專家發現漏洞後是否公示？新報告稱已淪為黑客揮向使用者的屠刀

是否公開發布安全漏洞（尤其是零日漏洞）的概念驗證（PoC）程式碼歷來是備受爭議的話題。在程式碼公開之後往往會被威脅攻擊者所利用，在數天乃至數小時內發起攻擊，導致終端使用者沒有充足的時間來修復受影響的系統。而公開這些PoC程式碼的並非壞人或者其他獨立來源，而是理論上更應該保護使用者的白帽安全研究人員。

圍繞著這個爭議做法的話題已經持續多年時間，而資訊保安領域的專家分成兩派。其中一方認為安全研究人員不應該釋出PoC程式碼，因為攻擊者可以採用該程式碼並自動化攻擊；而另一方認為PoC程式碼同時是測試大型網路和識別存在漏洞系統所必須的，允許IT部門成員模擬未來可能遭受到的攻擊。

在上個月釋出的“網路安全威脅觀2018年第四季度”報告中，Positive Technologies的安全專家再次觸及了這場長期爭論。

在這份報告中，Positive Technologies的安全專家並沒有給這個爭論下判斷，而是客觀陳述了當前使用者面臨的安全問題。在漏洞發現的新聞曝光或者零日漏洞的PoC程式碼公開之後，在兩種情況下黑客並沒有為使用者提供充足的時間來修復系統。

在這份季度威脅報告中，Positive Technologies表示這種情況發生的頻率越來越多。在報告中通過羅列了一系列安全事件，表明在PoC程式碼公開之後會立即被黑客所利用。例如在推特上有安全專家公開了Windows系統零日漏洞的PoC程式碼，隨後ESET安全專家就觀測到了此類惡意軟體活動。例如在網路上關於中文PHP框架的漏洞公開之後，數百萬網站立即遭到了攻擊。

在接受外媒ZDNet採訪時候，Positive Technologies的安全彈性負責人Leigh-Anne Galloway表示：“作為安全行業的一員，我們有責任倡導漏洞公示守則。但是並非所有人都遵循這個原則。同樣並非所有安全供應商都知道或者瞭解。”

圖片來自於 ZDNet

他表示：

通常公開披露的驅動因素是因為供應商沒有認識到問題的嚴重性，也沒有解決漏洞。或者安全研究人員可能已經嘗試了所有其他途徑來傳達他們的發現。當然，危險的是犯罪分子可能使用此資訊來攻擊受害者。供應商要求提供證據證明該漏洞實際存在於他們的產品中，並且當研究人員向他們報告漏洞時可以利用這些漏洞。研究人員需要證明它是如何被利用的，為此建立了PoC程式碼。”

通過CVSS系統來標記該漏洞的危險程度。如果供應商向研究人員支付漏洞獎勵框架內發現的漏洞，研究人員會從這項工作中賺錢，但供應商通常不會安排他們的bug-bounty計劃，研究人員可以從中得到的所有內容都是專家社群的公開認可。通過在網際網路上演示漏洞，展示操作和PoC程式碼的一個例子，研究人員得到了認可和尊重。

通常情況下，研究人員只有在他們通知供應商有關漏洞的足夠長時間後才會釋出漏洞利用程式碼，從而使產品開發人員有機會關閉漏洞並通知使用者需要安裝升級。但是，很多時候，供應商會推遲釋出補丁和更新，有時會延遲六個月以上，因此，在釋出補丁之後，[PoC]漏洞的公示就會發生。

來源：cnBeta.COM 

更多資訊：比特幣錢包Electrum遭遇大規模DOS攻擊 已造成數百萬美元損失

4月程式語言排行榜：C++重回前三 PHP呈下降勢頭