- A+
一、引言
工业和信息化部6月18日发布了《网络安全漏洞管理规定(征求意见稿)》(以下简称“意见稿”),征求意见稿条文不多,共12条,旨在通过系统地规范网络产品、服务和系统的安全漏洞报告、收集、信息发布、验证、修补或防范等行为,保证网络产品、服务和系统的漏洞得到及时修复,加强网络安全漏洞管理,提高网络安全防护水平。
图1:工信部公开征求对《网络安全漏洞管理规定(征求意见稿)》的意见
1.1. 安全社区对《网络安全漏洞管理规定(征求意见稿)》的反映
征求意见稿的发布在国内安全社区引起各种争议。对此,现腾讯玄武实验室负责人于旸认为,该规定限制了漏洞披露,而限制漏洞披露,就是削减漏洞研究的收益,结果必然会影响漏洞研究本身。
图2:于旸新浪微博博文
另有匿名人士在微信公众号撰文认为,在厂商的漏洞已经修补完毕的情况下,限制PoC工具和漏洞利用代码以及漏洞相关的技术文章等的发布分享,必然限制漏洞研究的发展,限制安全社区的发展。安全社区沉寂了,黑产圈可以互相交换信息,更加活跃。[1]
此外,白帽汇赵武也发微博提醒注意把控发布漏洞信息的法律边界,称白帽汇曾因此类事件收到多起律师函。
图3: 白帽汇赵武新浪微博博文
安全业界也积极就征求意见稿内容献言献策。7月3日,360公司就邀请了来自中国信息安全测评中心、国家互联网应急中心、国家工业信息安全发展研究中心、中国电子技术标准化研究院、清华大学、乐融集团、安在新媒体、奇安信补天漏洞平台、KEEN团队、知道创宇等相关单位的专家在北京举办“网络安全漏洞管理闭门研讨会”,汇集业界对《征求意见稿》的建设性意见。
图4: 360举办网络安全漏洞管理闭门研讨会
安全社区的争议声音主要落在意见稿的规定内容限制了合理的漏洞信息发布,亦即限制漏洞披露。而限制了合理的漏洞披露,将阻碍安全研究的发展。基于此,本文将从目前常见的网络安全漏洞披露类型、国内网络安全漏洞报送和披露渠道、中美关于网络安全漏洞披露管理方面的法律法规进行探讨,分析当前网络安全漏洞披露管理面临的挑战,并给出相关对策建议。
二、常见的网络安全漏洞披露类型
常见的网络漏洞披露类型主要有不披露、完全披露、负责任的披露和协同披露四种。[2]
图5:常见漏洞披露类型
2.1. 不披露和完全披露
在实践中,漏洞被发现后,就进入了漏洞披露阶段。漏洞发现者有可能不披露漏洞,对安全漏洞的相关信息完全保密,既不报送给厂商,又不向公众公开。这种行为不考虑用户安全和权益以及厂商声誉和权益,漏洞极有可能在黑市交易,导致漏洞利用,引发网络安全危险,甚或引发漏洞利用攻击。事实上,暗网中也的确存在大量待价而沽的高风险安全漏洞。
与此相反,为了敦促厂商尽快修复漏洞,发布补丁,并促使用户采取措施保护自己,漏洞发现者也可能公开完全披露相关的漏洞信息。完全披露漏洞信息,未对厂商进行告警,厂商没有充分的时间修复漏洞,漏洞信息也直接暴露给了潜在的恶意攻击者。虽然完全披露漏洞信息,用户可以较早地得知漏洞信息,但是绝大部分的用户还是依靠厂商发布安全补丁,进行修复漏洞。这也是最为厂商诟病的行为,因为厂商需要赶在漏洞遭到恶意利用之前开发并发布安全补丁,而这通常难以做到,所以这种行为也被厂商称为不负责任的披露。[3]
2.2. 负责任的披露
第三种披露类型是负责任的披露。漏洞发现者首先与厂商沟通,报送漏洞,漏洞发现者与厂商协商修复漏洞的时间期限,厂商与漏洞发现者保持沟通,及时告知更新漏洞验证进展,修复进展和完成修复的目标日期,以便漏洞发现者了解进展情况。待厂商修复漏洞后,厂商再公告相关漏洞信息并发布补丁。在厂商发布补丁之前,漏洞发现者不向任何其他方披露。这种做法看似一种公平的协商方式,给了厂商一定的时间修复漏洞,在一定程度上能够提高安全性,保护用户。然而,实践中,漏洞发现者和厂商可能发生争议。
例如,漏洞发现者向厂商报送漏洞信息后,厂商超过时间期限未做出反映、未及时修复或拒绝承认该漏洞,漏洞发现者通常会选择公布相关漏洞信息。比如,谷歌Project Zero团队的安全研究人员TavisOrmandy在今年6月11日发推文公开了一个微软Windows10 0day漏洞。微软承诺在90天内修复该漏洞,结果并没有,于是在第91天,Ormandy选择公开了这个漏洞。
