2008-09-09

防堵零時差攻擊,微軟祭出新作法

防堵零時差攻擊,微軟祭出新作法
文/黃彥棻 (記者) 2008-08-28

微軟在美國黑帽大會上宣布,改變每個月漏洞修補日的發布流程,未來將會事先告知相關廠商漏洞訊息,以杜絕駭客發動零時差攻擊。


微軟每個月第2個星期二定期公布的漏洞修補,成為駭客作為零時差攻擊(Zero Day Attack)的溫床。微軟日前在美國黑帽大會(Black Hat)上宣布,將調整漏洞修補作法,提前告知合作的第三方廠商,藉此降低駭客透過逆向分析手法,找到系統漏洞,而藉此發動零時差攻擊。

這世上沒有完美的產品,所有產品都有改善的空間。對許多資安公司或獨立的資安研究員而言,發現漏洞、公布漏洞、修補漏洞是一個正常的漏洞修補程序。不過,目前業界對於弱點的揭露、公布以致修補的流程做法,並沒有共識。

微軟在黑帽大會上宣布,每個月第2個星期二安全性修補日的漏洞修補,至少會提前一天告知相關的合作伙伴或第三方合作廠商。中華電信資安技術研發組組長李倫銓表示:「微軟的作法是正確的,這有助於軟體供應商提升自我的安全性,又能降低企業遭受零時差衝擊的機率。」
李倫銓指出,以往就有駭客利用微軟定期發布修補程式的機會,透過特殊程式分析系統修補狀態,一旦知道系統修補了什麼弱點後,就直接寫出攻擊程式。「微軟的漏洞修補日,是被駭客利用來研發漏洞並發動攻擊的搖籃。」他說。

臺灣微軟伺服器平臺事業部資深產品行銷經理羅廷儀表示,以往微軟對於弱點揭露和後續的漏洞修補都比較被動,但現在微軟對於弱點揭露則抱持主動態 度,「不論是網站或者是0800免費客服系統,都歡迎資安人員主動提供相關的漏洞資訊,微軟會有專門團隊進行後續的漏洞確認和追蹤。」她說。

阿碼科技(Armorize)執行長黃耀文表示,有很多廠商在面對資安研究員提出他們產品相關弱點時,很多公司第一件事情就是要求簽署NDA(不 對外公布條約),不簽署NDA,廠商也不願意跟研究員進一步談論。黃耀文不諱言,他也曾經面對相同的情況。他說,對於資安研究員而言,發現各種弱點都是該 研究員信譽的累積,面對廠商不願意面對可能的弱點揭露,只要求資安研究員封口的作法,不願意折衷出一個兩全其美的方式,都只會扼殺資安能量進一步的發展。 羅廷儀則表示,目前微軟不再要求資安研究員簽署任何NDA。文☉黃彥棻

http://www.ithome.com.tw/itadm/article.php?c=50462

從Google到銀行最信任的鎖都有漏洞

產品漏洞的問題是無所不在。日前剛落幕的美國黑帽大會(Black Hat)以及DefCon,就有許多資安人員揭露漏洞。

早 在黑帽大會和DefCon舉辦之前,資安研究員Dan Kaminsky就已經事先揭露DNS伺服器的漏洞。資安公司SecTheory的執行長Robert "RSnake" Hansen,和Cenzic資深資安研究員Tom Stracener,則共同揭露Google Gadgets的弱點。RSnake表示,他已經花了3年的時間,透過各種管道希望Google修補相關的漏洞。只不過,在他將Google Gadgets弱點完全揭露前,Google都無動於衷。

在會議舉辦前,美國法院還下令,禁止麻省理工學院(MIT)學生在DefCon中,演說如何入侵波士頓的地鐵系統;甚至是,許多美國銀行現在使用號稱最安全的鎖Medeco,也在DefCon會議中被揭露產品弱點,而且同時有專家在當場示範開鎖。

阿碼科技(Armorize)執行長黃耀文表示,駭客可以從許多管道得知各種產品的漏洞,但各種禁止漏洞被揭露的方式,不論是透過法院發布禁令,或者是簽署NDA,都只是讓製造產品的廠商有規避修補弱點的機會而已,對整個資安產業的安全性提升,並沒有助益。文☉黃彥棻

沒有留言: