몇 주 전에 저는 2004년 10월 22일에 Microsoft에 보고되어 2년 넘게 패치가 적용되지 않은 Windows 커널 취약점에 대해 글을 쓴 적이 있습니다. 이것은 이 버그를 발견한 해커인 Cesar Cerrudo가 지난 11월부터 MoKB(Month of Kernel Bugs) 프로젝트 중에 Microsoft의 수정 사항과 공개된 세부 정보를 기다리는 데 지쳤습니다.
이건 내가 겪었던 버그야 작년 11월부터 긴밀히 추적 중 이를 발견한 해커인 Cesar Cerrudo는 Microsoft의 수정을 기다리다가 MoKB(Month of Kernel Bugs) 프로젝트 중에 세부 정보를 공개했습니다.
지난달에는 Bitsec의 Joel Eriksson이 익스플로잇을 만들었습니다 이 2년 된 결함에 대해 Immunity의 Canvas 포인트 앤 클릭 공격 도구에 릴리스하기 위해 판매했기 때문에 Microsoft가 서둘러 수정 사항을 내놓을 수도 있다고 제안했습니다.
이 결함에 대한 패치를 찾았다는 사실에 제가 얼마나 놀랐는지 상상해 보십시오. MS07-017, 긴급상황, 대역 외 업데이트 제로데이 애니메이션 커서(.ani) 공격을 막기 위해 지난 화요일에 출시되었습니다.
한 달 만에 마이크로소프트는 이 문제를 "향후 서비스 팩에서" 수정될 예정인 "설계 문제"에서 긴급 업데이트를 통해 수정 사항을 발표하는 방향으로 옮겼습니다.
흥미롭게도 Cerrudo는 Microsoft의 관점에서 "책임 있는 공개/전체 공개" 선을 넘었기 때문에 결함을 보고한 공로를 인정받지 못했습니다.
나는 마이크로소프트에게 연구원 인정, 공개, 이 특정 사례에서의 조치에 대한 입장을 설명해달라고 요청했고, 두 사람과 자세한 인터뷰를 한 후 Microsoft 보안 대응 센터의 이사들 - Mark Miller 및 Andrew Cushman - Cerrudo가 어떻게 무책임한 사람으로 묘사될 수 있는지 아직도 헷갈립니다. 파티.
밀러는 "우리는 완전한 공개에 참여하는 연구자들에게 신용을 인정하지 않습니다"라고 선언하면서 그러한 입장을 다음과 같은 개념을 장려하기 위한 엄격한 정책으로 설명했습니다. 연구원이 벤더에게 직접 버그를 보고하고 벤더에게 버그를 생성, 테스트 및 출시할 충분한 시간을 제공하는 "책임 있는 공개" 반점.
"전체 공개는 고객을 위험에 빠뜨리기 때문에 용납될 수 없습니다. 우리는 Cesar가 그 기간 동안 우리와 협력했다는 사실에 감사하지만 일단 대중에게 해당 정보를 제공한 후에는 고객에 대한 위험을 증가시켰습니다."라고 Miller는 말했습니다.
그러나 어느 시점에서 해당 책임 요소가 공급업체로 이전됩니까? (기억하세요, 우리는 연구원으로부터 2년 간의 사전 통지를 받는 것에 대해 이야기하고 있습니다.)
긴밀히 협력하고 있는 MSRC의 Cushman 냉소적인 해커 커뮤니티와 친해지려는 마이크로소프트의 노력, 책임 공개는 공급업체가 실제로 대응하는 경우에만 효과가 있다는 데 동의하지만 그는 주장합니다. 회사의 전반적인 실적은 회사가 결함에 대응하기 위해 노력하고 있음을 강력하게 입증합니다. 경고.
그래도 나는 끼어들었다. 이 경우에는 이년 수정 사항을 준비했지만 그렇지 않았습니다. 수정 사항을 발행하기로 결정했습니다 ~ 후에세루도는 상장했다. 여러 면에서 세루도는 도움이 되었다 공개적으로 공개하고 패치를 출시하도록 유도하여 Windows 사용자를 보호하세요.
"이 특별한 경우에는 복잡한 문제였습니다."라고 Cushman은 설명했습니다. "수정 사항은 상대적으로 복잡하고 아키텍처에 영향을 미치기 때문에 서비스 팩으로 해결하는 것이 가장 좋다고 결정했습니다. 우리는 그 의미와 왜 게시판을 통해 이를 다루지 않았는지에 대해 Cesar와 대화 중이었습니다. 이상적인 해결책은 Cesar가 우리에게 다시 와서 자신이 다시 생각하고 있다고 말하고 나에게 그의 주장을 고려할 기회를 주는 것이었습니다. 대신에 그는 Month of Kernel Bugs 릴리스를 공개하기로 결정했습니다."
밀러는 더욱 직설적으로 말했다: "마이크로소프트의 요점은 정말 분명합니다. 누군가가 고객을 위험에 빠뜨리면 우리는 그 고객에게 신용을 줄 수 없습니다. 우리는 그런 정책을 한 적도 없고 바꿀 생각도 없습니다."
다시 한 번 저는 Microsoft가 이 사실을 2년 동안 알고 수정 사항을 릴리스하지 않기로 결정했을 때 어떻게 Cerrudo가 고객을 위험에 빠뜨렸는지 설명해 달라고 요청했습니다.
쿠시먼은 "우리가 2년 동안 아무 것도 하지 않고 엄지손가락을 만지작거렸다고 쓰지 않기를 바란다"고 끼어들었다. "이것은 서비스 팩에 출시되도록 코딩되었습니다. 이는 심각한 버그가 아니라는 점을 기억하는 것이 중요합니다. 그것은 우리가 중요하다고 평가한 것입니다. 원격 코드 실행 위험이 없습니다."
"우리는 이 문제를 해결하기로 오래 전에 결정을 내렸습니다. 서비스팩으로 나오더군요. [MoKB 기간 중] 세부 정보가 공개되면서 마음이 바뀌었습니다. 이 문제를 해결하는 데에는 2년 간의 엔지니어링 비용이 소요되지 않았습니다.
이번 호에서는 공급업체와 연구원 간의 대화가 중요한 이유를 강조합니다. 우리는 Cesar가 업데이트를 볼 수 없어서 좌절감을 느꼈다는 것을 몰랐습니다. 아마도 그것은 우리가 개선하기 위해 노력해야 할 부분일 것입니다. 우리는 항상 상황을 개선할 수 있는 방법을 모색하고 있습니다.”라고 Cushman은 말했습니다.
"우리는 우리가 완벽하지 않다는 것을 알고 있지만 우리의 실적은 우리가 꽤 잘하고 있음을 보여줍니다. 지난 몇 년간 우리가 보안 취약점을 잘못 진단하거나 잘못 분류한 사례가 몇 번 있었습니다. 하지만 전반적으로 우리는 매우 좋은 일을 하고 있다고 생각한다"고 쿠시먼은 말했다.
Miller는 레드먼드에 접수되는 버그 보고서의 약 75%가 책임감 있게 수행된다는 점을 지적하면서 책임 있는 공개 개념이 매우 잘 작동하고 있다고 믿습니다.
그러나 Cushman 자신도 인정했듯이 이는 공급업체가 대응할 때만 작동합니다. 이 경우에는 실패했습니다. 주로 Microsoft 때문입니다.