Virus 版 (精华区)

发信人: Kernel (Kermit), 信区: Virus
标  题: [转载] 从张小龙对漏洞的回复看中国软件产业对安全的意识还?发信站: 哈工大紫丁香 (Mon Mar 22 20:13:13 2004)

【 以下文字转载自 Hacker 讨论区 】
【 原文由 Kernel 所发表 】


flashsky  发表于：2004-03-22 14:45 
 

FoxMail5.0 Punylib.dll 邮件头解析缓冲区溢出漏洞,从去年9月份ICBM发现以后，在安全
圈子地下流传了很久。这个漏洞的威胁性无用庸言，一个堆栈的缓冲区溢出，对于稍微了
解一点安全技术的人来说，都知道这意味着什么，不过由于一些解码截断的问题，使得SH
ELLCODE的编码和长度稍微难一点，但是对于一个内行的攻击者并非是难事，安全焦点内部
也早写出了一些非常通用的短SHELLCODE攻击代码，ICBM所在的启明星辰积极防御实验室也
写出了许可任意长度SHELLCODE的攻击代码。
    应该说，FoxMail是一个不错的国产软件，对于研究软件安全的从业者来说，没有广大
用户的软件是不值得研究的，国内的安全行业从业者开始研究FoxMail本身，也就说明了对
FoxMail的认可。不过好的软件并非就是安全的软件，只有当安全研究者不断的发现了软件
的安全问题并通过和软件开发者产生互动，使得软件开发者越来越重视安全，才会使得好
的软件逐步变得越来越安全。这点从国外的很多好的软件的发展历程上来看都可以得以证
明。
    公正的说，启明星辰在对待这个的FoxMail的漏洞的过程里，基本还是遵循了安全行业
的行规，先是联系博大公司，提交漏洞的细节，并且提供了大量的安全建议和补丁。博大
的测试的人员也根据这个找到了很多新的漏洞。在公布这个漏洞的时候，启明星辰在公布
的技术细节，包括攻击代码上都未公布，无疑这是保证FoxMail的用户免受攻击的一个措施
    另外一个细节是，启明星辰很早就开始联系博大公司了，然而foxmail上那几个报告b
ug的地址根本就不收信，于是一直无人回复，直到通过到博大的论坛上发贴才联系上其技
术人员，所以这个漏洞从去年发现到现在才公布，这期间按照安全行业的惯例是开发商未
回复的，都可以发布，在这点上启明星辰作为安全公司，还是非常负责任的，至少在联系责
任过错属于开发商的情况下，还是坚持先联系了开发商，提供了漏洞信息和安全建议以后
才公布该漏洞。

    然而，我们很失望的看到，作为博大公司的技术总监张小龙对于漏洞的回复，突显出
了整个中国软件行业对安全开发的意识的欠缺：
    1.逃避责任，而且对安全了解欠缺。
      张小龙说：“事实上，这个漏洞并非Foxmail5.0程序本身的缺陷，而是外挂的一个
中文域名系统造成的，并且提供该中文域名系统的单位已经给博大一个新的版本，问题已
经得到解决了。”张小龙解释说：“而实际上，Foxmail5.0客户端的这个漏洞并不为人
所知，并且一般情况下，谁会去攻击客户端呢？启明星辰这么一闹，大家都知道了，其实
是让Foxmail5.0用户遭到攻击的可能性大大增加了。”
      首先，张小龙把责任全部归于Punylib.dll的提供方，但是张小龙忘记了，FoxMail
作为一个软件整体，FoxMail应该对所有的组件的安全负责，安全的责任不是可以单独拆分
的，如果按照张小龙的这种逻辑，任何开发的软件的安全问题都可以归结为操作系统
的API了和LIB了，如使用了strcpy导致溢出的问题，大家完全可以按张的逻辑指责操作系
统商提供的LIB了。
      其次，张小龙对于客户端安全问题的见解，凹陷的其对安全的无知确实让我吃惊，
且不说目前造成损失最大的基本都是蠕虫，而蠕虫大多都是针对客户端的。另外，张小龙
显然未清楚，安全是一个整体，对于客户端安全的不重视，即使你有再强大的服务器保护
体制，安全机制也会崩溃。举例来说，我发一封具备这个漏洞的邮件给张小龙，张小龙的
个人机器由于不重视客户端的安全，被我远程控制了，当张小龙通过使用自己这台机器进
入博大的内网的时候，由于张小龙在博大的职位可以访问任意公司的资源，于是我通过渗
透张小龙的客户端，完全可以达到攻击整个博大公司内部网络的目的。
      最后，张小龙认为不公布这个漏洞就能保护用户不收攻击的思路，关于这点安全行
业早有讨论，这个我就不多说了，我唯一能说的就是张小龙对于安全的了解确实还处于初
级水平之上。