图6:TavisOrmandy的推特推文
再比如,独立安全研究人员Filippo Cavallarin在今年5月底公开了利用AppleGateKeeper绕过漏洞的方法,而Apple尚未修复该漏洞。Cavallarin在2月22日就负责任地向Apple报送了他的发现,但是Apple未能在90天的披露期限内修复问题并且开始忽略他的邮件,所以Cavallarin在5月底公开了相关的信息。
2.3. 协同披露
微软在2010年开始推行漏洞协同披露机制,得到了美国CERT/CC、JPCERT/CC、ArCERT、MITRE、Open Security Foundation、JuniperNetworks、英特尔等机构和组织的响应。微软也极力号召业界使用该机制,在2015年对外发出号召书。
图7:微软提倡协同漏洞披露机制
图8:微软号召使用协同漏洞披露机制
随着安全漏洞协同披露为更多的组织所支持和倡导,美国卡耐基梅隆大学软件工程研究所CERT部门于2017年8月15日发布了《CERT漏洞协同披露指南》。协同披露建立在负责任的披露的基础上,引入了协调者,协调者通常在各方利益相关者之间扮演信息传达或信息经纪人的角色。除了选择向厂商报送漏洞外,漏洞发现者还可以将漏洞信息报告给协调者,常见的协调者有国家级CERT(如美国CERT、日本CERT、中国CNNVD和CNVD)、大型厂商的产品安全应急响应团队(PSIRT)(如微软、苹果、思科、英特尔等大厂商自己内部的PSIRT)、安全研究组织(如政府机构和学术研究团队)、漏洞赏金和商业中间平台(如HackerOne等众测平台)、非政府性质的信息共享和分析组织和平台。协同披露重视各方之间共享漏洞信息,协同合作,有利于保护用户、社会和国家安全。
这四种漏洞披露类型,不披露类型不考虑厂商和用户权益,可能导致漏洞在黑市交易,致使漏洞遭到利用,引发网络安全风险;在完全披露下,用户虽然可以较为迅速地得知漏洞信息,但厂商没有充足的时间修复漏洞,漏洞可能遭到潜在攻击者的利益,也存在较大弊端;负责任的披露类型为相当大一部分组织(如谷歌)和独立安全研究人员所采用,一定程度上能够提高安全性,保护用户,存在积极的作用。但如果漏洞发现者和厂商之间沟通不畅,在未有修复方案之前,漏洞信息极有可能被公开披露。协同披露强调漏洞信息的共享,各方的协同合作,更为有利于保护网络安全。
三、国内网络安全漏洞报送和披露渠道
国家信息安全漏洞共享平台(CNVD)和中国国家信息安全漏洞库(CNNVD)是由国家相关职能部门维护的公共的非营利性的国家信息安全漏洞库,负责统一采集收录安全漏洞和发布漏洞预警公告。漏洞发现者可以将相关漏洞报送给CNVD或CNNVD。CNVD鼓励安全研究人员报送漏洞。CNVD设置了漏洞奖励计划,安全研究人员报送漏洞获得相应积分,可兑换京东E卡。
图9: CNVD的积分兑换
对在漏洞提交方面有杰出贡献的安全研究人员,CNVD也会公开进行表彰,例如,CNVD曾在2018年度工作会议上对8位有杰出贡献的安全研究人员进行了表彰。做为国家级的安全漏洞库,CNVD和CNNVD都对公开漏洞进行采集收录,并对社会公布。
第三方漏洞平台是连接企业和安全研究人员之间的桥梁。安全研究人员发现漏洞后,可以报送给第三方平台,获取一定的奖励。目前国内比较大的第三方漏洞平台主要有补天和漏洞盒子。但是即使在漏洞得到修补后,补天和漏洞盒子也不会披露漏洞的相关信息。这一点有别于国外HackerOne平台的做法。在取得漏洞发现者和厂商的一致同意后,HackerOne会公开漏洞的相关信息。
自腾讯在2012年建立自己的安全应急响应中心(SRC)后,越来越多的企业也纷纷自建安全应急响应中心,例如阿里巴巴、百度、网易等互联网企业,接收和处理与企业的产品或服务相关的安全漏洞。但是国内SRC未见公开披露本企业的安全漏洞。这一点不同于企业的产品安全应急响应团队(PSIRT)。企业的PSIRT的作用类似于SRC,但是多数PSIRT,例如华为PSIRT,会在修补漏洞后,对社会公开相关漏洞信息,提醒用户漏洞风险,告知解决方案或缓解措施,致谢报送漏洞的安全研究人员。
