热门关键词:

台湾第一个漏洞回报公益平台上线,台湾企业遭骇漏洞,骇客高手帮你找

发布于2018-02-12 19:55:04
发布于2018-02-12 19:55:04,资讯台湾第一个漏洞回报公益平台上线,台湾企业遭骇漏洞,骇客高手帮你找,最新消息报道,手机发烧友娱乐新闻

不论所有的软件或者是硬件,只要是人写的程式,就一定会有漏洞,而在国外,包括政府和民间都有许多漏洞回报平台,让资安专家提供的漏洞可以通报到正确的窗口。在台湾,由资安社群HITCON(台湾骇客年会)正式维运的漏洞回报公益平台VulReport,在历经1个月的公开测试后,将于1月9日正式公开。发起人也同时是台湾骇客年会创办人徐千洋表示,白帽骇客回报资安漏洞可以促进资安正面发展,该平台扮演揭发漏洞的骇客与受骇政府或企业之间的沟通桥梁,透过正面面对资安漏洞,共同提升台湾资安意识,打造更安全的网络环境。

他山之石可以攻错,打造台湾的漏洞回报公益平台

以隶属美国国土安全部旗下的US-CERT为例,不定期都会有各种企业或软硬件产品设备的漏洞警报,这往往都是,US-CERT在接获骇客的通报后,会对大众发布资安警报,若是厂商产品或企业,通常都已经先行通报受骇厂商或企业并已经在最短期间内完成漏洞修补,再公告周知;若是未知但影响重大的漏洞,例如:Heartbleed或者是入侵索尼影业的SMB蠕虫,也会第一时间发布警告,提醒大众注意。

另外,像是软件大厂Google,为了鼓励骇客回报漏洞,也有一个漏洞回报计划Google Vulnerability Reward Program(VRP),在中国也有乌云网,专门针对中国网站和产品发布各种资安通报。

徐千洋说,上述这些单位发布通报的目的,最终就是希望督促受骇业者能第一时间面对并修补漏洞,对终端使用者而言,就是可以享受更安全的网络环境。只不过,台湾政府和企业面对各种资安漏洞的通报,往往都是回避、隐匿,甚至抱持家丑不可外扬的态度,极力遮掩,反而缺乏正面面对漏洞并及早修复的态度。

因为网络世界无国界,许多网站和系统服务,使用者少则数百,多则数百万,只要一个网站上有漏洞没有修补,就可能会立即影响这个网站的使用者,不论是使用者个资外泄,或者是使用者终端电脑因此被植入恶意程式,成为被骇客绑架的傀儡电脑(Bot),后果都相当严重。

为了改善这样的资安问题,徐千洋协同HITCON许多资安专家,以志工方式共同推出第一个台湾漏洞回报公益平台VulReport,也希望以正面的方式,鼓励更多资安业者和企业用户共同参与这样的平台,改善台湾整体的资安环境。

鼓励企业和厂商注册成为免费会员,若为正式会员有其他福利

目前,台湾漏洞回报公益平台在接获骇客通报后,都会主动通报受骇业者,若是政府部门相关的漏洞,也会和TWCERT合作,将相关漏洞回报给受骇单位。徐千洋表示,如果受骇单位没有注册成该平台的会员,该平台通报漏洞给受骇企业后,不论受骇企业是否有回应,都会在通报后的45天内,在不造成二度攻击的前提下,揭露这个漏洞或资安事件的技术细节,但如果是比较严重的通用型漏洞,则会将揭露漏洞的时间延长为90天。该平台,也会针对通报内容,提供受骇业者远端资安顾问咨询服务0.5小时。

因为没有注册成会员,对于台湾漏洞回报公益平台而言,因为没有适当的资安事件处理窗口,在通报上更麻烦。所以,徐千洋鼓励所有的企业和厂商,都可以填写企业账号申请表,注册成为免费会员,上面有该企业的资安联系窗口,未来所有资安事件通报除了在网站公告外,也可以在第一时间回报给受骇单位知情,同时也会针对漏洞提供1小时的远端资安顾问咨询服务。

因为有适当的资安通报窗口,受骇企业在接获通报后,也应该主动和该平台联系,通报后续漏洞修正和处理的状况,等到接获受骇企业修正完毕后的通报后,才会对外揭露该漏衖的资安细节。但如果迟迟没有接获受骇企业后续回应,该平台也会在45天或90天后,在不造成二度攻击的前提下,揭露该资安漏洞的技术细节作为提醒。

不过,徐千洋表示,为了让这样的漏洞回报公益平台可以永续经营,该平台也鼓励企业和厂商成为正式会员,相关的费用除了用来维运该平台的运作外,也会提拨部分经费,作为鼓励揭露漏洞资安研究员的奖励。

如果注册成为正式会员,该平台接获与该受骇企业相关的漏洞或资安事件时,会优先通知该单位,并且暂时不在网站公开;而受骇单位在接到通报后,也必须尽速回应,并且必须在通报后的45天或90天内,完成漏洞修复。该平台会在接到受骇单位修复完毕后,或者是没有接获受骇企业回应,在45天或90天后,会在不造成二度攻击的前提下,于网站揭露该漏洞或资安事件的技术细节。

徐千洋表示,注册成为正式会员在权力和义务上,一定和免费会员有所不同,除了会优先通报该单位相关的安全漏洞或是资安事外,该单位每年也可以提出1个网站给该平台,会由资深资安顾问进行一次测试,每个月也提供远端资安顾问咨询服务2小时,若是有资安通报事件,则会针对通报内容,提供1小时的现场咨询服务。如果该企业有招聘资安人员的资讯,也可以在该平台上放置招募讯息或相关连结。不过,正式会员必须要缴交年费10万元。除了正式会员外,该平台还有黄金级和钻石级的赞助会员,依照年费不同,该平台也提供不一样的权力义务。

但徐千洋也强调,漏洞通报不会因为会员有无注册有所不同,也不会因为有没有成为正式会员,而有不同的通报态度,差别在于该平台可以提供会员不一样的资安服务水准,但最终,“相关漏洞或资安事件的技术细节公开,是不变的共识。”他说。

台湾漏洞回报公益平台VulReportc会以匿名方式先公布骇客高手提报的企业遭骇通报,若受骇企业是平台成员,也能第一时间得到通知。

  • 赞助商广告