為何五角大廈廣邀駭客抓漏洞,讓對手變幫手才是資安上策
「當談到資安時,我們需要的不僅只是運氣」,人稱漏洞懸賞女王的Katie Moussouris,在資安界是赫赫有名的人物,在微軟擔任首席安全策略長時,在她推動之下,微軟才有了第一個漏洞懸賞計畫(Bug Bounty Program),但是Katie Moussouris的駭客功力,不是只能在0與1組成的數位世界中奏效。
這位熟悉電腦漏洞的駭客已經另起爐灶,從尋找程式碼間疑似出現漏洞的蛛絲馬跡,將目光移擺到政府、企業上,同樣俐落而不失優雅地發動攻擊,就如同過往她在電腦前,飛快地敲打程式指令般精準。
但是這一次,她的攻擊對象不再是系統,而是政府、企業資安規章上的盲點,「這並非什麼光鮮亮麗的工作,一天得花12小時,跟一群人爭論著法規中句號、逗號位置的差異。」
Katie Moussouris笑著說,許多立法者、規則制定者對於駭客都存在非法、作惡多端等負面刻板印象。這時Katie Moussouris便會回應:「我大可搶銀行、竊取信用卡資料,領取更豐厚的收入,但是瞧瞧我,也只開一臺普通的汽車,駭客並非都很邪惡。」
而Katie Moussouris的野望,便是要扭轉政府、企業現有的資安制度,「讓我這樣的駭客,可以更自在地在現有制度下工作。」
大企業的漏洞回報機制也未必完善
而過去任職賽門鐵克、微軟的經驗,也讓Katie Moussouris了解到,即便規模如此大的企業,想要建立內部漏洞回報機制也會碰上重重關卡。她舉例,當時賽門鐵克雖為全球最大的資安公司,「作為駭客的我,卻無法揭露任何系統漏洞」,令她不解的是,其動機並非想要尋求金錢等回報,純粹只是希望能提升軟體的安全性。也因此她開啟了賽門鐵克漏洞研究計畫,「讓回報內部漏洞變得更容易。」
但是同樣的內部阻力,到了微軟仍然一樣存在,這也讓她感到相當沮喪,因為不管如何設計精良的軟體、系統,只要駭客花費足夠精力、時間都能成功攻破,「即使我們不停發現相同的漏洞,情況仍然不會變好。」
而企業也永遠為資安議題所掙扎,除了要確保軟體可以在一定預算內正確運作,在部署新軟體、服務時,也要確保服務的安全性,「但我們並沒有足夠無止盡的工程師,可以進行測試、修補漏洞。」她表示。
不過事情開始有了轉機,當時微軟高層詢問她:「如果微軟也要推動漏洞懸賞計畫,我們該怎麼做?」獲得高層支持的Katie Moussouris,總共花費了3年,才終於讓微軟推出了第一個漏洞懸賞計畫。
在推動過程中,Katie Moussouris也觀察到企業之所以抗拒漏洞揭露的理由,例如,光是微軟一年就會收到超過20萬封來自駭客無償的漏洞回報信件,「可以想像微軟對於它們的恐懼,萬一開放漏洞揭露,可能會造成無法挽回的局面。」
這也讓她思考,駭客願意無償向微軟回報漏洞的理由,「原因在於,他們的名字會出現在微軟資安布告欄上」,因此,微軟在瀏覽器IE11預覽版釋出時,就一同搭配漏洞懸賞計畫,成功找到漏洞的駭客,不僅有金錢報酬,同時其名也可見於布告欄上。
《全文請見iThome(http://www.ithome.com.tw/people/111880)》
這位熟悉電腦漏洞的駭客已經另起爐灶,從尋找程式碼間疑似出現漏洞的蛛絲馬跡,將目光移擺到政府、企業上,同樣俐落而不失優雅地發動攻擊,就如同過往她在電腦前,飛快地敲打程式指令般精準。
但是這一次,她的攻擊對象不再是系統,而是政府、企業資安規章上的盲點,「這並非什麼光鮮亮麗的工作,一天得花12小時,跟一群人爭論著法規中句號、逗號位置的差異。」
Katie Moussouris笑著說,許多立法者、規則制定者對於駭客都存在非法、作惡多端等負面刻板印象。這時Katie Moussouris便會回應:「我大可搶銀行、竊取信用卡資料,領取更豐厚的收入,但是瞧瞧我,也只開一臺普通的汽車,駭客並非都很邪惡。」
而Katie Moussouris的野望,便是要扭轉政府、企業現有的資安制度,「讓我這樣的駭客,可以更自在地在現有制度下工作。」
大企業的漏洞回報機制也未必完善
而過去任職賽門鐵克、微軟的經驗,也讓Katie Moussouris了解到,即便規模如此大的企業,想要建立內部漏洞回報機制也會碰上重重關卡。她舉例,當時賽門鐵克雖為全球最大的資安公司,「作為駭客的我,卻無法揭露任何系統漏洞」,令她不解的是,其動機並非想要尋求金錢等回報,純粹只是希望能提升軟體的安全性。也因此她開啟了賽門鐵克漏洞研究計畫,「讓回報內部漏洞變得更容易。」
但是同樣的內部阻力,到了微軟仍然一樣存在,這也讓她感到相當沮喪,因為不管如何設計精良的軟體、系統,只要駭客花費足夠精力、時間都能成功攻破,「即使我們不停發現相同的漏洞,情況仍然不會變好。」
而企業也永遠為資安議題所掙扎,除了要確保軟體可以在一定預算內正確運作,在部署新軟體、服務時,也要確保服務的安全性,「但我們並沒有足夠無止盡的工程師,可以進行測試、修補漏洞。」她表示。
不過事情開始有了轉機,當時微軟高層詢問她:「如果微軟也要推動漏洞懸賞計畫,我們該怎麼做?」獲得高層支持的Katie Moussouris,總共花費了3年,才終於讓微軟推出了第一個漏洞懸賞計畫。
在推動過程中,Katie Moussouris也觀察到企業之所以抗拒漏洞揭露的理由,例如,光是微軟一年就會收到超過20萬封來自駭客無償的漏洞回報信件,「可以想像微軟對於它們的恐懼,萬一開放漏洞揭露,可能會造成無法挽回的局面。」
這也讓她思考,駭客願意無償向微軟回報漏洞的理由,「原因在於,他們的名字會出現在微軟資安布告欄上」,因此,微軟在瀏覽器IE11預覽版釋出時,就一同搭配漏洞懸賞計畫,成功找到漏洞的駭客,不僅有金錢報酬,同時其名也可見於布告欄上。
《全文請見iThome(http://www.ithome.com.tw/people/111880)》