/detail/i/2016-07-06/pid_8507899.htm,檢索日期2019年7月15日.
[15]Carnegie Mellon University Software Engineering Institute,CERT Guide to Coordinated Vulnerability Disclosure Released,https://www.sei.cmu.edu/news-events/news/article.cfm?assetID=503398,檢索日期2019年7月5日.
[16]Allen D. Householder,GarretWassermann,Art Manion,ChristopherKing,TheCERT Guide to Coordinated Vulnerability Disclosure,https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=503330,檢索日期2019年7月5日.
[17]Elaine_z,美國國防部「黑了空軍(Hackthe Air Force)」漏洞獎勵計劃即將啟動,仍由HackerOne經營,https://www.freebuf.com/news/133433.html,檢索日期2019年7月5日.
[18] 孟江波,張玉清,美國安全漏洞發布機制分析研究,全國網路與信息安全技術研討會’2005
[19] U.S. Department of Justice,A Framework for a Vulnerability Disclosure Program for Online Systems.
*本文原創作者:偶然路過的圍觀群眾,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載
精彩推薦