    2.缩小问题严重性，欺骗用户：
      张小龙说“启明星辰提到的攻击只存在理论上的可能性，因为经过我们研究，实际
上只有将恶意代码写入发件人地址栏上，同时收件人对该邮件进行回复时，才会有问题。
但恶意代码写到发件人地址栏会很长，而且内容会非常奇怪，这种陌生的邮件谁会去打开
并回复呢？”。
     首先这是一个堆栈缓冲区溢出漏洞，只要接受攻击的邮件就会被攻击，我不知道张是
怎么研究出这种结果的，但是很显然，张依赖的研究人员显然对安全是一无所知的，事实
其实就是该漏洞下，任何用户都会遭受攻击，无论是否回复，只要FoxMail接收该邮件。
而且该漏洞很极有被蠕虫利用的可能，如果FoxMail的用户相信了张的这翻话而无视该漏洞
的严重性而未进行任何防护措施，等待他的将是很严重的攻击。
     在这点上，张对用户的这翻话显然是非常不负责任的，相比国外的软件公司，真让人
感觉是天上地下。即使是MS，将长整数溢出这样的漏洞都列为严重级别，大家都知道，长
整数溢出要利用获得权限是比较困难，而FoxMail的这个漏洞却已经被证实是可以百分之百
的执行SHELLCODE的，博大公司不采取任何紧急通知用户的措施，却采用这种欺骗用户的说
辞，让我们深感博大公司对于安全责任的极端淡薄。为了隐瞒问题，甚至不惜让自己的广
大用户暴露在即将到来的攻击之下。这似乎是国人对待问题的通病在一个公司运做上的体
现。其实最后当广大用户因此漏洞受到攻击而放弃FoxMail的时候，最受伤的无疑将是博大
公司和张小龙本人，正视问题和漏洞，给予用户正确的安全警告和信息才是对用户也是对
博大公司自己负责任的做法。
   所以，在这里再次提醒FoxMail的用户，针对这个漏洞一定要采取防护措施，及早打上
CNNIC的补丁。
    3.对安全公司的恶意攻击
      张小龙说“但是，启明星辰主动向媒体发布这条消息，不仅夸大事实，而且显然是
有意的商业炒作行为。张小龙说，启明星辰无非是想利用Foxmail在国内巨大的名气来提升
自身的形象和知名度，炒作的程度比较大。”
      我不想说启明星辰是否在炒作，但是至少，公布的这个漏洞还其实在的威胁严重性
确是真实存在的，无可挑剔的。张小龙可以回避漏洞的安全问题，甚至刻意向用户隐瞒漏
洞的严重性的做法就比炒做本身更值得质问，而为了向用户隐瞒信息，不惜对安全
公司进行这种指责也未免让人更怀疑其转移视线的意图。
      Foxmail在国内巨大的名气，这个虽然说的大了点，但是FoxMail在国内用户比较多
这是事实，但是张小龙按此就得出：启明星辰无非是想利用Foxmail在国内巨大的名气来提
升自身的形象和知名度，炒作的程度比较大。未免就是自我感觉过好的臆测了吧。
按张的说法，发现WINDOWS，LINUX等拥有巨大的名气厂商软件的漏洞的那些众多国际著名
安全公司，都可以按张的臆测属于炒作了。


    对比一下发现漏洞的国内外软件开发公司对待漏洞发现者的态度，漏洞的态度，对产
品使用用户公布漏洞信息的态度，我们不能不得出一个结论：张小龙的这种态度和对安全
的了解，代表是是国内的大多数软件开发厂商，对于软件安全的态度和对安全的了解。
当然我们也不能因此一味的指责软件行业如博大公司，某种意义上，软件开发行业也是安
全行业的衣食父母和客户，支持国产软件行业也应该是安全公司应尽的责任，导致的这些
问题也有国内安全行业自己的责任，对于安全公司而言，对这些软件行业进行安全
知识的普及和安全的培训，也是刻不容缓的事情。 
---
买赋长门车马喧，争饮豕槽醉既眠。
悟空五湖三山树，禅枯半月一溪天。
断路蚍蜉本是梦，菜菊东篱聊为仙。
行痴莫笑无孔窍，钓雪何妨年复年。

www.xfocus.net
www.flashsky.org

※ 修改:．Kernel 於 Mar 22 20:15:12 2004 修改本文．[FROM: 219.82.107.28]