CNET科技资讯网4月15日国际报道 由于善意黑客对报告缺陷感到担忧,网络应用软件中的安全缺陷可能无法得到修复。
Web应用软件使安全研究人员陷入了进退二难的困境中:如何在不被监禁的情况下测试软件安全?如果要研究Windows或Word等传统应用软件的安全,黑客可以在自己的PC上进行这项工作。
对于Web应用软件而言,情况就不是这样了,测试Web应用软件的安全性可能是非法的,而且会受到起诉。纽约布鲁克林法学院研究互联网法律的助教温迪表示,对在其他人的系统上运行的应用软件进行测试存在更大的法律危险,这也是这种新的应用软件模式面临的真正挑战。
由于面临这种法律风险,善意的黑客不愿意审核Web应用软件的安全性。这意味着网络应用软件不会受到与传统软件相当的检查,严重的安全缺陷可能会留下来被恶意黑客肆无忌惮地利用。
WhiteHat Security技术总监耶利米说,我们会失去善意的黑客。如果发现Web网站中的缺陷是非法的,这意味着只有恶意黑客知道缺陷所在,这是我们在进入Web 2.0时在信息安全方面面临的一大问题。
SPI Dynamics技术总监卡尔伯同意这一观点:这一法律威胁将使Web应用软件更不安全。如果缺陷没有被发现,并得到修正,恶意黑客就会发现这些缺陷,因为他们不在乎这些。这会使得Web应用软件更不安全。
由于超越了Web网站的界限,Web 2.0引起了人们的关注。但是,随着站点增加更多的新功能,提供与桌面软件相似的体验,安全风险也提高了。对于安全研究人员而言,发现软件中的缺陷是法律方面的一个灰色领域。
当对安装在PC上的应用软件进行反向工程时,安全研究人员可能就触犯了法律。但是,牛津大学互联网学院互联网监管方面的教授乔纳森说,但在Web网站方面,法律是极其清晰的。
他表示,美国和其它国家的法律都将对计算机系统的非授权使用认定是一种犯罪行为,其中包括“超过授权的使用”,而披露Web应用软件中的缺陷就属于“超过授权的使用”。
原告可以根据数种法律起诉研究互联网应用软件安全的安全研究人员,但《计算机欺诈和滥用法案》是一部主要法律。对于没有获得授权而故意使用一台受保护的计算机,并造成损失的,被告可能会被罚款或处以最高为一年的有期徒刑。
例如,安全研究人员埃里克被判处6个月徒刑,并向南加州大学赔偿36761.26美元。埃里克承认自己在没有获得授权的情况下访问了南加州大学的网络应用软件,但他认为自己的目的是使该系统更安全。
但是,并非所有的Web网站主人都会将安全研究人员告上公堂。NetSuite安全主管克里斯托弗说,善意黑客其实是在向我们提供服务。但他警告说,如果缺陷是在秘密情况下通报的,企业的业务没有中断,客户的资料没有泄露,黑客就是在提供服务。
包括Google和雅虎在内的其它厂商也支持对安全缺陷“负责任的披露”。根据这一方法,发现缺陷的研究人员不会公开披露自己的缺陷,而是会与受影响产品的厂商进行接触,并共享资料,使厂商能够修正它。
法律专家表示,可以毫无畏惧地检查Web应用软件安全性的研究人员的最好方法是获得相关公司的许可。克里斯托弗说,他的公司会提供这种授权,尽管会附加一些条件。
卡尔伯说,但是,许多其它公司可能会对此说不。他表示,通过仔细检察代码能够提高产品安全性。我不会敞开大门,使黑客能够随意看我们的代码。
Web公司可以设立一份儿应用软件的拷贝,供善意黑客进行调查。这种方法意味着主要系统不会受到影响,真正的客户资料不会受到威胁。尽管卡尔伯反对这种方法,但一些安全研究人员喜欢这种方法。
SPI Dynamics知名研究人员霍夫曼表示,这是一个好主意。一个独立的镜像不会造成很大的危险。这给企业带来的成本很低,潜在的收益却是巨大的。聪明的公司甚至可能会为此提供奖金。
与传统软件公司一样,Web厂商也雇佣安全公司完成审计工作。例如,NetSuite利用Fortify Software的工具扫描其代码中的缺陷,并向Ambiron Trustwave付费对其网站进行扫描。专家指出,但是,总是会有更多的缺陷被发现。
温迪表示,尽管安全研究人员面临着不利的法律,其它法律则有助于安全。她说,数据泄露通报法律强制企业要提高系统的安全性。
温迪指出,企业开始意识到,它们向用户销售的一部分是信任。但是,由于安全研究人员不能随意地调查Web应用软件,消费者有被受到攻击的危险。