「漏洞」也可能是助力?資安專家提醒企業三種反應決定傷害程度

2017.08.30 by
張庭瑜
James Huang 攝影
「不要再把我們當詐騙集團!」ZeroDay平台發言人翁浩正在第十三屆台灣駭客年會上對企業呼籲。他希望透過ZeroDay平台讓台灣企業了解遇到駭客通報漏洞應怎麼做,把資安人員和駭客變成企業助力。

「不要再把我們當詐騙集團!」漏洞通報平台Hitcon ZeroDay發言人翁浩正在第十三屆台灣駭客年會(HITCON)上對企業呼籲,並點出企業因應資安漏洞的三大反應將直接決定漏洞對企業的傷害程度。

第13屆台灣駭客年會總召翁浩正表示,希望Hitcon ZeroDay平台能搭起駭客和企業間的橋樑,將漏洞轉為助力。
James Huang 攝影

什麼是零時差漏洞?

在國外,不少大企業提供獎金獵人(Bug Bounty)計畫,祭出高額獎金鼓勵駭客向企業提報漏洞,但多數國內企業面對漏洞提報仍相當陌生,甚至認為駭客抓漏洞是為了勒索、向警察報案。

為了搭起資安專家和企業的橋樑,台灣駭客年會在2016年設置企業漏洞通報平台Hitcon ZeroDay,在接獲通報、確認漏洞形成的原因和影響後,會聯繫該企業的資安窗口、予以提醒,迄今已收到逾百件漏洞提報。該平台名稱取自「零時差漏洞」(Zero Day),指的是還沒修補完成的程式安全漏洞。

ZeroDay平台也會公開每則通報的處理進度,讓通報者即時了解漏洞修補狀況,不過直到漏洞修復完成才會公開名稱和細節,以保護企業。
截圖自Hitcon ZeroDay網站

面對漏洞通報,企業反應分三等級

而根據過去這段時間以來的經驗,翁浩正發現台灣廠商面對漏洞通報的反應可以分成三等級。

最好的情況是,企業網站上提供資安通報窗口,且窗口的層級夠高,能夠迅速回應、討論修復方式並修復完成,有些甚至會主動給予通報者獎金。

而對漏洞提報的敏感度不夠高的企業,通常反應不積極,讓他們哭笑不得的情況也不少見。就曾有企業在收到漏洞提報後,稱他們看不出有漏洞,讓翁浩正相當無奈,只能苦笑:「這不是漏洞,難道是功能嗎?」但最讓他們感到難過的或許是,有些企業會認為是通報者將漏洞放到網路上,換言之,就是將他們視為惡意的詐騙集團。

除了態度消極,這類企業也多會有屢次修不好,和修補時間過長等狀況,甚至還會盲目使用防火牆設備阻擋。「這是台灣企業最大的錯誤。」翁浩正說。「要繞過防火牆對駭客來說並不難,企業明確把漏洞修補好才是治本。」

而翁浩正認為這當中最糟的狀況,還是當他們向企業提報漏洞後,企業完全沒有回應,而且可怕的是這個比例在Hitcon ZeroDay平台剛發布時,甚至高達了五成。不過他也理解,由於許多零售業都是小本經營,企業內部沒有IT人員,網站經常都是外包經營,因此很難立刻反應。

但就如TWCERT/CC副主任吳專吉所說的,很多資安攻擊其實是連鎖反應,如果能盡快解決,就能把損失減到最小。

資安專家:「複製貼上工程師太多」是系統漏洞多的主因

此外,也值得關注的是,為什麼會有這麼多漏洞?資安專家林昆立(外號木棍)認為,主因就是「複製貼上工程師」太多,包含知名程式問答網站Stack Overflow、程式教學書籍的範例、學校課程等,許多程式碼範例本身就有漏洞,因此開發者若照單全收,系統自然會有漏洞。對此翁浩正補充,多看官方說明書,會比參考其他管道的範例更有幫助。

每日精選科技圈重要消息