LINE Corporation 於2023年10月1日成爲 LY Corporation。LY Corporation 的新部落格在這裏。LY Corporation Tech Blog

Blog


LINE Taiwan Security Meetup – BECKS #4

大家好,我是 LINE Taiwan Technical Writer – Claire Wang。資訊安全是 LINE 最重視的環節之一,自 2019 年起 LINE 定期於韓國、日本、台灣三地聯合舉辦 BECKS.IO – Security Meetup,為各領域的資安研究者提供一個交流互動的平台。今晚的 BECKS.IO – Security Meetup 透過技術講座,分別從個人與企業的角度出發,介紹對於漏洞回報的處理。此外,技術講座後也精心安排座談討論,由資安領域的指標人物擔任座談講者,開放與會者現場提問,進而分享對於 bug bounty 的獨到見解。

那些年,我回報漏洞的踩雷經驗 / Orange Tsai

今晚 BECKS 的第一位講者 Orange Tsai (@orange_8361),Orange 來自 DEVCORE,並曾於 Black Hat USA/ASIA、DEF CON 等研討會中擔任講者,擁有許多為企業找出資安漏洞的經驗。在本次講座中,Orange 分享自己參與 bug bounty 的經驗和踩雷的過程,說明不同企業在不同情境中,應對漏洞回報時的反應,幫助聽眾在未來避免遇到類似的問題。

Orange 以極具個人特色的幽默風格開場,接連點出資安圈的各種有趣現象,包括白帽駭客的使命,以及面對高額獎金誘惑時的心理拉距等,引起與會者眾強烈的共鳴,讓現場笑聲不斷。接著,便開始介紹如何從眾多的 bug bounty 中挑選適合自己的 bounty、了解相關規則的小技巧,透過 bug bounty 創造雙贏局面。Orange 以自己多年前參加 LINE bug bounty 所踩到的雷為例,分享當時在無意間取得系統程式碼,因此決定立刻回報漏洞,卻因為不熟悉回報的規則,擔心自己可能誤踩了企業的底線。好在 LINE 是依規則行事的優質企業,最終雙方順利協商出令人滿意的結果。Orange 也提醒,即使循正規管道回報企業漏洞,仍不代表測試漏洞過程中所有行為完全免責,因此在回報漏洞時還是需要注意保護自己,同時也不要造成企業的困擾。

Orange 也另外列舉數個例子,說明白帽駭客如何在練功抓漏洞的同時,不至於挑起企業的敏感神經,並分享撰寫漏洞報告的小技巧,包括利用影片錄製過程等方法,盡可能地提供詳細的訊息、與企業維持良性的溝通,讓企業得以清楚了解漏洞的相關資訊,而白帽駭客也能順利取得獎勵。Orange 強調,向企業回報資安漏洞時,雙方的態度與溝通是關鍵,對白帽駭客而言,發現漏洞固然令人興奮,但也必須以相互尊重為前提,讓 bug bounty 的經驗更加美好。

LINE Bug Bounty: Rich and Good Hackers / Koh You Liang & Ramses (JungHo Jang)

投影片

第二場講座,是由 Koh You Liang (@kohyouliang) 與 Ramses (@binspecta) 介紹 LINE bug bounty program,相關案例的處理經驗。Koh You Liang 目前擔任 LINE Application and Game Security 工程師,負責開發自動化工具,以及處理漏洞報告。Ramses 則是 Graylab 的成員,在 LINE 組織中負責審核產品與內部服務的「安全設計」。這部分的講座以英文進行,主辦單位也貼心安排口譯員,讓與會者能充分掌握講者所帶來的訊息。

講座首先由 Koh You Liang 從企業的觀點出發,分享負責 bug bounty program 的工作情形,接著介紹收到漏洞報告後的處理流程,強調 response handling,也就是說,LINE 在收到來自白帽駭客的漏洞報告後,不是由機器自動產生回覆信件,而是由 LINE 員工親自回覆。而透過介紹撰寫漏洞報告的步驟與技巧,Koh You Liang 具體說明如何進行回報有助於更快得到企業的回覆,包括:提供描述性的標題、詳述 bug 類型和位置、提供可重現的攻擊步驟與 payload、為概念提出佐證,以及避免只是複製貼上出現漏洞的程式碼等。

