北京新浪網 (2007-04-16 10:20)
CNET科技資訊網 4月15日國際報導 由於善意駭客對報告缺陷感到擔憂,網路應用軟件中的安全缺陷可能無法得到修複。Web應用軟件使安全研究人員陷入了進退二難的困境中:如何在不被監禁的情況下測試軟件安全?如果要研究Windows或Word等傳統應用軟件的安全,駭客可以在自己的PC上進行這項工作。
對於Web應用軟件而言,情況就不是這樣了,測試Web應用軟件的安全性可能是非法的,而且會受到起訴。紐約布魯克林法學院研究互聯網法律的助教溫迪表示,對在其他人的系統上運行的應用軟件進行測試存在更大的法律危險,這也是這種新的應用軟件模式面臨的真正挑戰鬥
由於面臨這種法律風險,善意的駭客不願意審核Web應用軟件的安全性。這意味著網路應用軟件不會受到與傳統軟件相當的檢查,嚴重的安全缺陷可能會留下來被惡意駭客肆無忌憚地利用。
WhiteHat Security技術總監耶利米說,我們會失去善意的駭客。如果發現Web網站中的缺陷是非法的,這意味著只有惡意駭客知道缺陷所在,這是我們在進入Web 2.0時在資訊安全方面面臨的一大問題。
SPI Dynamics技術總監卡爾伯同意這一觀點:這一法律威脅將使Web應用軟件更不安全。如果缺陷沒有被發現,並得到修正,惡意駭客就會發現這些缺陷,因為他們不在乎這些。這會使得Web應用軟件更不安全。
由於超越了Web網站的界限,Web 2.0引起了人們的關注。但是,隨著站點增加更多的新功能,提供與桌面軟件相似的體驗,安全風險也提高了。對於安全研究人員而言,發現軟件中的缺陷是法律方面的一個灰色領域。
當對安裝在PC上的應用軟件進行反向工程時,安全研究人員可能就觸犯了法律。但是,牛津大學互聯網學院互聯網監管方面的教授喬納森說,但在Web網站方面,法律是極其清晰的。
他表示,美國和其他國家的法律都將對電腦系統的非授權使用認定是一種犯罪行為,其中包括『超過授權的使用』,而披露Web應用軟件中的缺陷就屬於『超過授權的使用』。
原告可以根據數種法律起訴研究互聯網應用軟件安全的安全研究人員,但《電腦欺詐和濫用法案》是一部uD要法律。對於沒有獲得授權而故意使用一台受保護的電腦,並造成損失的,被告可能會被罰款或處以最高為一年的有期徒刑。
例如,安全研究人員埃裡克被判處6個月徒刑,並向南加州大學賠償36761.26美元。埃裡克承認自己在沒有獲得授權的情況下訪問了南加州大學的網路應用軟件,但他認為自己的目的是使該系統更安全。
但是,並非所有的Web網站主人都會將安全研究人員告上公堂。NetSuite安全主管克里斯多夫說,善意駭客其實是在向我們提供服務。但他警告說,如果缺陷是在秘密情況下通報的,企業的業務沒有中斷,客戶的資料沒有洩露,駭客就是在提供服務。
包括Google和雅虎在內的其他廠商也支援對安全缺陷『負責任的披露』。根據這一方法,發現缺陷的研究人員不會公開披露自己的缺陷,而是會與受影響產品的廠商進行接觸,並共用資料,使廠商能夠修正它。
法律專家表示,可以毫無畏懼地檢查Web應用軟件安全性的研究人員的最好方法是獲得相關公司的許可。克里斯多夫說,他的公司會提供這種授權,儘管會附加一些條件。
卡爾伯說,但是,許多其他公司可能會對此說不。他表示,通過仔細檢察代碼能夠提高產品安全性。我不會敞開大門,使駭客能夠隨意看我們的代碼。
Web公司可以設立一份兒應用軟件的拷貝,供善意駭客進行調查。這種方法意味著主要系統不會受到影響,真正的客戶資料不會受到威脅。儘管卡爾伯反對這種方法,但一些安全研究人員喜歡這種方法。
SPI Dynamics知名研究人員霍夫曼表示,這是一個好主意。一個獨立的鏡像不會造成很大的危險。這給企業帶來的成本很低,潛在的收益卻是巨大的。聰明的公司甚至可能會為此提供獎金。
與傳統軟件公司一樣,Web廠商也雇傭安全公司完成審計工作。例如,NetSuite利用Fortify Software的工具掃描其代碼中的缺陷,並向Ambiron Trustwave付費對其網站進行掃描。專家指出,但是,總是會有更多的缺陷被發現。
溫迪表示,儘管安全研究人員面臨著不利的法律,其他法律則有助於安全。她說,資料洩露通報法律強制企業要提高系統的安全性。溫迪指出,企業開始意識到,它們向用戶銷售的一部分是信任。但是,由於安全研究人員不能隨意地調查Web應用軟件,消費者有被受到攻擊的危險。
http://news.sina.com.tw/tech/sinacn/cn/2007-04-16/102038146582.shtml
留言列表
