防堵零時差攻擊，微軟祭出新作法

防堵零時差攻擊，微軟祭出新作法

文/黃彥棻 (記者) 2008-08-28

微軟在美國黑帽大會上宣布，改變每個月漏洞修補日的發布流程，未來將會事先告知相關廠商漏洞訊息，以杜絕駭客發動零時差攻擊。

微軟每個月第2個星期二定期公布的漏洞修補，成為駭客作為零時差攻擊（Zero Day Attack）的溫床。微軟日前在美國黑帽大會（Black Hat）上宣布，將調整漏洞修補作法，提前告知合作的第三方廠商，藉此降低駭客透過逆向分析手法，找到系統漏洞，而藉此發動零時差攻擊。 這世上沒有完美的產品，所有產品都有改善的空間。對許多資安公司或獨立的資安研究員而言，發現漏洞、公布漏洞、修補漏洞是一個正常的漏洞修補程序。不過，目前業界對於弱點的揭露、公布以致修補的流程做法，並沒有共識。 微軟在黑帽大會上宣布，每個月第2個星期二安全性修補日的漏洞修補，至少會提前一天告知相關的合作伙伴或第三方合作廠商。中華電信資安技術研發組組長李倫銓表示：「微軟的作法是正確的，這有助於軟體供應商提升自我的安全性，又能降低企業遭受零時差衝擊的機率。」 李倫銓指出，以往就有駭客利用微軟定期發布修補程式的機會，透過特殊程式分析系統修補狀態，一旦知道系統修補了什麼弱點後，就直接寫出攻擊程式。「微軟的漏洞修補日，是被駭客利用來研發漏洞並發動攻擊的搖籃。」他說。 臺灣微軟伺服器平臺事業部資深產品行銷經理羅廷儀表示，以往微軟對於弱點揭露和後續的漏洞修補都比較被動，但現在微軟對於弱點揭露則抱持主動態 度，「不論是網站或者是0800免費客服系統，都歡迎資安人員主動提供相關的漏洞資訊，微軟會有專門團隊進行後續的漏洞確認和追蹤。」她說。 阿碼科技（Armorize）執行長黃耀文表示，有很多廠商在面對資安研究員提出他們產品相關弱點時，很多公司第一件事情就是要求簽署NDA（不 對外公布條約），不簽署NDA，廠商也不願意跟研究員進一步談論。黃耀文不諱言，他也曾經面對相同的情況。他說，對於資安研究員而言，發現各種弱點都是該 研究員信譽的累積，面對廠商不願意面對可能的弱點揭露，只要求資安研究員封口的作法，不願意折衷出一個兩全其美的方式，都只會扼殺資安能量進一步的發展。 羅廷儀則表示，目前微軟不再要求資安研究員簽署任何NDA。文☉黃彥棻 http://www.ithome.com.tw/itadm/article.php?c=50462 從Google到銀行最信任的鎖都有漏洞 產品漏洞的問題是無所不在。日前剛落幕的美國黑帽大會（Black Hat）以及DefCon，就有許多資安人員揭露漏洞。 早 在黑帽大會和DefCon舉辦之前，資安研究員Dan Kaminsky就已經事先揭露DNS伺服器的漏洞。資安公司SecTheory的執行長Robert "RSnake" Hansen，和Cenzic資深資安研究員Tom Stracener，則共同揭露Google Gadgets的弱點。RSnake表示，他已經花了3年的時間，透過各種管道希望Google修補相關的漏洞。只不過，在他將Google Gadgets弱點完全揭露前，Google都無動於衷。 在會議舉辦前，美國法院還下令，禁止麻省理工學院（MIT）學生在DefCon中，演說如何入侵波士頓的地鐵系統；甚至是，許多美國銀行現在使用號稱最安全的鎖Medeco，也在DefCon會議中被揭露產品弱點，而且同時有專家在當場示範開鎖。 阿碼科技（Armorize）執行長黃耀文表示，駭客可以從許多管道得知各種產品的漏洞，但各種禁止漏洞被揭露的方式，不論是透過法院發布禁令，或者是簽署NDA，都只是讓製造產品的廠商有規避修補弱點的機會而已，對整個資安產業的安全性提升，並沒有助益。文☉黃彥棻