作者：王飞

美国东部时间9月6日(北京时间9月6日)消息：Tom Ferris目前的处境十分微妙。他既可能成为Microsoft公司的朋友也可能成为它的敌人。

Ferris是加利福尼亚州Mission Viejo市的一名自由安全研究者。他在Microsoft公司IE浏
览器中发现了一个他所谓的严重漏洞。8月14日，他通过“[email protected]”电子邮件地址向Microsoft公司报告了这一漏洞，并在此后与Microsoft公司一位研究人员用电子邮件继续进行了数次的信息交流。

在某种程度上，Ferris完全是依照Microsoft公司的“负责任的披露漏洞”的方针来行事的。这个方针要求漏洞发现者等到Microsoft公司提供出修补程序后再公开相关的安全漏洞。通过这种办法，可以保护那些使用有漏洞的产品的用户免受攻击。

然而在上周末，Ferris违反了那些保护用户的方针，在他的安全协议网站上贴出了一张关于该漏洞的简要说明并且向媒体谈论到了这个漏洞。到目前来说，他的这一做法让Microsoft公司十分震惊。

Ferris说：“我正在打擦边球，但是我会非常小心的，因为我现在并没有公开漏洞的细节资料。”“我这么做是想提醒用户IE浏览器中仍然存在着漏洞。我不喜欢Microsoft公司的做法，他们试图给用户营造一个歌舞升平的假象，好像他们已经把研究者报告给他们的漏洞都公布出来了。”

业界许多公司，包括Microsoft公司、甲骨文公司和思科公司等大公司都是力推“负责任的披露软件漏洞”方针的。

Microsoft公司通常都会公开严惩那些不遵守规则的安全研究人员。而且，那些研究人员也得不到Microsoft公司对发现漏洞的人提供的嘉奖，通常Microsoft公司都会在发布补丁程序后在Microsoft公司的安全公告牌上公布他们的名字以示嘉奖。Microsoft公司代表称，因为Ferris还没有披露任何实际的漏洞细节，所以他仍然站在Microsoft公司一边。

虽然许多软件生产商都在提倡负责任的披露漏洞的做法，但是这一方针并没有得到安全社区的普遍支持。许多批评家称，这会令安全公司们在开发补丁程序方面有所懈怠。他们认为还是完全披露漏洞的所有资料比较好，那样可以逼迫软件生产商尽可能快速地采取措施来保护他们的用户。

多长的时间才算太长？

Ferris说：“Microsoft公司显然在修补漏洞方面花的时间太长了。所有的研究人员都应该遵守负责任的披露漏洞的方针原则，但是如果某个生产商比如Microsoft公司要花6个月到1年的时间来修复一个漏洞，那么研究人员就有充分的权利公开漏洞的所有细节资料。”

Ferris说，到那个时候，也许其他的某个用心险恶的人可能也已经发现了同一个漏洞并且可能正在利用这个漏洞来攻击相关的用户了。

Microsoft公司常常因为其软件产品中的漏洞受到用户们的痛责，它现在正在尽其所能地赢得安全社区的尊重。Microsoft公司拥有一些“社区顶级专家”，他们在全球各地会见安全研究人员，主持安全方面的各种会议，计划每年在Microsoft公司总部与黑客们进行2次“蓝帽”峰会。在蓝帽大会上，黑客们被Microsoft公司邀请到Microsoft公司的总部来说明Microsoft公司产品中的安全漏洞。

Microsoft公司安全分部的程序管理员Stephen Toulouse说：“安全研究人员为我们的用户提供了一项有价值的服务，可以帮助我们保证我们的产品的安全。我们想与他们面对面地交谈，彼此相互了解对方对安全问题的看法，然后看我们怎么做才能更好地保护我们的客户。”

iDefense Labs实验室主任Michael Sutton称，现在许多公司已经渐渐知道如何对待安全研究人员了。iDefense Labs实验室本身就是专门与研究人员和软件生产商打交道的一个机构。他说：“虽然还有许多软件生产商正在朝着相反的方向前进，但是现在的环境与两三年前相比已经发现了实实在在的变化。”

虽然Microsoft公司有时还是会被看作是“邪恶帝国”，但是它似乎正在赢得安全研究人员的好感。

去年三月曾经参加了Microsoft公司第一届蓝帽大会的安全研究人员Dan Kaminsky曾经说过：“我们现在处在的位置是，我们告诉Microsoft公司去做的事情，Microsoft公司已经都做了。”

折中平衡的做法

其他的技术公司们仍然在同黑客社区的关系的问题上苦苦挣扎。尤其是思科公司想方设法地疏远黑客社区。在今年的防卫大会上，印有反思科公司口号的T恤衫极其热销。研究人员们称，甲骨文公司也不喜欢更黑客社区走得太近。

安全研究者Michael Lynn在黑帽安全大会上演示了攻破路由器软件的过程之后，思科公司在上个月对他提出了控诉。思科公司之前曾经试图阻止Lynn在演讲台上发表演讲。

iDefense实验室的Sutton说：“思科公司的反应真是让人惊奇。我并不认为那是最好的做法。我认为那种做法是非常少有的，大部分的软件生产商都正在意识到我们并不想跟他们对着干，而是想与他们合作。”

思科公司坚持Lynn的发现没有任何价值，但是思科公司同时又对他将信息公布于众的做法十分不满。”

