每日安全资讯:专家发现漏洞后是否公示?新报告称已沦为黑客挥向用户的屠刀
是否公开发布安全漏洞(尤其是零日漏洞)的概念验证(PoC)代码历来是备受争议的话题。在代码公开之后往往会被威胁攻击者所利用,在数天乃至数小时内发起攻击,导致终端用户没有充足的时间来修复受影响的系统。而公开这些 PoC 代码的并非坏人或者其他独立来源,而是理论上更应该保护用户的白帽安全研究人员。
围绕着这个争议做法的话题已经持续多年时间,而信息安全领域的专家分成两派。其中一方认为安全研究人员不应该发布 PoC 代码,因为攻击者可以采用该代码并自动化攻击;而另一方认为 PoC 代码同时是测试大型网络和识别存在漏洞系统所必须的,允许IT部门成员模拟未来可能遭受到的攻击。
在上个月发布的“网络安全威胁观 2018 年第四季度”报告中,Positive Technologies 的安全专家再次触及了这场长期争论。
在这份报告中,Positive Technologies 的安全专家并没有给这个争论下判断,而是客观陈述了当前用户面临的安全问题。在漏洞发现的新闻曝光或者零日漏洞的 PoC 代码公开之后,在两种情况下黑客并没有为用户提供充足的时间来修复系统。
在这份季度威胁报告中,Positive Technologies 表示这种情况发生的频率越来越多。在报告中通过罗列了一系列安全事件,表明在PoC代码公开之后会立即被黑客所利用。例如在推特上有安全专家公开了 Windows 系统零日漏洞的 PoC 代码,随后 ESET 安全专家就观测到了此类恶意软件活动。例如在网络上关于中文 PHP 框架的漏洞公开之后,数百万网站立即遭到了攻击。
在接受外媒 ZDNet 采访时候,Positive Technologies 的安全弹性负责人 Leigh-Anne Galloway 表示:
“作为安全行业的一员,我们有责任倡导漏洞公示守则。但是并非所有人都遵循这个原则。同样并非所有安全供应商都知道或者了解。……通常公开披露的驱动因素是因为供应商没有认识到问题的严重性,也没有解决漏洞。或者安全研究人员可能已经尝试了所有其他途径来传达他们的发现。当然,危险的是犯罪分子可能使用此信息来攻击受害者。供应商要求提供证据证明该漏洞实际存在于他们的产品中,并且当研究人员向他们报告漏洞时可以利用这些漏洞。研究人员需要证明它是如何被利用的,为此创建了PoC代码。”
通过 CVSS 系统来标记该漏洞的危险程度。如果供应商向研究人员支付漏洞奖励框架内发现的漏洞,研究人员会从这项工作中赚钱,但供应商通常不会安排他们的 bug-bounty 计划,研究人员可以从中得到的所有内容都是专家社区的公开认可。通过在互联网上演示漏洞,展示操作和 PoC 代码的一个例子,研究人员得到了认可和尊重。
通常情况下,研究人员只有在他们通知供应商有关漏洞的足够长时间后才会发布漏洞利用代码,从而使产品开发人员有机会关闭漏洞并通知用户需要安装升级。但是,很多时候,供应商会推迟发布补丁和更新,有时会延迟六个月以上,因此,在发布补丁之后,[PoC] 漏洞的公示就会发生。
来源:cnBeta.COM
更多资讯
印度外包巨头遭入侵
印度 IT 外包巨头 Wipro 正在调查其 IT 系统遭到入侵,并被用于对其客户发动攻击的报道。Wipro 是印度第三大 IT 外包公司,匿名消息来源称该公司的系统被用于作为起跳点对其数十家客户的系统发动钓鱼式刺探。
来源: solidot.org
微软向 Office 用户提供更多数据收集控制选项
近年来,微软对自家产品和服务引入了更加激进的数据收集政策,但这也惹恼了许多注重隐私的客户。无论是 Windows 10 操作系统,还是 Microsoft Office 生产力套件,均包含了获取遥测数据的功能。但长期以来,用户并不能对数据收集的选项作出太多的调整,更别提轻松的找到相关的设置选项了。不过最近,微软正在酝酿给 Office 用户带来一项新的变化。
来源: cnBeta.COM
卡巴斯基报告:70% 的黑客攻击事件瞄准 Office 漏洞
据美国科技媒体 ZDNet 援引卡巴斯基实验室报告称,黑客最喜欢攻击微软 Office 产品。 在 安全分析师峰会 上,卡巴斯基表示,分析卡巴斯基产品侦测的攻击后发现,2018 年四季度有 70% 利用了Office 漏洞。而在2016年四季度,这一比例只有16%。
来源: 新浪科技
个人数据保护迈出勇敢一步
新加坡亚洲新闻网 4 月 15 日文章,原题:中国加大对个人数据的保护 长期以来,中国政府部门、商业机构及普通消费者一直在努力应对新兴互联网技术对个人数据保护造成的影响。随着有关问题日益严重,中国正推进制定覆盖国内外企业的国家层面的法律,以保护消费者隐私。
来源: 环球时报
(信息来源于网络,安华金和搜集整理)