台灣每天30新網站漏洞 學校政府資安風險大
〔記者陳炳宏/台北報導〕台灣駭客協會(HITCON)今天舉辦成立周年慶,理事長蔡松廷除感謝過去一年來政府與各企業支持與企業贊助外,並公布去年成立的HITCON ZeroDay公益漏洞回報平台績效,今年正式營運以來,已經回報近二千個漏洞,若加上其他國家轉通報漏洞,平均國內網站每天可發現30個新漏洞。
HITCON常務理事翁浩正指出,這些漏洞其中大部分都是SQL資料庫注入攻擊(SQL injection),就是程式中沒有嚴格過濾輸入的資料是否含有資料庫指令,而讓駭客有機可乘,這也凸顯出台灣的企業或是政府單位對於這樣基礎的漏洞還是疏於防範。
翁浩正說,初步觀察,這些漏洞主要是來自學校、政府單位以及電商,不過除了電商一回報會立即修補外,積極單位是在三天內修補完,但也有拖了三、四個月才處理,至於駭客攻擊漏洞的對象,有幾波是針對政府,也有針對醫療單位。
翁浩正說,以電商業者而言,駭客攻擊主要是想取得個資,藉此牟利,國外回報組織會通報此類漏洞,主要是希望ZeroDay可以協助企業修正漏洞問題,像中國的「烏雲」與 ZeroDay就有許多合作通報,包括他們通報發現的台灣網站問題,同樣的烏雲上也有許多HITCON回報的中國網站問題。
ZeroDay接獲通報後,會主動跟有問題的網站聯絡,翁浩正說,除免費提供技術支援,也會在事後追蹤,問題是否修復,當然ZeroDay也接受企業事後的贊助,讓擁有14名資安高手的團隊可以正向循環堅持下去。
翁浩正也感嘆地說,現在雖然已經跟較大的機關、企業建立溝通管道,但許多小企業或醫院根本沒有配置資安人員,有時通報對方有漏洞,還會被誤會是想勒索詐騙,不用錢的資安專家想上門協助,還被誤會,期盼企業要有資安觀念,建立資安窗口等正向做法。
至於政府方面的漏洞回報,翁浩正指出,已經跟台灣電腦網路危機處理暨協調中心(TWCERT)合作,轉通報關於政府單位的漏洞,希望都透過他們協助處理。
過去也有發現設備商的產品發現漏洞,雖然知道如何解決,但因為設備遍布全台,所以花了數個月才完全修復,也有企業對ZeroDay回報的漏洞,採取「已讀不回」的態度,在中國烏雲網站連續上榜十幾次後,仍不修補,最後被公開細節,導致更多人攻擊,造成極大損失。
翁浩正表示,我們希望能夠藉由ZeroDay,教育企業正確的資安漏洞通報流程,並且了解企業資安上的需求,提供必要的協助。