今年早些时候,通用汽车公司的首席信息安全官Eric Litt利用在欧洲阿姆斯特丹召开的黑帽大会这个宝贵机会发表演讲,触及黑客社区,并阐述了大公司处理软件漏洞时经常遇到的问题。上周,他接受外电记者采访,讨论了一些安全问题。
以什么样的方式揭露漏洞并采取补救措施才是负责任的?
在黑帽大会上,我把这个问题分成了许多个小的方面来讲。如果你关注一下开拓者,你会想,是什么激励他们这样做?是名望、财富、好奇心和创造力。他们需要关注,他们也想要钱。而对于有道德的研究员来说,也是一样的。不同的是他们处理信息的方式。所以,作为一个大公司的CISO(首席信息安全官,Chief Information Security Officer),难道我不希望发现事情的真相吗?当然希望!因为我想确保对漏洞打了补丁,我想对人们所做的工作有所回报。如果他们不能光明正大地得到回报,那么他们可能会以不光彩(黑客)的方式去获取回报。
应该怎样去发现bug比较好呢?
假设在某个平台上有一个漏洞,你想要告诉给世人。有些研究员可能会说这正是你应该做的,因为否则的话厂商就不会去解决。但我要说,同时你也在告诉人们,他们会遭到怎样的破坏,这可是件大事情。并且,如果你发现了漏洞,并且告诉了厂商他们的产品中有一个漏洞,而他们在得知以后的200天内什么都没有做。我们还没找到厂商、研究员和商业用户都能受益的方式,我们知道是可以找到的,但我不确定有没有人愿意接受这个挑战。
厂商对自己产品中的漏洞,应该作何反应?
在理想的情况下,不会有漏洞出现,他们也不需要揭露什么事情。但理想和现实是有一定差距的,真正严重的漏洞必须马上打补丁。另一方面,什么样的才算得上是严重呢?我觉得你今天在业界所看到的是,大多数厂商在评价漏洞时都尽量保守。他们努力想做到的事情是,努力让他们产品有漏洞的消息存在于尽可能小的范围内。
厂商怎样做出答复才是最理想的?
这取决于当时的环境和情况。当然了,站在我的角度,我想知道和漏洞相关的所有东西,但这个要求合理吗?我觉得应该发布足够的信息,以便人们可以合理评估他们现在有多么脆弱。但在问题解决之前,我们不想给那些没有道德的人们提供任何信息,因为他们会破坏我们的系统。
对于发现的bug,你一般做出怎样的回应?
我们不想因为被迫不停地打补丁,总是处于动荡不安的情况。我们需要有能力判别这些补丁不会给我们带来副作用,我们需要时间正确地处理事情。
微软因为安全方面的失败遭到了很多批评,相比之下,其它大厂商的情况怎样呢?
我觉得微软非常容易受攻击。你可以抱怨微软,但你也必须认识到他们在这方面投入了很多,我认为他们已经取得了很大进展。虽然他们还没有达到我们的要求,但比较之下,他们确实做得很不错。你看看其他人是怎么说的:“他们做的这是什么啊?” 但微软不是有此类问题的惟一的公司,还有的公司最近就发布了82、3个补丁。非常坦白地讲,我觉得其它一些公司做得更差。