歡迎光臨
每天分享高質量文章

每日安全資訊:專家發現漏洞後是否公示?新報告稱已淪為黑客揮向用戶的屠刀 | Linux 中國

在漏洞發現的新聞曝光或者零日漏洞的 PoC 代碼公開之後,在兩種情況下黑客並沒有為用戶提供充足的時間來修複系統。

— 安華金和

 

是否公開發佈安全漏洞(尤其是零日漏洞)的概念驗證(PoC)代碼歷來是備受爭議的話題。在代碼公開之後往往會被威脅攻擊者所利用,在數天乃至數小時內發起攻擊,導致終端用戶沒有充足的時間來修複受影響的系統。而公開這些 PoC 代碼的並非壞人或者其他獨立來源,而是理論上更應該保護用戶的白帽安全研究人員。

圍繞著這個爭議做法的話題已經持續多年時間,而信息安全領域的專家分成兩派。其中一方認為安全研究人員不應該發佈 PoC 代碼,因為攻擊者可以採用該代碼並自動化攻擊;而另一方認為 PoC 代碼同時是測試大型網絡和識別存在漏洞系統所必須的,允許IT部門成員模擬未來可能遭受到的攻擊。

在上個月發佈的“網絡安全威脅觀 2018 年第四季度”報告中,Positive Technologies 的安全專家再次觸及了這場長期爭論。

在這份報告中,Positive Technologies 的安全專家並沒有給這個爭論下判斷,而是客觀陳述了當前用戶面臨的安全問題。在漏洞發現的新聞曝光或者零日漏洞的 PoC 代碼公開之後,在兩種情況下黑客並沒有為用戶提供充足的時間來修複系統。

在這份季度威脅報告中,Positive Technologies 表示這種情況發生的頻率越來越多。在報告中通過羅列了一系列安全事件,表明在PoC代碼公開之後會立即被黑客所利用。例如在推特上有安全專家公開了 Windows 系統零日漏洞的 PoC 代碼,隨後 ESET 安全專家就觀測到了此類惡意軟體活動。例如在網絡上關於中文 PHP 框架的漏洞公開之後,數百萬網站立即遭到了攻擊。

在接受外媒 ZDNet 採訪時候,Positive Technologies 的安全彈性負責人 Leigh-Anne Galloway 表示:

“作為安全行業的一員,我們有責任倡導漏洞公示守則。但是並非所有人都遵循這個原則。同樣並非所有安全供應商都知道或者瞭解。……通常公開披露的驅動因素是因為供應商沒有認識到問題的嚴重性,也沒有解決漏洞。或者安全研究人員可能已經嘗試了所有其他途徑來傳達他們的發現。當然,危險的是犯罪分子可能使用此信息來攻擊受害者。供應商要求提供證據證明該漏洞實際存在於他們的產品中,並且當研究人員向他們報告漏洞時可以利用這些漏洞。研究人員需要證明它是如何被利用的,為此創建了PoC代碼。”

通過 CVSS 系統來標記該漏洞的危險程度。如果供應商向研究人員支付漏洞獎勵框架內發現的漏洞,研究人員會從這項工作中賺錢,但供應商通常不會安排他們的 bug-bounty 計劃,研究人員可以從中得到的所有內容都是專家社區的公開認可。通過在互聯網上演示漏洞,展示操作和 PoC 代碼的一個例子,研究人員得到了認可和尊重。

通常情況下,研究人員只有在他們通知供應商有關漏洞的足夠長時間後才會發佈漏洞利用代碼,從而使產品開發人員有機會關閉漏洞並通知用戶需要安裝升級。但是,很多時候,供應商會推遲發佈補丁和更新,有時會延遲六個月以上,因此,在發佈補丁之後,[PoC] 漏洞的公示就會發生。

來源:cnBeta.COM

更多資訊

印度外包巨頭遭入侵

印度 IT 外包巨頭 Wipro 正在調查其 IT 系統遭到入侵,並被用於對其客戶發動攻擊的報道。Wipro 是印度第三大 IT 外包公司,匿名訊息來源稱該公司的系統被用於作為起跳點對其數十家客戶的系統發動釣魚式刺探。

來源: solidot.org

詳情: http://t.cn/EX9pVxu

微軟向 Office 用戶提供更多資料收集控制選項

近年來,微軟對自家產品和服務引入了更加激進的資料收集政策,但這也惹惱了許多註重隱私的客戶。無論是 Windows 10 操作系統,還是 Microsoft Office 生產力套件,均包含了獲取遙測資料的功能。但長期以來,用戶並不能對資料收集的選項作出太多的調整,更別提輕鬆的找到相關的設置選項了。不過最近,微軟正在醞釀給 Office 用戶帶來一項新的變化。

來源: cnBeta.COM

詳情: http://t.cn/EX9piRr

卡巴斯基報告:70% 的黑客攻擊事件瞄準 Office 漏洞

據美國科技媒體 ZDNet 援引卡巴斯基實驗室報告稱,黑客最喜歡攻擊微軟 Office 產品。 在安全分析師峰會Security Analyst Summit上,卡巴斯基表示,分析卡巴斯基產品偵測的攻擊後發現,2018 年四季度有 70% 利用了Office 漏洞。而在2016年四季度,這一比例只有16%。

來源: 新浪科技

詳情: http://t.cn/EX9pKCN

個人資料保護邁出勇敢一步

新加坡亞洲新聞網 4 月 15 日文章,原題:中國加大對個人資料的保護  長期以來,中國政府部門、商業機構及普通消費者一直在努力應對新興互聯網技術對個人資料保護造成的影響。隨著有關問題日益嚴重,中國正推進制定改寫國內外企業的國家層面的法律,以保護消費者隱私。

來源: 環球時報

詳情: http://t.cn/EX9ppe3

(信息來源於網絡,安華金和搜集整理)

已同步到看一看
赞(0)

分享創造快樂