專家發(fā)現(xiàn)漏洞后是否應(yīng)公開發(fā)布安全漏洞的概念驗(yàn)證?
是否公開發(fā)布安全漏洞(尤其是零日漏洞)的概念驗(yàn)證(PoC)代碼歷來是備受爭(zhēng)議的話題。在代碼公開之后往往會(huì)被威脅攻擊者所利用,在數(shù)天乃至數(shù)小時(shí)內(nèi)發(fā)起攻擊,導(dǎo)致終端用戶沒有充足的時(shí)間來修復(fù)受影響的系統(tǒng)。而公開這些PoC代碼的并非壞人或者其他獨(dú)立來源,而是理論上更應(yīng)該保護(hù)用戶的白帽安全研究人員。
圍繞著這個(gè)爭(zhēng)議做法的話題已經(jīng)持續(xù)多年時(shí)間,而信息安全領(lǐng)域的專家分成兩派。其中一方認(rèn)為安全研究人員不應(yīng)該發(fā)布PoC代碼,因?yàn)楣粽呖梢圆捎迷摯a并自動(dòng)化攻擊;而另一方認(rèn)為PoC代碼同時(shí)是測(cè)試大型網(wǎng)絡(luò)和識(shí)別存在漏洞系統(tǒng)所必須的,允許IT部門成員模擬未來可能遭受到的攻擊。
在上個(gè)月發(fā)布的“ 網(wǎng)絡(luò)安全威脅觀2018年第四季度 ”報(bào)告中,Positive Technologies的安全專家再次觸及了這場(chǎng)長(zhǎng)期爭(zhēng)論。
在這份報(bào)告中,Positive Technologies的安全專家并沒有給這個(gè)爭(zhēng)論下判斷,而是客觀陳述了當(dāng)前用戶面臨的安全問題。在漏洞發(fā)現(xiàn)的新聞曝光或者零日漏洞的PoC代碼公開之后,在兩種情況下黑客并沒有為用戶提供充足的時(shí)間來修復(fù)系統(tǒng)。
在這份季度威脅報(bào)告中,Positive Technologies表示這種情況發(fā)生的頻率越來越多。在報(bào)告中通過羅列了一系列安全事件,表明在PoC代碼公開之后會(huì)立即被黑客所利用。例如在推特上有安全專家公開了 Windows 系統(tǒng)零日漏洞的PoC代碼,隨后ESET安全專家就觀測(cè)到了此類惡意軟件活動(dòng)。例如在網(wǎng)絡(luò)上關(guān)于中文PHP框架的漏洞公開之后,數(shù)百萬網(wǎng)站立即遭到了攻擊。
在接受外媒ZDNet采訪時(shí)候,Positive Technologies的安全彈性負(fù)責(zé)人Leigh-Anne Galloway表示:“作為安全行業(yè)的一員,我們有責(zé)任倡導(dǎo)漏洞公示守則。但是并非所有人都遵循這個(gè)原則。同樣并非所有安全供應(yīng)商都知道或者了解!
通常公開披露的驅(qū)動(dòng)因素是因?yàn)楣⿷?yīng)商沒有認(rèn)識(shí)到問題的嚴(yán)重性,也沒有解決漏洞。或者安全研究人員可能已經(jīng)嘗試了所有其他途徑來傳達(dá)他們的發(fā)現(xiàn)。當(dāng)然,危險(xiǎn)的是犯罪分子可能使用此信息來攻擊受害者。供應(yīng)商要求提供證據(jù)證明該漏洞實(shí)際存在于他們的產(chǎn)品中,并且當(dāng)研究人員向他們報(bào)告漏洞時(shí)可以利用這些漏洞。研究人員需要證明它是如何被利用的,為此創(chuàng)建了PoC代碼。
通過CVSS系統(tǒng)來標(biāo)記該漏洞的危險(xiǎn)程度。如果供應(yīng)商向研究人員支付漏洞獎(jiǎng)勵(lì)框架內(nèi)發(fā)現(xiàn)的漏洞,研究人員會(huì)從這項(xiàng)工作中賺錢,但供應(yīng)商通常不會(huì)安排他們的bug-bounty計(jì)劃,研究人員可以從中得到的所有內(nèi)容都是專家社區(qū)的公開認(rèn)可。通過在互聯(lián)網(wǎng)上演示漏洞,展示操作和PoC代碼的一個(gè)例子,研究人員得到了認(rèn)可和尊重。
通常情況下,研究人員只有在他們通知供應(yīng)商有關(guān)漏洞的足夠長(zhǎng)時(shí)間后才會(huì)發(fā)布漏洞利用代碼,從而使產(chǎn)品開發(fā)人員有機(jī)會(huì)關(guān)閉漏洞并通知用戶需要安裝升級(jí)。但是,很多時(shí)候,供應(yīng)商會(huì)推遲發(fā)布補(bǔ)丁和更新,有時(shí)會(huì)延遲六個(gè)月以上,因此,在發(fā)布補(bǔ)丁之后,[PoC]漏洞的公示就會(huì)發(fā)生。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市