【研究員心聲】搵漏洞唔難 同人溝通先最難
研究員搵漏洞,除咗想維護網絡安全,亦希望對方可以正視問題,之不過站於對方立場,醜事梗係收埋最好。早前有研究員發現一款路由器有嚴重漏洞,之不過廠方嘅回應就有好大改善空間囉。
Singtel 旗下網絡安全研究團隊 Trustwave 嘅 Spiderlabs 喺年初發現,一款 D-Link ADSL2+ 路由器出現嚴重漏洞,可以唔使認證,直接從網頁上獲取路由器資料,當中更包括密碼。方法就係喺路由器嘅 index.asp 頁內搜尋 username_v 及 password_v 參數,咁就攞到用戶嘅登入資料。此漏洞非常嚴重,意味著黑客可以控制路由器、截取當中嘅數據傳輸。
Trustwave 當然有向 D-Link 通報,不過,對方似乎唔係好理。原本 Trustwave 設立咗 90 日修補期限,修補唔到漏洞就會公開事件,但佢哋指 D-Link 回應喺期限內修復唔到,結果拉拉扯扯下期限一再延長,後期甚至完全唔回覆 Trustwave。結果喺最後一次期限到達前,D-Link 先至回應話漏洞已經修補咗,但就無解釋到點樣做到。
搞得掂,發現漏洞嘅研究員自然開心。推出嘅修補方案 DSL-2875AL 及 the DSL-2877AL 已經推出,D-Link 方面喺回應媒體時話,嗰款路由器已經停產超過一年,而 Trustwave 發現嘅漏洞已經一早修補咗;而由於呢款路由器喺澳洲廣泛使用,所以 D-Link Australia 亦走出嚟回應,話 Trustwave 無人搵過佢哋喎。
Trustwave 當然嬲到震,搞咗一大輪,D-Link 方面又唔交代清楚,又唔好好回應問題,咁樣對發現漏洞嘅研究員有好負面嘅影響云云。所以話,有時搵漏洞唔難,難就難在要同人溝通呀。