專家發(fā)現(xiàn)漏洞后是否應(yīng)公開發(fā)布安全漏洞的概念驗(yàn)證?
是否公開發(fā)布安全漏洞(尤其是零日漏洞)的概念驗(yàn)證(PoC)代碼歷來是備受爭議的話題。在代碼公開之后往往會被威脅攻擊者所利用,在數(shù)天乃至數(shù)小時(shí)內(nèi)發(fā)起攻擊,導(dǎo)致終端用戶沒有充足的時(shí)間來修復(fù)受影響的系統(tǒng)。而公開這些PoC代碼的并非壞人或者其他獨(dú)立來源,而是理論上更應(yīng)該保護(hù)用戶的白帽安全研究人員。
圍繞著這個(gè)爭議做法的話題已經(jīng)持續(xù)多年時(shí)間,而信息安全領(lǐng)域的專家分成兩派。其中一方認(rèn)為安全研究人員不應(yīng)該發(fā)布PoC代碼,因?yàn)楣粽呖梢圆捎迷摯a并自動化攻擊;而另一方認(rèn)為PoC代碼同時(shí)是測試大型網(wǎng)絡(luò)和識別存在漏洞系統(tǒng)所必須的,允許IT部門成員模擬未來可能遭受到的攻擊。
在上個(gè)月發(fā)布的“ 網(wǎng)絡(luò)安全威脅觀2018年第四季度 ”報(bào)告中,Positive Technologies的安全專家再次觸及了這場長期爭論。
在這份報(bào)告中,Positive Technologies的安全專家并沒有給這個(gè)爭論下判斷,而是客觀陳述了當(dāng)前用戶面臨的安全問題。在漏洞發(fā)現(xiàn)的新聞曝光或者零日漏洞的PoC代碼公開之后,在兩種情況下黑客并沒有為用戶提供充足的時(shí)間來修復(fù)系統(tǒng)。
在這份季度威脅報(bào)告中,Positive Technologies表示這種情況發(fā)生的頻率越來越多。在報(bào)告中通過羅列了一系列安全事件,表明在PoC代碼公開之后會立即被黑客所利用。例如在推特上有安全專家公開了 Windows 系統(tǒng)零日漏洞的PoC代碼,隨后ESET安全專家就觀測到了此類惡意軟件活動。例如在網(wǎng)絡(luò)上關(guān)于中文PHP框架的漏洞公開之后,數(shù)百萬網(wǎng)站立即遭到了攻擊。
在接受外媒ZDNet采訪時(shí)候,Positive Technologies的安全彈性負(fù)責(zé)人Leigh-Anne Galloway表示:“作為安全行業(yè)的一員,我們有責(zé)任倡導(dǎo)漏洞公示守則。但是并非所有人都遵循這個(gè)原則。同樣并非所有安全供應(yīng)商都知道或者了解!
通常公開披露的驅(qū)動因素是因?yàn)楣⿷?yīng)商沒有認(rèn)識到問題的嚴(yán)重性,也沒有解決漏洞;蛘甙踩芯咳藛T可能已經(jīng)嘗試了所有其他途徑來傳達(dá)他們的發(fā)現(xiàn)。當(dāng)然,危險(xiǎn)的是犯罪分子可能使用此信息來攻擊受害者。供應(yīng)商要求提供證據(jù)證明該漏洞實(shí)際存在于他們的產(chǎn)品中,并且當(dāng)研究人員向他們報(bào)告漏洞時(shí)可以利用這些漏洞。研究人員需要證明它是如何被利用的,為此創(chuàng)建了PoC代碼。
通過CVSS系統(tǒng)來標(biāo)記該漏洞的危險(xiǎn)程度。如果供應(yīng)商向研究人員支付漏洞獎(jiǎng)勵(lì)框架內(nèi)發(fā)現(xiàn)的漏洞,研究人員會從這項(xiàng)工作中賺錢,但供應(yīng)商通常不會安排他們的bug-bounty計(jì)劃,研究人員可以從中得到的所有內(nèi)容都是專家社區(qū)的公開認(rèn)可。通過在互聯(lián)網(wǎng)上演示漏洞,展示操作和PoC代碼的一個(gè)例子,研究人員得到了認(rèn)可和尊重。
通常情況下,研究人員只有在他們通知供應(yīng)商有關(guān)漏洞的足夠長時(shí)間后才會發(fā)布漏洞利用代碼,從而使產(chǎn)品開發(fā)人員有機(jī)會關(guān)閉漏洞并通知用戶需要安裝升級。但是,很多時(shí)候,供應(yīng)商會推遲發(fā)布補(bǔ)丁和更新,有時(shí)會延遲六個(gè)月以上,因此,在發(fā)布補(bǔ)丁之后,[PoC]漏洞的公示就會發(fā)生。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個(gè)字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市