黑帽駭客攻擊事件頻傳���,為了推動臺灣資安防護能量���,HITCON臺灣駭客年會9日宣布推出漏洞回報公益平臺VulReport����,10日開始營運�����,讓有能力的白帽駭客(資安研究人員)有發(fā)揮的空間��,不要轉向詐騙�����、吸金等黑色產業(yè)��,并改善臺灣的資安現(xiàn)況��。希望號召企業(yè)主動登錄注冊�,讓VulReport平臺能找到企業(yè)對的資安窗口,能即時通報��。
VulReport營運團隊成員蘇展志指出���,社會對駭客有負面觀感�,因為常發(fā)生無聊的駭客亂改網站的事,或是黑帽駭客跟黑道掛勾形成黑色產業(yè)的情況�。然而,駭客其實是資安研究人員�����,漏洞是資安攻防的關鍵����,應該讓駭客有更好的方向走,投入資安產業(yè)����,避免投入黑色產業(yè)。
(圖說:HITCON推出公益漏洞回報平臺VulReport�,提升臺灣資安防御能量��。圖片來源:截自VulReport。)
臺灣是全球殭尸網路第四大國�,有很多弱點沒有被修補,企業(yè)對資安的理解不高�����,也沒有一個統(tǒng)一的弱點回報平臺��。蘇展志說�,過去就算直接通報企業(yè),企業(yè)會覺得駭客在找碴����,并不領情。所以HITCON主動成立VulReport漏洞回報平臺����,讓駭客、企業(yè)���、政府之間形成良好的循環(huán)�,除了讓臺灣的駭客往正面方向發(fā)揮所長����,也提升臺灣資安防御的能量����。
國際正向鼓勵駭客找漏洞
此外�,國際普遍鼓勵駭客找出漏洞,能形成正向的資安環(huán)境����。像是Google就成立Project Zero,鼓勵駭客找出Google的漏洞���,并給出高額獎金�,最高給到20萬美金�。2014年8月,阿里巴巴也成立安全賞金計畫提供500萬元獎金���。中國的烏云平臺也有通用性軟體安全漏洞獎勵計畫�����,感謝100多位白帽駭客發(fā)現(xiàn)200多個漏洞。
VulReport強調會審核漏洞���,確定有問題才會放在公布在網站上����,會把廠商的名字隱匿,也會隱蔽重要資訊��,不會公布所有細節(jié)�。
蘇展志說,一般企業(yè)不用付費就可以得到漏洞通報及諮詢服務�,針對NGO、學校�、無自行修復能力小的中小企業(yè),VulReport會提供修補服務或諮詢�����,也會提供學校資安社團參與資安弱點修補實務訓練���,整合原本零散的安全研究人員或社群�。
(圖說:VulReport漏洞揭露流程,至少確認一個月后才會對大眾公開����。圖片來源:郭芝榕攝影。)
企業(yè)可在網頁上放責任資安揭密政策
此外���,VulReport指出「負責任的揭露」的重要性�����,有規(guī)模的企業(yè)可以成立安全回報中心���,像阿里巴巴就成立安全應急響應中心。小型企業(yè)應該在網頁上放置責任資安揭密政策���,歡迎駭客正向回報網站的問題��,可以規(guī)定回報的細節(jié)并感謝幫你找到問題的駭客��,這是很重要的關鍵�����,駭客可以幫你做很多事情����。
為了鼓勵駭客持續(xù)找出漏洞�����,VulReport平臺會針對找到漏洞的駭客計算積分����,會員所提供的年費及額外的企業(yè)贊助,都會用來營運平臺及提供駭客獎金����。有政府和更多企業(yè)贊助這個平臺,可以讓駭客得到適當?shù)幕仞?���,這個平臺才能永續(xù)經營。蘇展志也強調����,企業(yè)贊助VulReport是認同這個平臺,VulReport還是會善盡責任揭漏企業(yè)的漏洞��。
此外��,HITCON也持續(xù)往下培育資安人才,17�、18日將在臺灣舉辦第一屆臺交網路攻防搶旗賽,先前常參加國際網路攻防競賽的HITCON戰(zhàn)隊���,也將參加2015年東京SECCON CTF新的賽制比賽�����。
文章來源:機房監(jiān)控 http://www.dr4xxf.cn
