侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

專家發(fā)現(xiàn)漏洞后是否應(yīng)公開發(fā)布安全漏洞的概念驗(yàn)證?

是否公開發(fā)布安全漏洞(尤其是零日漏洞)的概念驗(yàn)證(PoC)代碼歷來是備受爭議的話題。在代碼公開之后往往會被威脅攻擊者所利用,在數(shù)天乃至數(shù)小時(shí)內(nèi)發(fā)起攻擊,導(dǎo)致終端用戶沒有充足的時(shí)間來修復(fù)受影響的系統(tǒng)。而公開這些PoC代碼的并非壞人或者其他獨(dú)立來源,而是理論上更應(yīng)該保護(hù)用戶的白帽安全研究人員。

圍繞著這個(gè)爭議做法的話題已經(jīng)持續(xù)多年時(shí)間,而信息安全領(lǐng)域的專家分成兩派。其中一方認(rèn)為安全研究人員不應(yīng)該發(fā)布PoC代碼,因?yàn)楣粽呖梢圆捎迷摯a并自動化攻擊;而另一方認(rèn)為PoC代碼同時(shí)是測試大型網(wǎng)絡(luò)和識別存在漏洞系統(tǒng)所必須的,允許IT部門成員模擬未來可能遭受到的攻擊。

在上個(gè)月發(fā)布的“ 網(wǎng)絡(luò)安全威脅觀2018年第四季度 ”報(bào)告中,Positive Technologies的安全專家再次觸及了這場長期爭論。

在這份報(bào)告中,Positive Technologies的安全專家并沒有給這個(gè)爭論下判斷,而是客觀陳述了當(dāng)前用戶面臨的安全問題。在漏洞發(fā)現(xiàn)的新聞曝光或者零日漏洞的PoC代碼公開之后,在兩種情況下黑客并沒有為用戶提供充足的時(shí)間來修復(fù)系統(tǒng)。

在這份季度威脅報(bào)告中,Positive Technologies表示這種情況發(fā)生的頻率越來越多。在報(bào)告中通過羅列了一系列安全事件,表明在PoC代碼公開之后會立即被黑客所利用。例如在推特上有安全專家公開了 Windows 系統(tǒng)零日漏洞的PoC代碼,隨后ESET安全專家就觀測到了此類惡意軟件活動。例如在網(wǎng)絡(luò)上關(guān)于中文PHP框架的漏洞公開之后,數(shù)百萬網(wǎng)站立即遭到了攻擊。

在接受外媒ZDNet采訪時(shí)候,Positive Technologies的安全彈性負(fù)責(zé)人Leigh-Anne Galloway表示:“作為安全行業(yè)的一員,我們有責(zé)任倡導(dǎo)漏洞公示守則。但是并非所有人都遵循這個(gè)原則。同樣并非所有安全供應(yīng)商都知道或者了解!

通常公開披露的驅(qū)動因素是因?yàn)楣⿷?yīng)商沒有認(rèn)識到問題的嚴(yán)重性,也沒有解決漏洞;蛘甙踩芯咳藛T可能已經(jīng)嘗試了所有其他途徑來傳達(dá)他們的發(fā)現(xiàn)。當(dāng)然,危險(xiǎn)的是犯罪分子可能使用此信息來攻擊受害者。供應(yīng)商要求提供證據(jù)證明該漏洞實(shí)際存在于他們的產(chǎn)品中,并且當(dāng)研究人員向他們報(bào)告漏洞時(shí)可以利用這些漏洞。研究人員需要證明它是如何被利用的,為此創(chuàng)建了PoC代碼。

通過CVSS系統(tǒng)來標(biāo)記該漏洞的危險(xiǎn)程度。如果供應(yīng)商向研究人員支付漏洞獎(jiǎng)勵(lì)框架內(nèi)發(fā)現(xiàn)的漏洞,研究人員會從這項(xiàng)工作中賺錢,但供應(yīng)商通常不會安排他們的bug-bounty計(jì)劃,研究人員可以從中得到的所有內(nèi)容都是專家社區(qū)的公開認(rèn)可。通過在互聯(lián)網(wǎng)上演示漏洞,展示操作和PoC代碼的一個(gè)例子,研究人員得到了認(rèn)可和尊重。

通常情況下,研究人員只有在他們通知供應(yīng)商有關(guān)漏洞的足夠長時(shí)間后才會發(fā)布漏洞利用代碼,從而使產(chǎn)品開發(fā)人員有機(jī)會關(guān)閉漏洞并通知用戶需要安裝升級。但是,很多時(shí)候,供應(yīng)商會推遲發(fā)布補(bǔ)丁和更新,有時(shí)會延遲六個(gè)月以上,因此,在發(fā)布補(bǔ)丁之后,[PoC]漏洞的公示就會發(fā)生。

聲明: 本文由入駐維科號的作者撰寫,觀點(diǎn)僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報(bào)。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個(gè)字

您提交的評論過于頻繁,請輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無評論

暫無評論

    安防 獵頭職位 更多
    文章糾錯(cuò)
    x
    *文字標(biāo)題:
    *糾錯(cuò)內(nèi)容:
    聯(lián)系郵箱:
    *驗(yàn) 證 碼:

    粵公網(wǎng)安備 44030502002758號