臺灣最大的資安社群活動,第14屆臺灣駭客年會(HITCON)社群場於今明兩日(27日、28日)於南港展覽館展開。在今日下午的議程中,去年擔任臺灣駭客年會社群場總召的翁浩正,也針對HITCON ZeroDay漏洞通報計畫,公布最新發展現況。

許多國外企業或廠商,對於漏洞通報這件事情,早已經習以為常,這也是促成正向資安環境的方式。

翁浩正指出,HITCON ZeroDay成立兩週年了,國內對於漏洞通報的觀念已經慢慢在轉變。但他也表示,也許還是有人沒聽過Hitcon ZeroDay計畫,像是仍有企業寫信來問,這個平臺申請企業帳號要多少錢?因此他再次說明,HITCON ZeroDay 是「社團法人台灣駭客協會」所發起的公益計畫,成員是由協會成員及志工組成。

談到漏洞平臺對於企業的幫助,翁浩正提到,像是兩年前中國漏洞通報平臺烏雲,大幅度的改變中國的資安生態,很多網站都是因為這樣的漏洞通報之後,而變得很安全,所以很多臺灣的駭客反應說,自從有了烏雲之後,中國的網站變得較難打了。翁浩正希望臺灣這邊的通報,能達到一樣的效果。

翁浩正表示,目前HITCON ZeroDay註冊的使用者數量約1,500人,註冊的企業帳號數也達300家,而通報企業數量也達2,300家。若與今年3月他們公布的數據比較,漏洞通報平臺註冊數有明顯增加,像是註冊的使用者數量增加300名,企業帳戶數多50個,通報的企業數量也多300家。

現場,他公布HITCON ZeroDay平臺最新統計數據,今年(2018年1月至今)的所有漏洞通報的類型中,有53%的通報,是SQL Injection漏洞,21%是XSS漏洞,7%是資訊洩漏,是漏洞通報中居於前三的分類。相較於去年度的結果,排名一樣,不過,當時SQL Injection漏洞的比例僅39%,今年通報比重明顯大幅增加。另外,已修復後漏洞公開的比例為24.3%,也就是說,大約是每4件漏洞通報中,只有1件有企業修補。翁浩正指出,儘管大部分的企業還是沒有回應,但與之前的比例來看,是有緩慢增加的趨勢,他們也認為,臺灣企業對於漏洞態度是有越來越積極的跡象。

在HITCON ZeroDay漏洞通報數據的揭露之外,這次並邀請了平臺上的兩位通報積分前十大的人士,現身分享他們的經驗與心得。雖然兩人都是去年才開始加入通報行列,並對資安產生濃厚的興趣,但他們也表示,希望企業能更重視網站漏洞問題,畢竟,通知後若能得到對方將網站問題修復的答案,也會讓他們感到成就。

關於漏洞修補通報,翁浩正也再次強調,企業要能建立順暢的通報環境,因為許多漏洞通報的情況,是無法聯繫到企業窗口,漏洞也就無從修補。因此,企業在網站上,最好提供資安窗口或相關聯絡人,並要建立漏洞通報的SOP,同時也要注意網域的註冊人資訊是否正確。另外,他也提醒網站委外開發的影響。由於很多企業網站是委外開發,但開發團隊的品質不佳,將導致所有委外業者的所有專案,都出現相同的問題。

特別推出專用數位貨幣與密室脫逃新活動

在今年的HITCON社群場中,除了多項技術分享的議程之外,大會活動也是一直以來的重點。這次大會以「鏈出世界、解密未來」為理念,強調出區塊鏈技術中數據的儲存、 驗證、傳遞,與資安息息相關的概念,並因為分散式節點的去中心化,傳達出資訊自由交流的駭客精神。

這次大會不僅推出專用的數位貨幣,稱為HITCON Token,並推出限定的冷錢包,也就是開源的區塊鏈硬體電路板,含電子紙、WIFI與藍牙(BLE)等多種功能,且電路板內建安全元件、可離線存放密碼貨幣。而在大會舉行的資安競賽中,更新推出實境挑戰遊戲HITCON Hackdoor,結合密室逃脫、實境解謎與工作坊桌邊教學,帶來多樣化的挑戰題型,包含門禁系統破解、無線連網設備入侵、破解手機密碼檔、無線網路Wi-Fi等,由淺入深地,帶領與會者學習和挑戰生活中的各種物聯網裝置,並察覺任何系統可能存在的資安問題。


Advertisement

更多 iThome相關內容