黑帽駭客攻擊事件頻傳����,為了推動臺灣資安防護能量���,HITCON臺灣駭客年會9日宣布推出漏洞回報公益平臺VulReport��,10日開始營運�����,讓有能力的白帽駭客(資安研究人員)有發(fā)揮的空間��,不要轉(zhuǎn)向詐騙��、吸金等黑色產(chǎn)業(yè)����,并改善臺灣的資安現(xiàn)況。希望號召企業(yè)主動登錄注冊���,讓VulReport平臺能找到企業(yè)對的資安窗口��,能即時通報���。
VulReport營運團隊成員蘇展志指出,社會對駭客有負(fù)面觀感�,因為常發(fā)生無聊的駭客亂改網(wǎng)站的事,或是黑帽駭客跟黑道掛勾形成黑色產(chǎn)業(yè)的情況�。然而,駭客其實是資安研究人員���,漏洞是資安攻防的關(guān)鍵���,應(yīng)該讓駭客有更好的方向走��,投入資安產(chǎn)業(yè),避免投入黑色產(chǎn)業(yè)����。
(圖說:HITCON推出公益漏洞回報平臺VulReport���,提升臺灣資安防御能量。圖片來源:截自VulReport���。)
臺灣是全球殭尸網(wǎng)路第四大國�,有很多弱點沒有被修補�����,企業(yè)對資安的理解不高,也沒有一個統(tǒng)一的弱點回報平臺�。蘇展志說,過去就算直接通報企業(yè)��,企業(yè)會覺得駭客在找碴��,并不領(lǐng)情�����。所以HITCON主動成立VulReport漏洞回報平臺�����,讓駭客����、企業(yè)、政府之間形成良好的循環(huán)��,除了讓臺灣的駭客往正面方向發(fā)揮所長���,也提升臺灣資安防御的能量�。
國際正向鼓勵駭客找漏洞
此外�����,國際普遍鼓勵駭客找出漏洞���,能形成正向的資安環(huán)境�。像是Google就成立Project Zero�����,鼓勵駭客找出Google的漏洞�,并給出高額獎金,最高給到20萬美金���。2014年8月���,阿里巴巴也成立安全賞金計畫提供500萬元獎金。中國的烏云平臺也有通用性軟體安全漏洞獎勵計畫��,感謝100多位白帽駭客發(fā)現(xiàn)200多個漏洞�����。
VulReport強調(diào)會審核漏洞����,確定有問題才會放在公布在網(wǎng)站上���,會把廠商的名字隱匿,也會隱蔽重要資訊����,不會公布所有細(xì)節(jié)。
蘇展志說�����,一般企業(yè)不用付費就可以得到漏洞通報及諮詢服務(wù)�����,針對NGO���、學(xué)校�����、無自行修復(fù)能力小的中小企業(yè)����,VulReport會提供修補服務(wù)或諮詢,也會提供學(xué)校資安社團參與資安弱點修補實務(wù)訓(xùn)練����,整合原本零散的安全研究人員或社群����。
(圖說:VulReport漏洞揭露流程����,至少確認(rèn)一個月后才會對大眾公開。圖片來源:郭芝榕攝影�����。)
企業(yè)可在網(wǎng)頁上放責(zé)任資安揭密政策
此外��,VulReport指出「負(fù)責(zé)任的揭露」的重要性����,有規(guī)模的企業(yè)可以成立安全回報中心,像阿里巴巴就成立安全應(yīng)急響應(yīng)中心�����。小型企業(yè)應(yīng)該在網(wǎng)頁上放置責(zé)任資安揭密政策,歡迎駭客正向回報網(wǎng)站的問題�,可以規(guī)定回報的細(xì)節(jié)并感謝幫你找到問題的駭客,這是很重要的關(guān)鍵����,駭客可以幫你做很多事情。
為了鼓勵駭客持續(xù)找出漏洞��,VulReport平臺會針對找到漏洞的駭客計算積分����,會員所提供的年費及額外的企業(yè)贊助,都會用來營運平臺及提供駭客獎金�����。有政府和更多企業(yè)贊助這個平臺��,可以讓駭客得到適當(dāng)?shù)幕仞?�,這個平臺才能永續(xù)經(jīng)營��。蘇展志也強調(diào),企業(yè)贊助VulReport是認(rèn)同這個平臺�����,VulReport還是會善盡責(zé)任揭漏企業(yè)的漏洞�����。
此外�����,HITCON也持續(xù)往下培育資安人才�,17�、18日將在臺灣舉辦第一屆臺交網(wǎng)路攻防搶旗賽,先前常參加國際網(wǎng)路攻防競賽的HITCON戰(zhàn)隊����,也將參加2015年東京SECCON CTF新的賽制比賽。
文章來源:機房監(jiān)控 http://www.nyjcworld.com