图10: 华为PSIRT致谢安全研究人员
关于安全漏洞的报送和披露途径,国内目前已基本形成国家安全漏洞库,第三方漏洞平台和企业SRC或PSIRT并存的结构。
四、中美关于网络安全漏洞披露管理方面的法律法规
4.1. 国内关于网络安全漏洞披露管理方面的法律法规
安全漏洞披露的前提是漏洞的报送,而漏洞报送的前提则是漏洞挖掘。漏洞挖掘涉及对计算机系统的访问。《中国人民共和国刑法》第二百八十五条、第二百八十六条规定了非法侵入计算机信息系统罪、非法获取计算机系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪。从2016年的袁炜案可看出我国法律当前对漏洞挖掘,或者说对计算机系统非授权访问行为持否定性评价。
我国关于网络安全的立法起步较晚,2016年11月发布了《中华人民共和国网络安全法》。其中第十条规定了建设、运营网络或网络服务方维护网络数据的完整性、保密性和可用性的义务;第二十二条和二十五规定网络产品、服务的提供者修复漏洞,告知用户和向主管部门报告的义务;第二十六条规定向社会发布漏洞等网络安全信息应遵守国家有关规定;第二十七条规定个人和组织不得非法侵入他人网络、干扰他人网络正常功能、窃取网络数据。
当前我国关于漏洞挖掘和披露方面的立法多以禁止性规定和责任性规定为主,将情节和后果做为认定犯罪的依据,且缺少对善意安全研究人员的保护。
4.2. 美国关于网络安全漏洞披露管理方面的法律法规
作为世界信息产业的发源地,美国的信息化水平一直处于世界领先地位,发展程度也是全球最高。信息化的高速发展,伴随而来一系列安全漏洞的发现和披露问题。在网络安全漏洞的披露方面,美国也制定了各种法律并结合政策手段加以规范。2001年出台的《爱国者法案》、《2002年关键基础设施信息法》及2013年发布的《提高关键基础设施的网络安全》鼓励个人和组织向政府披露漏洞信息,以减少网络入侵事件,提高网络安全的信息共享并为用户营造可信赖的网络环境。美国国防部2004年1月发布的漏洞披露政策,允许自由安全研究人员通过合法途径披露国防部公众系统存在的任何漏洞。2017年7月,美国司法部犯罪科网络安全部门发布《在线系统漏洞披露计划框架》,帮助组织机构制定正规的漏洞披露计划。美国已从政策、立法和程序上,构建了国家层面统一的网络安全漏洞披露协调和决策机制。上述法律法规的时间线如下图所示:
图11:美国漏洞披露相关法律法规时间线
美国充分认识到善意的安全研究人员在关键信息系统的漏洞发现方面的价值,一方面对未经授权的漏洞发现和披露行为进行规范,另一方面加大对善意的安全研究人员漏洞发现和合法披露的保护。美国国防部2016年开始通过安全漏洞披露平台HackerOne发起三大漏洞奖励项目:“入侵五角大楼(Hack the Pentagon)”,“入侵陆军(Hackthe Army)”和“入侵空军(Hackthe Air Force)”,允许善意安全研究人员在不触犯法律的前提下访问并探寻政府系统。像HackerOne这样的安全众测平台,在漏洞发现和披露过程中扮演着越来越重要的作用。
图12:美国国防部在HackerOne的报告接收页面
图13:美国国防部在HackerOne上的三大漏洞奖励项目
五、相关建议
我们应建立健全合理的漏洞披露渠道和机制,通过法律或漏洞披露策略明确责任和权利,帮助安全研究人员在法律的保护下分享信息和技术,才能有效促进安全社区的健康发展和安全技术的进步。同时,应该鼓励更多的协调机制,加强安全研究人员和厂商之间的交流,而不是简单直接向公众公开披露。
安全漏洞发布机制的健全与否对于修补漏洞有着积极的意义,及时、准确地将漏洞消息通知用户,使用户了解自己的系统的缺陷,及时进行修补,提高系统的安全性,避免黑客攻击,对于企业、组织和团体乃至一个国家而言都有非常重要的现实意义。
参考资料:
[1] 匿名,关于《网络安全漏洞管理规定》的一些意见,公众号二道情报贩子,2019年6月19日。检索日期2019年7月10日.
