• 發布單位:TWCERT/CC
• 更新日期:2019-03-23
• 點閱次數:942

1.「不要再把我們當詐騙集團！」ZeroDay平台發言人翁浩正在第十三屆台灣駭客年會上對企業呼籲。他希望透過ZeroDay平台讓台灣企業了解遇到駭客通報漏洞應怎麼做，把資安人員和駭客變成企業助力。

漏洞通報平台Hitcon ZeroDay發言人翁浩正在第十三屆台灣駭客年會（HITCON）上對企業呼籲，並點出企業因應資安漏洞的三大反應將直接決定漏洞對企業的傷害程度。
最好的情況是，企業網站上提供資安通報窗口，且窗口的層級夠高，能夠迅速回應、討論修復方式並修復完成，有些甚至會主動給予通報者獎金。
其次的情況是，面對漏洞提報的敏感度不夠高的企業，通常反應不積極，就曾有企業在收到漏洞提報後，稱他們看不出有漏洞，讓翁浩正相當無奈，只能苦笑：「這不是漏洞，難道是功能嗎？」但最讓他們感到難過的是，有些企業會認為他們視為惡意的詐騙集團。除了態度消極，這類企業也多會有屢次修不好，和修補時間過長等狀況，甚至還會盲目使用防火牆設備阻擋。要繞過防火牆對駭客來說並不難，企業明確把漏洞修補好才是治本。
最糟的狀況，還是當他們向企業提報漏洞後，企業完全沒有回應，而且可怕的是這個比例在Hitcon ZeroDay平台剛發布時，甚至高達了五成。
為什麼會有這麼多漏洞？資安專家林昆立認為，主因就是「複製貼上工程師」太多，包含知名程式問答網站Stack Overflow、程式教學書籍的範例、學校課程等，許多程式碼範例本身就有漏洞，因此開發者若照單全收，系統自然會有漏洞。

參考連結：

https://www.bnext.com.tw/article/45929/hitcon-2017-zero-day
https://2.bp.blogspot.com/-LPHMtm1xziM/WNsy2CoNLdI/AAAAAAAAKyY/65JYVXBINhM_qZf2M1sQafnw3hq1KRUlQCLcB/s1600/20170329009.jpg