iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 2
1

不論國內外,都有不少的組織在協助處理漏洞,今天就先來介紹國內有哪些可以協助處理漏洞的單位,首先是民間組織所建立的平台HITCON ZeroDay。

相信資安界的各位對於台灣駭客年會(Hacks in Taiwan Conference, HITCON)這個組織一定不陌生,如果覺得很陌生的也沒關係,在這裡幫各位快速複習一下。HITCON是由我國一群白帽駭客、資安專家及業餘愛好者所創立的民間非營利組織,不僅在國內是規模第一大的資安社群,在國際上也是赫赫有名,每年舉辦的年會也都吸引來自世界各國的資安專家前來分享研究成果,而HITCON對於我國資安不論是在人才培育或是意識推廣等都功不可沒,是國內非常重要的資安單位。

HITCON ZeroDay即是由HITCON中的一群熱血份子所建立,並無償利用下班時間維運。根據官網介紹,這個平台「是一個銜接資安專家與企業間的良性溝通橋樑的漏洞提報平台,專門協助接獲漏洞通報並提報予企業和修正漏洞等服務。」簡單來說,只要你找到國內的網頁或廠商產品有漏洞,而且你不想自己跟廠商接觸的話,就可以把漏洞提交到平台上,HITCON ZeroDay的專家們就會協助你將漏洞通報給廠商,並擔任雙方間的溝通腳色。

https://ithelp.ithome.com.tw/upload/images/20181017/20107304im4GZuiU3F.png

目前HITCON ZeroDay有個小限制,那就是目前並不受理國外網頁或廠商產品的漏洞通報,那如果發現國外網頁或是廠商產品的漏洞應該怎麼辦呢?答案就是可以通報給台灣電腦網路危機處理暨協調中心 (Taiwan Computer Emergency Response Team / Coordination Center, TWCERT/CC)。

對於TWCERT/CC不了解的朋友可以參考我去年寫的介紹文章 (https://ithelp.ithome.com.tw/articles/10192891 ),這裡就不占篇幅介紹了。其實不論是哪種種類的漏洞,也不論是國內國外的漏洞,TWCERT/CC都會協助進行處理,或是協助你找到適當的負責單位。跟HITCON ZeroDay一樣,他們也會擔任通報者跟被通報者間的溝通橋樑,一點小加分的就是,對於一些技能點數都點到漏洞挖掘,但對於外國語言不那麼熟悉的資安研究人員來說,請他們協助通報漏洞給國外單位並與其進行溝通,就是一個蠻方便的選擇。

另外,TWCERT/CC目前已經申請成為CNA,也就是他們擁有發給CVE編號的權限,所以如果你想要幫自己所發現的漏洞分配一個CVE編號的話,可以把漏洞通報給他們喔,不過一個漏洞要能取得CVE編號也要符合不少條件就是,這就留到之後再向各位介紹囉。

相較於HITCON ZeroDay,TWCERT/CC也仍有不足的地方,像是目前他們還沒有一個平台界面提供通報者快速的通報及查詢通報狀況。

兩個處理漏洞的單位各有各的強項跟弱項,就端看通報者的自己的喜好跟需求來決定要把漏洞通報給誰囉。

參考資料:
[1] https://zeroday.hitcon.org/
[2] https://twcert.org.tw/


上一篇
[Day 1] 漏洞是什麼?能吃嗎?
下一篇
[Day 3] 國際有哪些漏洞協處單位?
系列文
資安補漏洞,越補越大洞30

尚未有邦友留言

立即登入留言