黑帽駭客攻擊事件頻傳�����,為了推動(dòng)臺(tái)灣資安防護(hù)能量����,HITCON臺(tái)灣駭客年會(huì)9日宣布推出漏洞回報(bào)公益平臺(tái)VulReport,10日開(kāi)始營(yíng)運(yùn)����,讓有能力的白帽駭客(資安研究人員)有發(fā)揮的空間�,不要轉(zhuǎn)向詐騙�、吸金等黑色產(chǎn)業(yè),并改善臺(tái)灣的資安現(xiàn)況��。希望號(hào)召企業(yè)主動(dòng)登錄注冊(cè)����,讓VulReport平臺(tái)能找到企業(yè)對(duì)的資安窗口,能即時(shí)通報(bào)�����。
VulReport營(yíng)運(yùn)團(tuán)隊(duì)成員蘇展志指出��,社會(huì)對(duì)駭客有負(fù)面觀感�����,因?yàn)槌0l(fā)生無(wú)聊的駭客亂改網(wǎng)站的事�����,或是黑帽駭客跟黑道掛勾形成黑色產(chǎn)業(yè)的情況�����。然而,駭客其實(shí)是資安研究人員�����,漏洞是資安攻防的關(guān)鍵�����,應(yīng)該讓駭客有更好的方向走���,投入資安產(chǎn)業(yè),避免投入黑色產(chǎn)業(yè)���。
(圖說(shuō):HITCON推出公益漏洞回報(bào)平臺(tái)VulReport,提升臺(tái)灣資安防御能量�����。圖片來(lái)源:截自VulReport���。)
臺(tái)灣是全球殭尸網(wǎng)路第四大國(guó)��,有很多弱點(diǎn)沒(méi)有被修補(bǔ)�����,企業(yè)對(duì)資安的理解不高����,也沒(méi)有一個(gè)統(tǒng)一的弱點(diǎn)回報(bào)平臺(tái)���。蘇展志說(shuō)�,過(guò)去就算直接通報(bào)企業(yè)���,企業(yè)會(huì)覺(jué)得駭客在找碴����,并不領(lǐng)情。所以HITCON主動(dòng)成立VulReport漏洞回報(bào)平臺(tái)�����,讓駭客���、企業(yè)����、政府之間形成良好的循環(huán)�����,除了讓臺(tái)灣的駭客往正面方向發(fā)揮所長(zhǎng)���,也提升臺(tái)灣資安防御的能量。
國(guó)際正向鼓勵(lì)駭客找漏洞
此外���,國(guó)際普遍鼓勵(lì)駭客找出漏洞����,能形成正向的資安環(huán)境。像是Google就成立Project Zero����,鼓勵(lì)駭客找出Google的漏洞,并給出高額獎(jiǎng)金����,最高給到20萬(wàn)美金。2014年8月���,阿里巴巴也成立安全賞金計(jì)畫(huà)提供500萬(wàn)元獎(jiǎng)金��。中國(guó)的烏云平臺(tái)也有通用性軟體安全漏洞獎(jiǎng)勵(lì)計(jì)畫(huà)���,感謝100多位白帽駭客發(fā)現(xiàn)200多個(gè)漏洞。
VulReport強(qiáng)調(diào)會(huì)審核漏洞���,確定有問(wèn)題才會(huì)放在公布在網(wǎng)站上���,會(huì)把廠商的名字隱匿,也會(huì)隱蔽重要資訊����,不會(huì)公布所有細(xì)節(jié)���。
蘇展志說(shuō),一般企業(yè)不用付費(fèi)就可以得到漏洞通報(bào)及諮詢(xún)服務(wù)����,針對(duì)NGO、學(xué)校����、無(wú)自行修復(fù)能力小的中小企業(yè),VulReport會(huì)提供修補(bǔ)服務(wù)或諮詢(xún)����,也會(huì)提供學(xué)校資安社團(tuán)參與資安弱點(diǎn)修補(bǔ)實(shí)務(wù)訓(xùn)練,整合原本零散的安全研究人員或社群�。
(圖說(shuō):VulReport漏洞揭露流程�,至少確認(rèn)一個(gè)月后才會(huì)對(duì)大眾公開(kāi)。圖片來(lái)源:郭芝榕攝影��。)
企業(yè)可在網(wǎng)頁(yè)上放責(zé)任資安揭密政策
此外���,VulReport指出「負(fù)責(zé)任的揭露」的重要性�,有規(guī)模的企業(yè)可以成立安全回報(bào)中心�����,像阿里巴巴就成立安全應(yīng)急響應(yīng)中心����。小型企業(yè)應(yīng)該在網(wǎng)頁(yè)上放置責(zé)任資安揭密政策,歡迎駭客正向回報(bào)網(wǎng)站的問(wèn)題��,可以規(guī)定回報(bào)的細(xì)節(jié)并感謝幫你找到問(wèn)題的駭客�,這是很重要的關(guān)鍵,駭客可以幫你做很多事情�。
為了鼓勵(lì)駭客持續(xù)找出漏洞,VulReport平臺(tái)會(huì)針對(duì)找到漏洞的駭客計(jì)算積分����,會(huì)員所提供的年費(fèi)及額外的企業(yè)贊助,都會(huì)用來(lái)營(yíng)運(yùn)平臺(tái)及提供駭客獎(jiǎng)金��。有政府和更多企業(yè)贊助這個(gè)平臺(tái)��,可以讓駭客得到適當(dāng)?shù)幕仞?����,這個(gè)平臺(tái)才能永續(xù)經(jīng)營(yíng)。蘇展志也強(qiáng)調(diào)���,企業(yè)贊助VulReport是認(rèn)同這個(gè)平臺(tái)����,VulReport還是會(huì)善盡責(zé)任揭漏企業(yè)的漏洞���。
此外�����,HITCON也持續(xù)往下培育資安人才���,17、18日將在臺(tái)灣舉辦第一屆臺(tái)交網(wǎng)路攻防搶旗賽��,先前常參加國(guó)際網(wǎng)路攻防競(jìng)賽的HITCON戰(zhàn)隊(duì)�����,也將參加2015年?yáng)|京SECCON CTF新的賽制比賽����。
文章來(lái)源:機(jī)房監(jiān)控 http://qdlanhai.cn
