Virus 版 (精华区)
发信人: Kernel (Kermit), 信区: Virus
标 题: [转载] 从张小龙对漏洞的回复看中国软件产业对安全的意识还?发信站: 哈工大紫丁香 (Mon Mar 22 20:13:13 2004)
【 以下文字转载自 Hacker 讨论区 】
【 原文由 Kernel 所发表 】
flashsky 发表于:2004-03-22 14:45
FoxMail5.0 Punylib.dll 邮件头解析缓冲区溢出漏洞,从去年9月份ICBM发现以后,在安全
圈子地下流传了很久。这个漏洞的威胁性无用庸言,一个堆栈的缓冲区溢出,对于稍微了
解一点安全技术的人来说,都知道这意味着什么,不过由于一些解码截断的问题,使得SH
ELLCODE的编码和长度稍微难一点,但是对于一个内行的攻击者并非是难事,安全焦点内部
也早写出了一些非常通用的短SHELLCODE攻击代码,ICBM所在的启明星辰积极防御实验室也
写出了许可任意长度SHELLCODE的攻击代码。
应该说,FoxMail是一个不错的国产软件,对于研究软件安全的从业者来说,没有广大
用户的软件是不值得研究的,国内的安全行业从业者开始研究FoxMail本身,也就说明了对
FoxMail的认可。不过好的软件并非就是安全的软件,只有当安全研究者不断的发现了软件
的安全问题并通过和软件开发者产生互动,使得软件开发者越来越重视安全,才会使得好
的软件逐步变得越来越安全。这点从国外的很多好的软件的发展历程上来看都可以得以证
明。
公正的说,启明星辰在对待这个的FoxMail的漏洞的过程里,基本还是遵循了安全行业
的行规,先是联系博大公司,提交漏洞的细节,并且提供了大量的安全建议和补丁。博大
的测试的人员也根据这个找到了很多新的漏洞。在公布这个漏洞的时候,启明星辰在公布
的技术细节,包括攻击代码上都未公布,无疑这是保证FoxMail的用户免受攻击的一个措施
另外一个细节是,启明星辰很早就开始联系博大公司了,然而foxmail上那几个报告b
ug的地址根本就不收信,于是一直无人回复,直到通过到博大的论坛上发贴才联系上其技
术人员,所以这个漏洞从去年发现到现在才公布,这期间按照安全行业的惯例是开发商未
回复的,都可以发布,在这点上启明星辰作为安全公司,还是非常负责任的,至少在联系责
任过错属于开发商的情况下,还是坚持先联系了开发商,提供了漏洞信息和安全建议以后
才公布该漏洞。
然而,我们很失望的看到,作为博大公司的技术总监张小龙对于漏洞的回复,突显出
了整个中国软件行业对安全开发的意识的欠缺:
1.逃避责任,而且对安全了解欠缺。
张小龙说:“事实上,这个漏洞并非Foxmail5.0程序本身的缺陷,而是外挂的一个
中文域名系统造成的,并且提供该中文域名系统的单位已经给博大一个新的版本,问题已
经得到解决了。”张小龙解释说:“而实际上,Foxmail5.0客户端的这个漏洞并不为人
所知,并且一般情况下,谁会去攻击客户端呢?启明星辰这么一闹,大家都知道了,其实
是让Foxmail5.0用户遭到攻击的可能性大大增加了。”
首先,张小龙把责任全部归于Punylib.dll的提供方,但是张小龙忘记了,FoxMail
作为一个软件整体,FoxMail应该对所有的组件的安全负责,安全的责任不是可以单独拆分
的,如果按照张小龙的这种逻辑,任何开发的软件的安全问题都可以归结为操作系统
的API了和LIB了,如使用了strcpy导致溢出的问题,大家完全可以按张的逻辑指责操作系
统商提供的LIB了。
其次,张小龙对于客户端安全问题的见解,凹陷的其对安全的无知确实让我吃惊,
且不说目前造成损失最大的基本都是蠕虫,而蠕虫大多都是针对客户端的。另外,张小龙
显然未清楚,安全是一个整体,对于客户端安全的不重视,即使你有再强大的服务器保护
体制,安全机制也会崩溃。举例来说,我发一封具备这个漏洞的邮件给张小龙,张小龙的
个人机器由于不重视客户端的安全,被我远程控制了,当张小龙通过使用自己这台机器进
入博大的内网的时候,由于张小龙在博大的职位可以访问任意公司的资源,于是我通过渗
透张小龙的客户端,完全可以达到攻击整个博大公司内部网络的目的。
