每日安全資訊:專家發現漏洞後是否公示?新報告稱已淪為黑客揮向用戶的屠刀
是否公開發布安全漏洞(尤其是零日漏洞)的概念驗證(PoC)代碼歷來是備受爭議的話題。在代碼公開之後往往會被威脅攻擊者所利用,在數天乃至數小時內發起攻擊,導致終端用戶沒有充足的時間來修復受影響的系統。而公開這些 PoC 代碼的並非壞人或者其他獨立來源,而是理論上更應該保護用戶的白帽安全研究人員。
圍繞著這個爭議做法的話題已經持續多年時間,而信息安全領域的專家分成兩派。其中一方認為安全研究人員不應該發布 PoC 代碼,因為攻擊者可以採用該代碼並自動化攻擊;而另一方認為 PoC 代碼同時是測試大型網路和識別存在漏洞系統所必須的,允許IT部門成員模擬未來可能遭受到的攻擊。
在上個月發布的「網路安全威脅觀 2018 年第四季度」報告中,Positive Technologies 的安全專家再次觸及了這場長期爭論。
在這份報告中,Positive Technologies 的安全專家並沒有給這個爭論下判斷,而是客觀陳述了當前用戶面臨的安全問題。在漏洞發現的新聞曝光或者零日漏洞的 PoC 代碼公開之後,在兩種情況下黑客並沒有為用戶提供充足的時間來修復系統。
在這份季度威脅報告中,Positive Technologies 表示這種情況發生的頻率越來越多。在報告中通過羅列了一系列安全事件,表明在PoC代碼公開之後會立即被黑客所利用。例如在推特上有安全專家公開了 Windows 系統零日漏洞的 PoC 代碼,隨後 ESET 安全專家就觀測到了此類惡意軟體活動。例如在網路上關於中文 PHP 框架的漏洞公開之後,數百萬網站立即遭到了攻擊。
在接受外媒 ZDNet 採訪時候,Positive Technologies 的安全彈性負責人 Leigh-Anne Galloway 表示:
「作為安全行業的一員,我們有責任倡導漏洞公示守則。但是並非所有人都遵循這個原則。同樣並非所有安全供應商都知道或者了解。……通常公開披露的驅動因素是因為供應商沒有認識到問題的嚴重性,也沒有解決漏洞。或者安全研究人員可能已經嘗試了所有其他途徑來傳達他們的發現。當然,危險的是犯罪分子可能使用此信息來攻擊受害者。供應商要求提供證據證明該漏洞實際存在於他們的產品中,並且當研究人員向他們報告漏洞時可以利用這些漏洞。研究人員需要證明它是如何被利用的,為此創建了PoC代碼。」
通過 CVSS 系統來標記該漏洞的危險程度。如果供應商向研究人員支付漏洞獎勵框架內發現的漏洞,研究人員會從這項工作中賺錢,但供應商通常不會安排他們的 bug-bounty 計劃,研究人員可以從中得到的所有內容都是專家社區的公開認可。通過在互聯網上演示漏洞,展示操作和 PoC 代碼的一個例子,研究人員得到了認可和尊重。
通常情況下,研究人員只有在他們通知供應商有關漏洞的足夠長時間後才會發布漏洞利用代碼,從而使產品開發人員有機會關閉漏洞並通知用戶需要安裝升級。但是,很多時候,供應商會推遲發布補丁和更新,有時會延遲六個月以上,因此,在發布補丁之後,[PoC] 漏洞的公示就會發生。
來源:cnBeta.COM
更多資訊
印度外包巨頭遭入侵
印度 IT 外包巨頭 Wipro 正在調查其 IT 系統遭到入侵,並被用於對其客戶發動攻擊的報道。Wipro 是印度第三大 IT 外包公司,匿名消息來源稱該公司的系統被用於作為起跳點對其數十家客戶的系統發動釣魚式刺探。
來源: solidot.org
微軟向 Office 用戶提供更多數據收集控制選項
近年來,微軟對自家產品和服務引入了更加激進的數據收集政策,但這也惹惱了許多注重隱私的客戶。無論是 Windows 10 操作系統,還是 Microsoft Office 生產力套件,均包含了獲取遙測數據的功能。但長期以來,用戶並不能對數據收集的選項作出太多的調整,更別提輕鬆的找到相關的設置選項了。不過最近,微軟正在醞釀給 Office 用戶帶來一項新的變化。
來源: cnBeta.COM
卡巴斯基報告:70% 的黑客攻擊事件瞄準 Office 漏洞
據美國科技媒體 ZDNet 援引卡巴斯基實驗室報告稱,黑客最喜歡攻擊微軟 Office 產品。 在 安全分析師峰會 上,卡巴斯基表示,分析卡巴斯基產品偵測的攻擊後發現,2018 年四季度有 70% 利用了Office 漏洞。而在2016年四季度,這一比例只有16%。
來源: 新浪科技
個人數據保護邁出勇敢一步
新加坡亞洲新聞網 4 月 15 日文章,原題:中國加大對個人數據的保護 長期以來,中國政府部門、商業機構及普通消費者一直在努力應對新興互聯網技術對個人數據保護造成的影響。隨著有關問題日益嚴重,中國正推進位定覆蓋國內外企業的國家層面的法律,以保護消費者隱私。
來源: 環球時報
(信息來源於網路,安華金和搜集整理)
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive