从某种程度说,软件中发现
安全漏洞是不可避免的。问题在于发现漏洞后采取的措施。最重要的是以受其影响的所有用户均可明白的形式公布漏洞信息和补丁程序。既然无法提供完全不存在漏洞的产品,那么信息公开就是供应商必须履行的一项义务。
但软件
开发商好象并不这么想。尽管与以前相比感觉有所改善,但仍有不少开发商发现漏洞后并没有积极地予以公布。而且即便开发出了修正漏洞的补丁程序或排除了漏洞的修订版本也是“偷偷地”公布。也就是说,尽管制定了安装补丁程序和版本升级等对策,但并不完全公布安全信息。
也许这种行为主要是出于如果公布发现了安全漏洞,会有损于企业及产品形象的考虑,但是如果刻意隐瞒的话,反而不仅会真的损坏企业形象,甚至会把重要客户置于危险境地。对于这一点,甚至连提供网络安全产品和服务的开发商都认识不足。
安全服务中存在安全漏洞
6月底,在日本著名网络安全产品开发商——赛门铁克和趋势科技各自提供的免费安全检测服务中发现了漏洞。在使用服务时所下载的Active X控件中存在漏洞。
即便是只使用过一次服务的用户,如果访问了某些做了手脚的Web页面,也有可能在机器上运行嵌入到网页中的恶意程序(病毒等),属于一种非常严重的漏洞。发现者是一位公司外部人员。收到发现者的报告后,两公司均公布了有关漏洞的信息和修正漏洞的Active X控件。只要安装新控件覆盖存在安全漏洞的旧控件,即可堵住漏洞。
事情进展到这一步措施固然无可挑剔。问题在于信息公开的方法。直到7月17日,两公司仍均未在公司首页
放置相关漏洞的信息链接。用户只能由出现了问题的服务页面或“深层次”的页面进行访问。从来没有以通讯稿和
新闻的形式予以公开。
准备使用此服务的用户基本上都要访问有问题的服务页面(而一旦访问此页面就会自动使用此服务,即执行病毒
扫描)。如前所述,
消除漏洞的方法就是再次使用服务。如果仅仅只向那些认为置之不理也能够
消除漏洞的用户通报说存在漏洞,效果也会很差。只要不在更醒目的页面中告知用户,就没有任何意义。
笔者也是通过
邮件列表中的投稿才知道两公司服务中的漏洞的。关于赛门铁克服务中的漏洞,由于是发现后不久就即时了解了这一情况,因此当时曾专门报道过。
但是,不经意地了解到日本趋势科技服务中的漏洞则是两个星期以后的事。在两公司服务中发现漏洞的是同一个人,笔者是在此人发送的邮件中知道漏洞的,此人在邮件中愤慨地表示:“美国趋势科技提供的‘HouseCall’服务中存在漏洞,但该公司却未即时全面地进行通报”。 HouseCall服务就是日本趋势科技所说的“病毒炸弹在线扫描(virus buster on-line scan)”。访问该服务页面可以找到7月2日发布的安全信息。
此次发现漏洞的均为免费服务,两公司均宣称“此服务不属于技术支持对象之列”。虽说如此,也不能不简单易懂地公布信息吧。本来是要使用用来提高安全性的服务,却没想到弄了一个漏洞回来,这实在不能算是什么幽默。即便从现在开始也为时不晚,希望今后能充分地公布信息。
公布安全漏洞是为了用户利益
本文中虽然说的是赛门铁克和趋势科技,但其他开发商也同样如此。只不过是两公司的服务中最近发现了安全漏洞才提到了它们。而一些极不负责任的开发商发现漏洞后甚至信息已经流传到邮件列表等媒体上以后仍会佯装不止。不仅不公布信息,甚至连补丁程序和修正版本都不提供。
那么,简单易懂地公布漏洞信息和不进行公布,哪种作法对用户有利呢?出现恶意使用漏洞的攻击时,假如已经公开了修正版本,那么预先建议全体用户升级到修正版本的供应商,和辩解说“虽然没有公布信息,但只要升级到了最新版就不会受到攻击,因此不会有问题。虽然没有建议用户升级,但是几乎所有的用户都应该已经升级到了最新版”的供应商,对于用户来说哪一方值得信任呢?
“公布漏洞,就等于是‘叫醒沉睡中的孩子(让他们徒生担心)’”等陈词滥调根本讲不通。假如要进行攻击,在邮件列表中就可得到相关信息。开发商公布不公布信息并没有什么关系。而且也并不是要求供应商“没有对策也要公布!”,或者“把具体的攻击方法公布出来!”。而只要简单易懂地通报用户“问题是什么,有可能受到什么影响,最好采取什么对策”,就足够了。
虽是老调重弹,但有的软件开发商确实对笔者说过“如果对外公布说有漏洞,那么普通用户就会产生不必要的担心。由于他们并不了解漏洞,因此最好是不通知他们”。但笔者认为,不充分公布漏洞的开发商绝对得不到用户的信任。