思科公司安全技术分公司首席技术官Bob Gleicoff说：“Lynn的这种做法违反了处理安全漏洞的正常协议。”“我们是真正的一贯坚持协议的人。”

但是在如何看待研究人员的问题上，似乎思科公司早有几个类似的前科。

在2004年早期，Paul Watson发现在TCP/IP协议中存在一个漏洞，该漏洞可能会被一些网络软件利用，包括思科公司的路由器软件在内。Watson说他最开始用电子邮件通知了思科公司的两名工程师，他们迅速地回复了他。他说，他们给他许多帮助，甚至还对他的研究提出了许多想法和意见。

Watson说，但是当这个问题被思科公司官方小组评定为一个严重的安全漏洞时，他们之间的交流的态度立刻发生了转变。思科公司仍然希望Watson提供有关的信息，但是却对他的疑问不闻不问。Watson向思科公司提供了几种可能的解决问题的办法。

由于无法与思科公司交流，Watson决定在2004年4月召开的 CanSecWest安全大会上将他的研究成果展示出来。结果与黑帽大会的情形差不多，思科公司和美国国内安全部要求大会组织者取消了Watson的演讲。他们的要求被大会组织者拒绝了。

演讲的时间越来越近，思科公司被迫采取了行动。思科公司在大会前几天发布了几个相关的漏洞修补程序。然而，思科公司不仅拿出了补丁，它还对该漏洞的修复程序申请了专利权。大家都以为思科公司会对这个修复程序收费，而这个漏洞还影响到其他的一些软件生产商，尽管思科公司后来并没有收费，但是还是引起了业界的一片恐慌。

Watson在电子邮件中说：“我感到十分震惊。这真是破坏了我对他们的信任。”他说，思科公司与其他的软件生产商一样，希望安全研究者们私下向他们报告软件中的漏洞，并且在漏洞披露之前有时间来修复这些漏洞。但是思科公司却利用这段时间来申请专利权。

聪明地处理这件事

一年以后，类似的事情又再度发生。Fernando Gont在ICMP协议中发现了一个漏洞，思科公司却试图为该漏洞的修复程序申请专利权。研究者Fernando Gont这次做得比思科公司高明，他公开了他的发现并提供了修复程序，并将所有的信息私下共享给了开源社区和网络工程任务部(Internet Engineering Task Force)，后者是一个标准制定组织。

甲骨文公司首席安全官Mary Ann Davidson认为那些以公开软件漏洞来威胁软件生产商的安全研究人员是一个很严重的问题，她在最近为News.com网站撰稿时谈到了这个问题。Davidson说：“实际情况是大部分的软件生产商都在努力在处理软件漏洞的问题上做得更好。大部分的软件生产商不用威胁就会这么做。”

Alexander Kornbrust专门研究甲骨文公司产品的安全问题。他在7月份公布了甲骨文公司软件中的6个安全漏洞的详细情况，两年前他曾经向甲骨文公司报告过这些漏洞，但是直到如今甲骨文公司官方还是没有发布相关的修复程序。

甲骨文公司斥责Kornbrust行事不负责任，因为他公开了漏洞的详细情况。

Kornbrust说，虽然他与甲骨文公司相处得十分不愉快，但是他们之间的关系还没有到针锋相对的地步。Kornbrust说：“说甲骨文公司对我有敌意是不正确的。我确实从甲骨文公司得到了反馈信息。”但是那只是在他报告了漏洞之后立即获得的一些反馈信息。甲骨文公司以后并没有与Kornbrust保持联系，并没有通知他甲骨文公司是如何解决问题的。

Kornbrust说：“甲骨文公司支持负责任的披露软件漏洞的方针。这些方针其中之一就是软件公司应该将关于该漏洞的后续情况通知给发现并报告该漏洞的研究者。但是他们没有这么做。”Kornbrust自己在德国创办了红色数据库安全公司(Red Database Security)。

过去，许多黑客和安全研究者在公开软件漏洞的时候很少考虑到披露漏洞可能会对互联网用户带来的影响。软件生产商们一直在努力给安全研究者们提供一个披露漏洞的渠道。有几个公司还建立了补丁计划。Microsoft公司在每月的第二个星期二会发布每月的补丁程序，甲骨文公司则指定了季度计划。

关于负责任的披露软件漏洞的争论还在激烈地进行之中。最近法国安全事件反应小组(French Security Incident Response Team)一直是安全邮件发送清单讨论的主题。法国安全事件反应小组的前身是K-Otic，它既发布软件漏洞的细节资料，同时也发布可以帮助攻击者利用漏洞进行攻击的程序代码。有时，漏洞还没有被修复它就已经发布了那些代码。许多批评家提出，除了有助于法国安全事件反应小组出售其服务以外，这种公布代码的做法还能有什么好处呢？

Howard Schmidt是一位自由安全顾问，他曾经作为网络安全顾问服务于美国政府，也曾经在Microsoft公司和eBay公司担任过安全管理人员。他说：“由于我们对IT系统的依赖太强了，因此负责任的披露软件漏洞就极为重要了。”

Schmidt说，那些对安全研究者不负责任的技术公司们的做法招致了问题的出现。他建议政府，特别是美国计算机紧急预备小组(即美国国内安全部下属的互联网安全署)应该发挥调解者的作用。他说：“然后，也许政府可能会对技术公司施加一些压力。”