最后,张小龙认为不公布这个漏洞就能保护用户不收攻击的思路,关于这点安全行
业早有讨论,这个我就不多说了,我唯一能说的就是张小龙对于安全的了解确实还处于初
级水平之上。
2.缩小问题严重性,欺骗用户:
张小龙说“启明星辰提到的攻击只存在理论上的可能性,因为经过我们研究,实际
上只有将恶意代码写入发件人地址栏上,同时收件人对该邮件进行回复时,才会有问题。
但恶意代码写到发件人地址栏会很长,而且内容会非常奇怪,这种陌生的邮件谁会去打开
并回复呢?”。
首先这是一个堆栈缓冲区溢出漏洞,只要接受攻击的邮件就会被攻击,我不知道张是
怎么研究出这种结果的,但是很显然,张依赖的研究人员显然对安全是一无所知的,事实
其实就是该漏洞下,任何用户都会遭受攻击,无论是否回复,只要FoxMail接收该邮件。
而且该漏洞很极有被蠕虫利用的可能,如果FoxMail的用户相信了张的这翻话而无视该漏洞
的严重性而未进行任何防护措施,等待他的将是很严重的攻击。
在这点上,张对用户的这翻话显然是非常不负责任的,相比国外的软件公司,真让人
感觉是天上地下。即使是MS,将长整数溢出这样的漏洞都列为严重级别,大家都知道,长
整数溢出要利用获得权限是比较困难,而FoxMail的这个漏洞却已经被证实是可以百分之百
的执行SHELLCODE的,博大公司不采取任何紧急通知用户的措施,却采用这种欺骗用户的说
辞,让我们深感博大公司对于安全责任的极端淡薄。为了隐瞒问题,甚至不惜让自己的广
大用户暴露在即将到来的攻击之下。这似乎是国人对待问题的通病在一个公司运做上的体
现。其实最后当广大用户因此漏洞受到攻击而放弃FoxMail的时候,最受伤的无疑将是博大
公司和张小龙本人,正视问题和漏洞,给予用户正确的安全警告和信息才是对用户也是对
博大公司自己负责任的做法。
所以,在这里再次提醒FoxMail的用户,针对这个漏洞一定要采取防护措施,及早打上
CNNIC的补丁。
3.对安全公司的恶意攻击
张小龙说“但是,启明星辰主动向媒体发布这条消息,不仅夸大事实,而且显然是
有意的商业炒作行为。张小龙说,启明星辰无非是想利用Foxmail在国内巨大的名气来提升
自身的形象和知名度,炒作的程度比较大。”
我不想说启明星辰是否在炒作,但是至少,公布的这个漏洞还其实在的威胁严重性
确是真实存在的,无可挑剔的。张小龙可以回避漏洞的安全问题,甚至刻意向用户隐瞒漏
洞的严重性的做法就比炒做本身更值得质问,而为了向用户隐瞒信息,不惜对安全
公司进行这种指责也未免让人更怀疑其转移视线的意图。
Foxmail在国内巨大的名气,这个虽然说的大了点,但是FoxMail在国内用户比较多
这是事实,但是张小龙按此就得出:启明星辰无非是想利用Foxmail在国内巨大的名气来提
升自身的形象和知名度,炒作的程度比较大。未免就是自我感觉过好的臆测了吧。
按张的说法,发现WINDOWS,LINUX等拥有巨大的名气厂商软件的漏洞的那些众多国际著名
安全公司,都可以按张的臆测属于炒作了。
对比一下发现漏洞的国内外软件开发公司对待漏洞发现者的态度,漏洞的态度,对产
品使用用户公布漏洞信息的态度,我们不能不得出一个结论:张小龙的这种态度和对安全
的了解,代表是是国内的大多数软件开发厂商,对于软件安全的态度和对安全的了解。
当然我们也不能因此一味的指责软件行业如博大公司,某种意义上,软件开发行业也是安
全行业的衣食父母和客户,支持国产软件行业也应该是安全公司应尽的责任,导致的这些
问题也有国内安全行业自己的责任,对于安全公司而言,对这些软件行业进行安全
知识的普及和安全的培训,也是刻不容缓的事情。
---
买赋长门车马喧,争饮豕槽醉既眠。
悟空五湖三山树,禅枯半月一溪天。
断路蚍蜉本是梦,菜菊东篱聊为仙。
行痴莫笑无孔窍,钓雪何妨年复年。
www.xfocus.net
www.flashsky.org
※ 修改:.Kernel 於 Mar 22 20:15:12 2004 修改本文.[FROM: 219.82.107.28]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:2.430毫秒