Google分享Project Zero漏洞通報流程,同場加映充滿Bug的通報之旅遊記

Google分享Project Zero漏洞通報流程,同場加映充滿Bug的通報之旅遊記

ADVERTISEMENT

Project Zero是Google於2014年7月15日所公開的資訊保安團隊,其任務是尋找資安漏洞,並通知相關單位以利即早修正問題。Project Zero為了讓軟、硬體廠商瞭解如何改善通報機制,在官方部落格分享了漏洞的通報流程,讓人們可以一探他們的工作內容,也更加瞭解團隊運作方式。

志在防堵零日攻擊

Project Zero主要的工作是尋找潛在的資安漏洞,尤其是可能造成零日攻擊(Zero-Day Exploit)的漏洞。當團隊人員找到漏洞之後,會馬上通知相關的軟硬體廠商或開發者,並等待修補完成之後,才對外公布漏洞細節,但是如果開發者在90天之內尚未完成修補工作的話,Project Zero則會自動公布漏洞細節。

所謂零日攻擊是指利用還沒有修正程式的資安漏洞發動攻擊,由於在攻擊進行的當下所有的目標(例如裝有該程式的電腦)都處於門戶大開的狀況,因此會對資安造成巨大威脅,因此如何防制這類攻擊就是重要的工作。

Project Zero的這種處理流程符合負責揭露(Responsible Disclosure)的原則,能夠給予硬體或軟體廠商時間去修正問題,並能在適當的時間將問題揭露給大眾知悉,取得資安與社會責任的平衡。

Google分享Project Zero漏洞通報流程,同場加映充滿Bug的通報之旅遊記

提升漏洞通報效率

Project Zero團隊表示他們花了許多時間向各相關廠商通報Bug,雖然在大部分的情況下流程都很流暢,但是有時候還是會遇到比較棘手的狀況,比方需要將漏洞通報給多間廠商,或是通報系統設計不良。

Project Zero考量到廠商需要確實收到情資,通報的動作對於維護一般使用者的安全也相當重要,因此決定分享通報的流程,以期望與廠商一起改進,提升未來通報的確實與即時性。

從工作流程的角度來看,需要掌握幾個重點來簡化通報的程序。首先通報管道要相當明確且容易進行,Project Zero偶爾會遇到找不到通報管道的情況,在廠商的網站也找不到相關的說明文件,或是文件已經過期導致程序不符,這些問題都將拖慢處理速度,因此建議廠商能在容易找到的位置提供明確說明文件。

第二,流程本身也要盡量簡單,若通報的方式相當冗長,不但會讓通報者花費更多時間,甚至可能會造成通報者中途放棄,雖然Project Zero的成員不會這樣做,但是難保其他人都會確實完成程序。Project Zero建議盡量讓通報流程精簡,不需要點擊許多按鈕或閱讀冗長說明,例如透過電子郵件或Bug追踪器(Bug Tracker)就是個好方法,使用網頁表格也不錯,只要讓通報流程越容易,大家就越有意願走完程序。

廠商也應充分測試通報系統是否能正常運作(Bug追蹤系統本身不能有Bug啊),否則在填寫表單時彈出錯誤訊息,或是回報的資訊卡在系統中沒被注意到,都會影響工作進度。此外系統最好會回傳確認訊息,讓通報者知道廠商有收到資料,而當漏洞沒有在預期的時間內處理完成,通報者也更可能再次提醒。

Google分享Project Zero漏洞通報流程,同場加映充滿Bug的通報之旅遊記

(下一頁還有更多建議與實例分享)

國寶大師 李文恩
作者

電腦王特約作者,專門負責硬派內容,從處理器、主機板到開發板、零組件,尖端科技都一手包辦,最近的研究計畫則包括Windows 98復活與AI圖像生成。

使用 Facebook 留言
訪客
1.  訪客 (發表於 2018年8月19日 15:50)
讀者校稿...

第一頁
1、零日攻擊(Zero-Day Eexploit)  Eexploit > Exploit
2、資「全」漏洞 > 資「安」漏洞
3、向各相關廠商通報「與」Bug  > (贅字)

第二頁
4、提供意見反應的管道 > 提供意見反「映」的管道
5、「來」跳出的網頁x2 > 跳出「來」的網頁
6、總共有超過20條同「時」事項 > 「意」
7、事「見」過後後 > 事「件」過後

另外,那個「Samsung智慧型手機漏洞通報實例」,有些地方看不太懂(Google連結的原文亦同)!
感覺部分圖片之排列順序與說明文字,似乎有誤。
國寶大師 李文恩
2.  國寶大師 李文恩 (發表於 2018年8月20日 16:33)
※ 引述《訪客》的留言:
> 另外,那個「Samsung智慧型手機漏洞通報實例」,有些地方看不太懂(Google連結的原文亦同)!
> 感覺部分圖片之排列順序與說明文字,似乎有誤。
>

感謝您細心提醒,已修正錯誤

--

圖片的部分是沒有錯的。

簡單的說,就是在入口網頁會引導至韓文登入網頁。

然後手動退出、找到英文登入網頁後,在註冊時同意事項的大標題是英文,但內文又變成韓文。

最後在填表單的時候,又出現幾項同意事項。

過程曲折離奇,所以感覺有點混亂XD
訪客
3.  訪客 (發表於 2018年8月26日 18:37)
呃...我的意思是
Special terms 那張圖,看起來不太像是"同意條款",
而比較像是讓回報者選擇要通報的"類別"。
也就是說,
"感覺"它應該是在同意條款那頁之後才會出現...
國寶大師 李文恩
4.  國寶大師 李文恩 (發表於 2018年8月28日 16:18)
※ 引述《訪客》的留言:
> 呃...我的意思是
> Special terms 那張圖,看起來不太像是"同意條款",
> 而比較像是讓回報者選擇要通報的"類別"。
> 也就是說,
> "感覺"它應該是在同意條款那頁之後才會出現...
>
Term這個字本身就是條款的意思。

這邊應該是指除了有全體通用的條款之外,各種不同裝置還會有各別的特殊條款。
發表回應
謹慎發言,尊重彼此。按此展開留言規則