全台最大的駭客社群台灣駭客協會近年來最重要的專案之一,便是於2015年底上線的HITCON ZeroDay資安漏洞通報平台。
這個平台提供了許多民間高手一展身手的舞台,找出了許多企業及組織的安全漏洞,並透過該平台提供這些企業組織關於漏洞修補上的建議。
在23日揭開序幕的台灣駭客年會(HITCON CMT)上,曾任HITCON總召、現為資安公司DEVCORE執行長的翁浩正公開了透過HITCON ZeroDay平台上的紀錄所分析出的2019年台灣資安漏洞趨勢,並在平台上新增了企業人才媒合的新功能,為台灣資安人才開闢了更多的求職機會。
HITCON ZeroDay取信於政府、企業、民間人士,為漏洞抓捕提供正向渠道
HITCON ZeroDay並非台灣第一個漏洞通報平台,卻是第一個非政府的民間通報平台。翁浩正指出,許多民間資安人士與政府的距離遙遠,許多人發現資安漏洞後不願意通報政府平台,而是直接聯繫網站有漏洞的企業及組織,反而時常會被當作是惡意人士有不法的意圖。
「事實上,由於很多企業得到漏洞情報時不會以正面方式與民間資安人士溝通,導致在某一些案例中,民間資安人士就轉而把漏洞賣給黑色產業。」 翁浩正表示。
因此,由於台灣駭客協會成立已逾15年,每年透過舉辦年會、競賽培育、教育訓練等活動在資安界中享有聲譽,能夠扮演起政府、企業與民間資安人士的溝通橋樑。同時,HITCON ZeroDay上也有完整的通報流程,讓企業及組織能夠透過平台修補自身漏洞,情報提供者也可以自平台上獲得獎金、甚至得到工作機會。
長期不更新、採用老舊外部系統,台灣企業資安漏洞多
截至目前為止,平台上已累積了5,000多個漏洞通報,有400多間企業、組織及政府單位在平台上註冊,而台電及群暉等公司更是直接召開獎勵計畫,向各路好手廣發英雄帖,希望他們來協助找出公司系統的漏洞。
平台上的數據統計也發現,漏洞的類型中,最大宗的為SQL Injection及XSS的漏洞,各佔31%及16%。這兩種漏洞能夠讓攻擊者可以將惡意程式碼夾帶進資料庫或者網站上,可說是最常見的資安漏洞之一。
此外,跟去年相比,今年還多出了6%用弱密碼來進行攻擊的案例。弱密碼顧名思義,是採用預設密碼的帳戶遭到惡意人士盜用的攻擊。
「這些都是長期以來一直存在,而且很容易處理的漏洞。這代表許多台灣企業及組織對資安漏洞的挖掘跟修補皆有待加強。其中,弱密碼攻擊的增加,恐怕也代表國際間的惡意組織已發現台灣企業在密碼強度上的弱點,因而鎖定台灣攻擊。」翁浩正表示。
不過,翁浩正也指出,很多時候不一定是企業或組織自己的問題,而是他們所採用的外部系統供應商有漏洞。「這種情況下,企業主無法自己修,倘若設備原廠又不願意更新,就會陷入兩難。」
漏洞通報平台新增人才媒合功能,欲解決台灣資安人才不足問題
此外,平台今年的一大更新重點,則是為民間資安人士提供企業媒合的功能。組織單位註冊後,可以在平台上公布徵才需求,透過私訊功能他們也可以主動去聯繫平台上的資安人士。
翁浩正強調,這與一般求職網站不同的是,民間資安人士可以透過自己在平台上發布的漏洞做為能力證明,而HITCON ZeroDay上也有漏洞通報的貢獻排行榜,這些資料都會是企業徵才時的參考依據。
翁浩正表示,即便是資工領域畢業的學生,也不一定會在學校學到駭客抓漏洞的技術。駭客通常都是自學而成,學習門檻高。但是現在各家企業對資安的需求越來越多,導致人才越來越難找。他們希望透過這個平台,可以或多或少協助解決台灣資安人才難覓的問題。而台灣駭客協會也有和教育部合作,透過人才培育計畫來補足教育制度上的不足。
作為HITCON ZeroDay的負責人,翁浩正表示目前平台的功能已差不多完備,未來的重點就在於繼續進行優化,讓使用者體驗能夠更加順暢,並想辦法邀請更多企業及組織在平台上註冊。然而後者不是一件容易的事。「許多我們在發現漏洞後聯繫的企業及組織,都覺得我們很可疑,」翁浩正笑說。
但這點小挫折不會影響到他們。台灣駭客年會今年已是第15屆,從第一屆就已加入的他,未來也會持續用駭客的技術,來幫助台灣、幫助企業。「我相信駭客的力量可以讓這個社會變得更好。」他以堅定的口吻表示。
責任編輯:蕭閔云
