黑帽駭客攻擊事件頻傳,為了推動台灣資安防護能量,HITCON台灣駭客年會9日宣布推出漏洞回報公益平台VulReport,10日開始營運,讓有能力的白帽駭客(資安研究人員)有發揮的空間,不要轉向詐騙、吸金等黑色產業,並改善台灣的資安現況。希望號召企業主動登錄註冊,讓VulReport平台能找到企業對的資安窗口,能即時通報。
VulReport營運團隊成員蘇展志指出,社會對駭客有負面觀感,因為常發生無聊的駭客亂改網站的事,或是黑帽駭客跟黑道掛勾形成黑色產業的情況。然而,駭客其實是資安研究人員,漏洞是資安攻防的關鍵,應該讓駭客有更好的方向走,投入資安產業,避免投入黑色產業。
(圖說:HITCON推出公益漏洞回報平台VulReport,提升台灣資安防禦能量。圖片來源:截自VulReport。)
台灣是全球殭屍網路第四大國,有很多弱點沒有被修補,企業對資安的理解不高,也沒有一個統一的弱點回報平台。蘇展志說,過去就算直接通報企業,企業會覺得駭客在找碴,並不領情。所以HITCON主動成立VulReport漏洞回報平台,讓駭客、企業、政府之間形成良好的循環,除了讓台灣的駭客往正面方向發揮所長,也提升台灣資安防禦的能量。
國際正向鼓勵駭客找漏洞
此外,國際普遍鼓勵駭客找出漏洞,能形成正向的資安環境。像是Google就成立Project Zero,鼓勵駭客找出Google的漏洞,並給出高額獎金,最高給到20萬美金。2014年8月,阿里巴巴也成立安全賞金計畫提供500萬元獎金。中國的烏雲平台也有通用性軟體安全漏洞獎勵計畫,感謝100多位白帽駭客發現200多個漏洞。
VulReport強調會審核漏洞,確定有問題才會放在公布在網站上,會把廠商的名字隱匿,也會隱蔽重要資訊,不會公布所有細節。
蘇展志說,一般企業不用付費就可以得到漏洞通報及諮詢服務,針對NGO、學校、無自行修復能力小的中小企業,VulReport會提供修補服務或諮詢,也會提供學校資安社團參與資安弱點修補實務訓練,整合原本零散的安全研究人員或社群。
(圖說:VulReport漏洞揭露流程,至少確認一個月後才會對大眾公開。圖片來源:郭芝榕攝影。)
企業可在網頁上放責任資安揭密政策
此外,VulReport指出「負責任的揭露」的重要性,有規模的企業可以成立安全回報中心,像阿里巴巴就成立安全應急響應中心。小型企業應該在網頁上放置責任資安揭密政策,歡迎駭客正向回報網站的問題,可以規定回報的細節並感謝幫你找到問題的駭客,這是很重要的關鍵,駭客可以幫你做很多事情。
為了鼓勵駭客持續找出漏洞,VulReport平台會針對找到漏洞的駭客計算積分,會員所提供的年費及額外的企業贊助,都會用來營運平台及提供駭客獎金。有政府和更多企業贊助這個平台,可以讓駭客得到適當的回饋,這個平台才能永續經營。蘇展志也強調,企業贊助VulReport是認同這個平台,VulReport還是會善盡責任揭漏企業的漏洞。
此外,HITCON也持續往下培育資安人才,17、18日將在台灣舉辦第一屆台交網路攻防搶旗賽,先前常參加國際網路攻防競賽的HITCON戰隊,也將參加2015年東京SECCON CTF新的賽制比賽。