黑帽骇客攻击事件频传,为了推动台湾资安防护能量,贬滨罢颁翱狈台湾骇客年会9日宣布推出漏洞回报公益平台痴耻濒搁别辫辞谤迟,10日开始营运,让有能力的白帽骇客(资安研究人员)有发挥的空间,不要转向诈骗、吸金等黑色产业,并改善台湾的资安现况。希望号召公司主动登录注册,让痴耻濒搁别辫辞谤迟平台能找到公司对的资安窗口,能即时通报。
痴耻濒搁别辫辞谤迟营运团队成员苏展志指出,社会对骇客有负面观感,因为常发生无聊的骇客乱改网站的事,或是黑帽骇客跟黑道挂勾形成黑色产业的情况。然而,骇客其实是资安研究人员,漏洞是资安攻防的关键,应该让骇客有更好的方向走,投入资安产业,避免投入黑色产业。
(图说:贬滨罢颁翱狈推出公益漏洞回报平台痴耻濒搁别辫辞谤迟,提升台湾资安防御能量。图片来源:截自痴耻濒搁别辫辞谤迟。)
台湾是全球殭尸网路第四大国,有很多弱点没有被修补,公司对资安的理解不高,也没有一个统一的弱点回报平台。苏展志说,过去就算直接通报公司,公司会觉得骇客在找碴,并不领情。所以贬滨罢颁翱狈主动成立痴耻濒搁别辫辞谤迟漏洞回报平台,让骇客、公司、政府��之间形成良好的循环,除了让台湾的骇客往正面方向发挥所长,也提升台湾资安防御的能量。
国际正向鼓励骇客找漏洞
此外,国际普遍鼓励骇客找出漏洞,能形成正向的资安环境。像是Google就成立Project Zero,鼓励骇客找出Google的漏洞,并给出高额奖金,最高给到20万美金。2014年8月,阿里巴巴也成立安全赏金计画提供500万元奖金。中国的乌云平台也有通用性软体安全漏洞奖励计画,感谢100多位白帽骇客发现200多个漏洞。
痴耻濒搁别辫辞谤迟强调会审核漏洞,确定有问题才会放在公布在网站上,会把厂商的名字隐匿,也会隐蔽重要资讯,不会公布所有细节。
苏展志说,一般公司不用付费就可以得到漏洞通报及谘询服务,针对狈骋翱、学校、无自行修复能力小的中小公司,痴耻濒搁别辫辞谤迟会提供修补服务或谘询,也会提供学校资安社团参与资安弱点修补实务训练,整合原本零散的安全研究人员或社群。
(图说:痴耻濒搁别辫辞谤迟漏洞揭露流程,至少确认一个月后才会对大众公开。图片来源:郭芝榕摄影。)
公司可在网页上放责任资安揭密政策
此外,痴耻濒搁别辫辞谤迟指出「负责任的揭露」的重要性,有规模的公司可以成立安全回报中心,像阿里巴巴就成立安全应急响应中心。小型公司应该在网页上放置责任资安揭密政策,欢迎骇客正向回报网站的问题,可以规定回报的细节并感谢帮你找到问题的骇客,这是很重要的关键,骇客可以帮你做很多事情。
为了鼓励骇客持续找出漏洞,痴耻濒搁别辫辞谤迟平台会针对找到漏洞的骇客计算积分,会员所提供的年费及额外的公司赞助,都会用来营运平台及提供骇客奖金。有政府和更多公司赞助这个平台,可以让骇客得到适当的回馈,这个平台才能永续经营。苏展志也强调,公司赞助痴耻濒搁别辫辞谤迟是认同这个平台,痴耻濒搁别辫辞谤迟还是会善尽责任揭漏公司的漏洞。
此外,HITCON也持续往下培育资安人才,17、18日将在台湾举办第一届台交网路攻防抢旗赛,先前常参加国际网路攻防竞赛的HITCON战队,也将参加2015年东京SECCON CTF新的赛制比赛。
文章来源:机房监控
