對於臺灣漏洞通報現況,自2015年底開始設立的HITCON ZeroDay,每隔一段時間就會公布國內的通報趨勢,23日第15屆臺灣駭客年會(HITCON)社群場開跑,其中一場議程,公布了2019年最新的漏洞趨勢,其中弱密碼的問題,成為今年新的關注焦點,同時,在漏洞通報之外,現在HITCON ZeroDay平臺增加了全新的人才媒合功能,不僅幫助尋覓資安人才的企業,同時也提供漏洞研究人員接觸更多工作機會。

關於HITCON ZeroDay的最新進況,HITCON常務理事翁浩正表示,至2019年8月下旬,現在平臺註冊的使用者數量達2,200人,註冊的組織(企業)帳號數有400家,而通報組織數量約3,000家。

若與我們一年前(2018年7月下旬)看到的數據相比,使用者數量增加幅度明顯,從當時的1,500人又增加了700人,而組織帳號方面,也從當時的300家又增加100家。這也顯示,參與漏洞獎勵計畫的通報者,以及重視通報的企業組織,在HITCON ZeroDay上,都有持續增長趨勢。

對於大家所關注的臺灣漏洞通報現況,翁浩正先說明了2018年度的情形,在所有漏洞通報的類型中,以佔了43%的SQL Injection漏洞最多,另有19%是XSS漏洞。

若與前一年度相比,上述兩類型漏洞儘管是警告多年的問題,但依然佔據前兩名,不過,當時原本排第三的資訊洩漏,比例則有減少,從15%降至5%。

今年弱密碼問題通報大增,RCE漏洞問題也要注意

在2019年,今年(2019年1月至今),與前一年度相比有很明顯的變化。儘管SQL Injection漏洞仍以31%佔最多,XSS漏洞以16%居次,至於資訊洩漏與檔案下載漏洞,兩者都是12%排第三。不過翁浩正特別強調了弱密碼問題,是今年新的焦點,以6%比例進前五名,他指出這些漏洞是在通報預設密碼沒有修改,或是使用的密碼很簡單。

對於弱密碼的問題,或許一些人已經知道帳密填充攻擊(Credential Stuffing),或是撞庫攻擊。他也再次說明,現在很多駭客都在蒐集各種已經外洩的密碼,來嘗試登入各個網站,很多企業雖然買了一些解決方案、網站或設備,可是從來沒有改過密碼,導致這些系統會受到這種方式來攻擊。因此,弱密碼將是企業不可忽視的問題。

另外,具有非常嚴重性的Shell/RCE漏洞,也從去年的2%升至4%。

特別的是,今年HITCON ZeroDay也邀請了3組漏洞通報者,分享他們挖掘漏洞的經驗,其中,有兩組國內的研究人員,另一組是來自香港,隸屬於雲端及網路安全服務商UDomain。

以UDomain為例,他們在香港的學校進行滲透測試時,發現校園綜合平臺eClass系列產品的漏洞,包括存在繞過驗證漏洞,直接存取管理頁面內容,同時,他們也找到SQL Injection漏洞,可被注入攻擊字串,而他們也將eClass的漏洞問題,通報到HITCON ZeroDay平臺,之後轉通報到台灣電腦網路危機處理暨協調中心(TWCERT)協助處理。UDomain並建議用戶將相關系統更新至最新版本。

 

人才媒合新功能上線,幫助企業組織徵才及使用者求職

特別值得一提的是,平臺上提供的「企業帳號」免費註冊,現在改稱之為「組織帳號」。他表示,原因是有些協會與學校單位來詢問,他們不是企業是否可以申請,其實,不論公司、法人、學校或團體,只要組織握有一些主機、會被通報漏洞,都可以來這個平臺註冊。一旦註冊後,組織就可以更方便的與通報者溝通,而平臺上也提供像是RSS訂閱,可以掌握那些漏洞被公開。

在這三年發展下來,現在HITCON ZeroDay的後臺功能越來越完整,繼去年初推出漏洞獎勵計畫,促進企業組織與漏洞通報者溝通與激勵,去年底也揭露國內群暉、工研院、台電與Bitmark在平臺上發布漏洞懸賞計畫的題目,翁浩正這次更是表示,他們今年開始新提供了人才媒合的功能。

這其實是許多企業都有的需求,不少企業其實都會關注資安人才要去哪裡找?對此,現在他們也因應這樣的需求,並在平臺上開發出相關功能。

對於註冊組織帳號的企業組織而言,透過後臺的人才媒合功能,組織可以列出企業缺那些類型的人,像是滲透測試工程師、資安研究員,以及張貼公司資訊,工作性質、月薪範圍、多久到職、上班時段,需求人數、福利、說明等。另外,平臺上也內建了宣傳的功能,可投放徵才訊息,而他們也為了避免這個功能被濫用,因此有設計訊息投放限制。

另一方面,對於使用者來說,在平臺上將能夠看到各組織發布的徵才訊息,也能透過職務類型去挑選,像是攻擊、防禦、研發、研究、調查、顧問與主管等,甚至直接透過透過平臺上的私訊功能來交談與詢問。

這與一般求職網站又有何不同?翁浩正指出,由於HITCON Zeroday本身是一個漏洞通報的平臺,因此每個使用者在漏洞通報的貢獻,就能成為一種證明,而企業找尋人才時,也可以設定貢獻度在幾顆星級以上。

而這樣的新功能,顯示平臺的功能已經更進化,不僅搭起臺灣資安專家與企業組織在漏洞通報的橋樑,同時也是幫助企業組織尋找資安人才的另一管道,以及漏洞通報者求職的新途徑。

熱門新聞

Advertisement