日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
安全漏洞披露:三個令人不安的新趨勢

安全漏洞披露總是往往充滿了戲劇性。

網(wǎng)站建設哪家好,找創(chuàng)新互聯(lián)公司!專注于網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、微信小程序開發(fā)、集團企業(yè)網(wǎng)站建設等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了西充免費建站歡迎大家使用!

究竟什么才是“負責任”的披露存在諸多爭論。Web安全專業(yè)人士因“有人敲門”而被束縛住了手腳,軟件安全研究人士幸災樂禍地公布概念證明漏洞。安全漏洞研究人士大聲嚷著“不再有免費的軟件缺陷”,而軟件廠商閃爍其詞,時而說‘當然,我們會付錢給你’,時而說‘不,但我們會好好感謝你’,又時而說‘那是敲詐勒索’。

這些年來,安全行業(yè)和軟件行業(yè)已想出了一些更好的法子來開展合作:比如說,軟件缺陷懸賞計劃和企業(yè)政策授權第三方找出其網(wǎng)站中的安全漏洞。

不過,這方面取得的進展并不大。最近的事件表明,仍有很長一段路要走;這些是孤立事件還是新的趨勢,仍需拭目以待。

技術巨頭之間公開爭執(zhí)

今年1月11日,谷歌最新成立的互聯(lián)網(wǎng)安全項目Project Zero公開披露了微軟軟件存在一個沒有打補丁的安全漏洞。谷歌私下將該漏洞告知了微軟,讓對方有90天的時間來打補丁??墒俏④浽谶^了90天后,Project Zero卻公布了安全漏洞,還附有完整的概念證明代碼,而不是答應微軟要求再延緩兩天、以便等到周二補丁日(Patch Tuesday)的請求。這已是短短兩周內Project Zero第二次發(fā)布沒有打補丁的微軟安全漏洞了。

微軟自然不高興。在一篇博文中,微軟安全響應中心的高級主管Chris Betz撰文道:“谷歌決定這么做不太像是正大光明的做法,更像是一種‘耍人’,因而可能遭殃的會是客戶?!?/p>

谷歌的反應是,過去不到一周,緊接著發(fā)布了另一個沒有打補丁的微軟安全漏洞。

Javvad Malik得出的結論是“安全行業(yè)需要非常成熟,需要成長起來,想方設法以便能夠共同更快速、更有效地找到軟件缺陷?!?/p>

付錢給已查明的網(wǎng)絡犯罪分子

前不久一家欺詐檢測公司報告,一位名叫“Mastermind”的黑客在黑市上大做廣告,為其從設在俄羅斯的約會網(wǎng)站Topface竊取的2000萬條用戶記錄尋找下家。

于是,Topface設法聯(lián)系到了Mastermind,給對方開出了優(yōu)厚的條件。他們讓Mastermind同意停止出售竊取來的數(shù)據(jù);作為回報,正如Topface的首席執(zhí)行官Dmitry Filatov告訴路透社的那樣,“我們出錢請他尋找安全漏洞,并談妥了數(shù)據(jù)安全方面的進一步合作?!?/p>

Filatov沒有披露他們向Mastermind總共付了多少錢。不過,Topface的慷慨之舉令人驚訝,尤其是考慮到他們表示該竊賊只竊取了電子郵件地址,并沒有竊取密碼或郵件內容。(但事實可能不是這樣,那家欺詐識別公司報告,竊取來的數(shù)據(jù)當中包括200萬條“登錄信息”――包括來自Hotmail帳戶的700萬條信息和來自Yahoo和谷歌主帳戶的250萬條信息。)

試圖讓黑帽子搖身變成白帽子肯定存在爭議。向要求贖金的犯罪分子(上面那個犯罪分子倒沒有提出要求)支付贖金更是存在爭議。不過,付錢給犯罪分子以及雙方達成協(xié)商仍樹立了一個很危險的榜樣。要是Mastermind沒有堅守約定,更是危險得很。

不過,F(xiàn)ilatov充滿信心地認為對方會堅守約定。據(jù)路透社報道:“但Filatov特別指出,廣告已經(jīng)被撤下了,Topface已同意不對這個身份不明的人提出指控。Filatov說‘因為我們已與對方有了約定,我們認為他沒有理由違反約定?!?/p>

法律變得更復雜了

1月20日,奧巴馬總統(tǒng)宣布了新提議的網(wǎng)絡安全立法,法律雖然出于善意,但是被誤導了。該法要求擴大《計算機欺詐和濫用法案》對“超過授權訪問”所下的定義,這可能會進一步阻礙安全漏洞研究人士的工作。

正如互聯(lián)網(wǎng)安全研究公司W(wǎng)hiteHat的Jeremiah Grossman告訴安全網(wǎng)站DarkReading的Ericka Chickowski:“這項提議的立法要做的是,宣布專業(yè)的日常安全研究為非法,這種研究工作對保護全體公司和公民起到了重大作用。其結果將會是災難性的?!?/p>

軟件缺陷懸賞計劃公司Bugcrowd主管運營的副總裁Jonathan Cran補充說:“一旦該法通過,它會給安全研究人士潑去一盆冷水,同時法院需要厘清定義?!?/p>

你有何看法?谷歌和微軟之間的爭執(zhí)、付酬金給網(wǎng)絡犯罪分子以及更廣泛的立法會加強所有人的信息安全嗎?還是只會讓整個安全行業(yè)顯得很糟糕?歡迎留言交流。

原文地址:http://www.darkreading.com/3-disturbing-new-trends-in-vulnerability-disclosure/d/d-id/1318925


分享標題:安全漏洞披露:三個令人不安的新趨勢
本文地址:http://www.5511xx.com/article/dhdcpoo.html