是否公開釋出安全漏洞(尤其是零日漏洞)的概念驗證(PoC)程式碼歷來是備受爭議的話題。在程式碼公開之後往往會被威脅攻擊者所利用,在數天乃至數小時內發起攻擊,導致終端使用者沒有充足的時間來修複受影響的系統。而公開這些 PoC 程式碼的並非壞人或者其他獨立來源,而是理論上更應該保護使用者的白帽安全研究人員。
圍繞著這個爭議做法的話題已經持續多年時間,而資訊保安領域的專家分成兩派。其中一方認為安全研究人員不應該釋出 PoC 程式碼,因為攻擊者可以採用該程式碼並自動化攻擊;而另一方認為 PoC 程式碼同時是測試大型網路和識別存在漏洞系統所必須的,允許IT部門成員模擬未來可能遭受到的攻擊。
在上個月釋出的“網路安全威脅觀 2018 年第四季度”報告中,Positive Technologies 的安全專家再次觸及了這場長期爭論。
在這份報告中,Positive Technologies 的安全專家並沒有給這個爭論下判斷,而是客觀陳述了當前使用者面臨的安全問題。在漏洞發現的新聞曝光或者零日漏洞的 PoC 程式碼公開之後,在兩種情況下駭客並沒有為使用者提供充足的時間來修複系統。
在這份季度威脅報告中,Positive Technologies 表示這種情況發生的頻率越來越多。在報告中透過羅列了一系列安全事件,表明在PoC程式碼公開之後會立即被駭客所利用。例如在推特上有安全專家公開了 Windows 系統零日漏洞的 PoC 程式碼,隨後 ESET 安全專家就觀測到了此類惡意軟體活動。例如在網路上關於中文 PHP 框架的漏洞公開之後,數百萬網站立即遭到了攻擊。
在接受外媒 ZDNet 採訪時候,Positive Technologies 的安全彈性負責人 Leigh-Anne Galloway 表示:
“作為安全行業的一員,我們有責任倡導漏洞公示守則。但是並非所有人都遵循這個原則。同樣並非所有安全供應商都知道或者瞭解。……通常公開披露的驅動因素是因為供應商沒有認識到問題的嚴重性,也沒有解決漏洞。或者安全研究人員可能已經嘗試了所有其他途徑來傳達他們的發現。當然,危險的是犯罪分子可能使用此資訊來攻擊受害者。供應商要求提供證據證明該漏洞實際存在於他們的產品中,並且當研究人員向他們報告漏洞時可以利用這些漏洞。研究人員需要證明它是如何被利用的,為此建立了PoC程式碼。”
透過 CVSS 系統來標記該漏洞的危險程度。如果供應商向研究人員支付漏洞獎勵框架內發現的漏洞,研究人員會從這項工作中賺錢,但供應商通常不會安排他們的 bug-bounty 計劃,研究人員可以從中得到的所有內容都是專家社群的公開認可。透過在網際網路上演示漏洞,展示操作和 PoC 程式碼的一個例子,研究人員得到了認可和尊重。
通常情況下,研究人員只有在他們通知供應商有關漏洞的足夠長時間後才會釋出漏洞利用程式碼,從而使產品開發人員有機會關閉漏洞並通知使用者需要安裝升級。但是,很多時候,供應商會推遲釋出補丁和更新,有時會延遲六個月以上,因此,在釋出補丁之後,[PoC] 漏洞的公示就會發生。
來源:cnBeta.COM
更多資訊
印度外包巨頭遭入侵
印度 IT 外包巨頭 Wipro 正在調查其 IT 系統遭到入侵,並被用於對其客戶發動攻擊的報道。Wipro 是印度第三大 IT 外包公司,匿名訊息來源稱該公司的系統被用於作為起跳點對其數十家客戶的系統發動釣魚式刺探。
來源: solidot.org
詳情: http://t.cn/EX9pVxu
微軟向 Office 使用者提供更多資料收集控制選項
近年來,微軟對自家產品和服務引入了更加激進的資料收集政策,但這也惹惱了許多註重隱私的客戶。無論是 Windows 10 作業系統,還是 Microsoft Office 生產力套件,均包含了獲取遙測資料的功能。但長期以來,使用者並不能對資料收集的選項作出太多的調整,更別提輕鬆的找到相關的設定選項了。不過最近,微軟正在醞釀給 Office 使用者帶來一項新的變化。
來源: cnBeta.COM
詳情: http://t.cn/EX9piRr
卡巴斯基報告:70% 的駭客攻擊事件瞄準 Office 漏洞
據美國科技媒體 ZDNet 援引卡巴斯基實驗室報告稱,駭客最喜歡攻擊微軟 Office 產品。 在安全分析師峰會上,卡巴斯基表示,分析卡巴斯基產品偵測的攻擊後發現,2018 年四季度有 70% 利用了Office 漏洞。而在2016年四季度,這一比例只有16%。
來源: 新浪科技
詳情: http://t.cn/EX9pKCN
個人資料保護邁出勇敢一步
新加坡亞洲新聞網 4 月 15 日文章,原題:中國加大對個人資料的保護 長期以來,中國政府部門、商業機構及普通消費者一直在努力應對新興網際網路技術對個人資料保護造成的影響。隨著有關問題日益嚴重,中國正推進制定改寫國內外企業的國家層面的法律,以保護消費者隱私。
來源: 環球時報
詳情: http://t.cn/EX9ppe3
(資訊來源於網路,安華金和蒐集整理)
朋友會在“發現-看一看”看到你“在看”的內容