不論所有的軟體或者是硬體,只要是人寫的程式,就一定會有漏洞,而在國外,包括政府和民間都有許多漏洞回報平臺,讓資安專家提供的漏洞可以通報到正確的窗口。在臺灣,由資安社群HITCON(臺灣駭客年會)正式維運的漏洞回報公益平臺VulReport,在歷經1個月的公開測試後,將於1月9日正式公開。發起人也同時是臺灣駭客年會創辦人徐千洋表示,白帽駭客回報資安漏洞可以促進資安正面發展,該平臺扮演揭發漏洞的駭客與受駭政府或企業之間的溝通橋樑,透過正面面對資安漏洞,共同提升臺灣資安意識,打造更安全的網路環境。

他山之石可以攻錯,打造臺灣的漏洞回報公益平臺

以隸屬美國國土安全部旗下的US-CERT為例,不定期都會有各種企業或軟硬體產品設備的漏洞警報,這往往都是,US-CERT在接獲駭客的通報後,會對大眾發布資安警報,若是廠商產品或企業,通常都已經先行通報受駭廠商或企業並已經在最短期間內完成漏洞修補,再公告周知;若是未知但影響重大的漏洞,例如:Heartbleed或者是入侵索尼影業的SMB蠕蟲,也會第一時間發布警告,提醒大眾注意。

另外,像是軟體大廠Google,為了鼓勵駭客回報漏洞,也有一個漏洞回報計畫Google Vulnerability Reward Program(VRP),在中國也有烏雲網,專門針對中國網站和產品發布各種資安通報。

徐千洋說,上述這些單位發布通報的目的,最終就是希望督促受駭業者能第一時間面對並修補漏洞,對終端使用者而言,就是可以享受更安全的網路環境。只不過,臺灣政府和企業面對各種資安漏洞的通報,往往都是迴避、隱匿,甚至抱持家醜不可外揚的態度,極力遮掩,反而缺乏正面面對漏洞並及早修復的態度。

因為網路世界無國界,許多網站和系統服務,使用者少則數百,多則數百萬,只要一個網站上有漏洞沒有修補,就可能會立即影響這個網站的使用者,不論是使用者個資外洩,或者是使用者終端電腦因此被植入惡意程式,成為被駭客綁架的傀儡電腦(Bot),後果都相當嚴重。

為了改善這樣的資安問題,徐千洋協同HITCON許多資安專家,以志工方式共同推出第一個臺灣漏洞回報公益平臺VulReport,也希望以正面的方式,鼓勵更多資安業者和企業用戶共同參與這樣的平臺,改善臺灣整體的資安環境。

鼓勵企業和廠商註冊成為免費會員,若為正式會員有其他福利

目前,臺灣漏洞回報公益平臺在接獲駭客通報後,都會主動通報受駭業者,若是政府部門相關的漏洞,也會和TWCERT合作,將相關漏洞回報給受駭單位。徐千洋表示,如果受駭單位沒有註冊成該平臺的會員,該平臺通報漏洞給受駭企業後,不論受駭企業是否有回應,都會在通報後的45天內,在不造成二度攻擊的前提下,揭露這個漏洞或資安事件的技術細節,但如果是比較嚴重的通用型漏洞,則會將揭露漏洞的時間延長為90天。該平臺,也會針對通報內容,提供受駭業者遠端資安顧問諮詢服務0.5小時。

因為沒有註冊成會員,對於臺灣漏洞回報公益平臺而言,因為沒有適當的資安事件處理窗口,在通報上更麻煩。所以,徐千洋鼓勵所有的企業和廠商,都可以填寫企業帳號申請表,註冊成為免費會員,上面有該企業的資安聯繫窗口,未來所有資安事件通報除了在網站公告外,也可以在第一時間回報給受駭單位知情,同時也會針對漏洞提供1小時的遠端資安顧問諮詢服務。

因為有適當的資安通報窗口,受駭企業在接獲通報後,也應該主動和該平臺聯繫,通報後續漏洞修正和處理的狀況,等到接獲受駭企業修正完畢後的通報後,才會對外揭露該漏衖的資安細節。但如果遲遲沒有接獲受駭企業後續回應,該平臺也會在45天或90天後,在不造成二度攻擊的前提下,揭露該資安漏洞的技術細節作為提醒。

不過,徐千洋表示,為了讓這樣的漏洞回報公益平臺可以永續經營,該平臺也鼓勵企業和廠商成為正式會員,相關的費用除了用來維運該平臺的運作外,也會提撥部分經費,作為鼓勵揭露漏洞資安研究員的獎勵。

如果註冊成為正式會員,該平臺接獲與該受駭企業相關的漏洞或資安事件時,會優先通知該單位,並且暫時不在網站公開;而受駭單位在接到通報後,也必須儘速回應,並且必須在通報後的45天或90天內,完成漏洞修復。該平臺會在接到受駭單位修復完畢後,或者是沒有接獲受駭企業回應,在45天或90天後,會在不造成二度攻擊的前提下,於網站揭露該漏洞或資安事件的技術細節。

徐千洋表示,註冊成為正式會員在權力和義務上,一定和免費會員有所不同,除了會優先通報該單位相關的安全漏洞或是資安事外,該單位每年也可以提出1個網站給該平臺,會由資深資安顧問進行一次測試,每個月也提供遠端資安顧問諮詢服務2小時,若是有資安通報事件,則會針對通報內容,提供1小時的現場諮詢服務。如果該企業有招聘資安人員的資訊,也可以在該平臺上放置招募訊息或相關連結。不過,正式會員必須要繳交年費10萬元。除了正式會員外,該平臺還有黃金級和鑽石級的贊助會員,依照年費不同,該平臺也提供不一樣的權力義務。

但徐千洋也強調,漏洞通報不會因為會員有無註冊有所不同,也不會因為有沒有成為正式會員,而有不同的通報態度,差別在於該平臺可以提供會員不一樣的資安服務水準,但最終,「相關漏洞或資安事件的技術細節公開,是不變的共識。」他說。

 

臺灣漏洞回報公益平臺VulReportc會以匿名方式先公布駭客高手提報的企業遭駭通報,若受駭企業是平臺成員,也能第一時間得到通知。

 


Advertisement

更多 iThome相關內容