[2] 黄道丽,网络安全漏洞披露规则及其体系设计[J]. 暨南学报(哲学社会科学版),2018.
[3] 坏蛋是我,安全渗透测试笔记—–安全漏洞披露方式与安全漏洞公共资源库,https://blog.csdn.net/henni_719/article/details/77962007,检索日期2019年7月15日.
[4] 中华人民共和国工业和信息化部,《网络安全漏洞管理规定(征求意见稿)》.
[5] tombkeeper,2019年6月19日微博博文, https://weibo.com/101174?is_search=0&visible=0&is_all=1&is_tag=0&profile_ftype=1&page=2#feedtop,检索日期2019年7月5日.
[6]aqniu,网络安全漏洞管理闭门研讨会召开, https://www.aqniu.com/industry/50910.html,检索日期2019年7月15日.
[7] xplanet,Google研究员披露Windows10 0day漏洞,https://www.oschina.net/news/107413/warning-windows-10-0day-vulnerability-outed-by-google-researcher,检索日期2019年7月5日.
[8] DaveyWinder,Warning:Google Researcher Drops Windows 10 Zero-day Security Bomb,https://www.forbes.com/sites/daveywinder/2019/06/12/warning-windows-10-crypto-vulnerability-outed-by-google-researcher-before-microsoft-can-fix-it/#526e3a3f2fd6,检索日期2019年7月5日.
[9]Mohit Kumar,NewMac Malware Exploits Gatekeeper Bypass Bug that Apple Left Unpatched,https://thehackernews.com/2019/06/macos-malware-gatekeeper.html,检索日期2019年7月5日.
[10] MicrosoftSecurity Response Center,Microsoft’s Approach to Coordinated Vulnerability Disclosure,https://www.microsoft.com/en-us/msrc/cvd?rtc=1,检索日期2019年7月5日.
[11]MSRC Ecosystem Strategy Team,Coordinated Vulnerability Disclosure: Bringing Balance to the Force,https://blogs.technet.microsoft.com/ecostrat/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force/,检索日期2019年7月5日.
[12]Chris Betz,ACall for Better Coordinated Vulnerability Disclosure,https://blogs.technet.microsoft.com/msrc/2015/01/11/a-call-for-better-coordinated-vulnerability-disclosure/,检索日期2019年7月5日.
[13] 国家信息安全漏洞共享平台召开2018年度工作会议,https://www.cert.org.cn/publish/main/12/2018/20181127122459099693364/20181127122459099693364_.html,检索日期2019年7月15日.
[14] 雷建平,白帽子提交世纪佳缘漏洞后已被抓3个月 拷问网络安全边界,https://tech.sina.com.cn/zl/post/detail/i/2016-07-06/pid_8507899.htm,检索日期2019年7月15日.
[15]Carnegie Mellon University Software Engineering Institute,CERT Guide to Coordinated Vulnerability Disclosure Released,https://www.sei.cmu.edu/news-events/news/article.cfm?assetID=503398,检索日期2019年7月5日.
[16]Allen D. Householder,GarretWassermann,Art Manion,ChristopherKing,TheCERT Guide to Coordinated Vulnerability Disclosure,https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=503330,检索日期2019年7月5日.
[17]Elaine_z,美国国防部“黑了空军(Hackthe Air Force)”漏洞奖励计划即将启动,仍由HackerOne运营,https://www.freebuf.com/news/133433.html,检索日期2019年7月5日.
[18] 孟江波,张玉清,美国安全漏洞发布机制分析研究,全国网络与信息安全技术研讨会’2005
[19] U.S. Department of Justice,A Framework for a Vulnerability Disclosure Program for Online Systems.
*本文原创作者:偶然路过的围观群众,本文属于FreeBuf原创奖励计划,未经许可禁止转载