講座第二部分則由說明 bug bounty 規則的重要性,並帶出 LINE 資安工程所涵蓋的範圍,以及如何定義漏洞測試 (bug bounty) 與駭客攻擊 (APT) 的界線。同時也呼籲不要濫用 bug 取得用戶個人資料,或引發阻斷服務 (DoS, denial-of-service) 攻擊,尤其 LINE 是通訊軟體公司,DoS 將被視為非常嚴重的問題。最後,Ramses 也說明黑帽駭客的生活方式往往充滿不確定性,將相關技能轉換為找出漏洞的優勢,並積極分享知識,才能與企業皆從中獲益。而在講座尾聲,LINE 資安工程師 David Liu 也上台呼應 Ramses 的觀點,強調在參加 bounty 及尋找漏洞的過程中,儘管有些細節看似不重要,但企業仍有許多必須保護的原則,請大家務必留意並遵守。

座談討論 / David Liu (Line Taiwan Limited), Koh YouLiang (Line Corporation), Ramses (Graylab), Allen Own & Orange Tsai (DEVCORE)

本次活動也在技術講座後採用座談形式,針對現場提問分享個人觀點。而除了今晚技術講座的講者,亦邀請台灣資安領域指標人物 - 來自 DEVCORE 的 Allen Own,與來自 LINE TAIWAN 的 David Liu 一同擔任座談講者。在此也總結現場問答的精華,希望為讀者帶來第一手訊息:

Q1: Bug bounty program 可為企業帶來哪些好處?

A1: Bug bounty program 可補足企業產品安全檢測中不足的部分,讓企業從內部風險評估、稽核、弱點掃描、源碼檢測,以及紅隊演練中未被發現的問題,能被檢查出來,反饋回內部的安全模型,提供一個正向的安全循環。另外,也補充說明,就白帽駭客的角度而言,bug bounty 能為駭客提供正面挑戰的機會,既可以練功又能獲得獎勵,值得善加運用、創造雙贏。

Q2: 如何讓 bug bounty 的進展更加順利? 企業又會如何回應? 

A2: 以往曾發生企業在收到漏洞回報後,卻無法重現的攻擊步驟與漏洞的狀況,因此建議回報漏洞時可站在企業的角度,將漏洞利用步驟依序寫下,並把提交者的身份、情境、前因後果、衝擊性等解釋清楚,提高 bug bounty 審核人員對於提交內容的理解,降低漏洞驗證的複雜度,可加快審核漏洞的速度,以及提供獎勵的意願。另外,以 LINE 為例,在收到漏洞回報後,如果無法受理將明確告知拒絕的原因。

Q3: 企業可從何角度切入,開始採用 bug bounty program?

A3:

  • 建議企業嘗試轉換思維,從擔心被駭轉變為主動追蹤與修補可能的安全性風險,以正確態度面對漏洞通報、獎勵通報,以增加商譽進入正面循環。
  • 企業不一定要有預算才能進行 bug bounty,因為駭客藉由累積 reputation 也能享有其他好處。企業不妨將 bug bounty 視為持續改善產品安全性,或是與外部安全研究者的溝通管道,在良性互動下,企業有充足的時間與資訊,得以改善產品安全性,安全研究者的努力也可獲得對應的獎勵或表揚。
  • 有些 bug bounty 會獎勵或表揚駭客,有些則不會,對於小型或預算有限的公司,可考慮從 HackerOne 以及 HITCON Zeroday Platform 著手,將 bounty program 提交到平台,由平台端協助建立駭客和公司間的溝通管道,並透過表揚對改善資安有貢獻的提報者,來鼓勵駭客提交漏洞。
  • 過去企業害怕漏洞被揭露,高層常擔心訴訟問題,現在 IT 公司已逐漸開始轉變想法,願意與駭客合作,形成正面的改變。

活動小結

今晚的聚會除了透過講座分享回報漏洞的技巧,亦說明企業處理相關案例的實際經驗,並以座談的形式開放與會者現場提問,利用這難得的機會,與台灣資安領域的專家們交換想法。我們歡迎世界各地的資訊安全專業人員前來,透過我們提供的平台增進對彼此的了解,很高興能利用本次小聚再次實現這樣的願景、幫助資安領域產生更緊密的連結。

立即 follow「BECKS」活動訊息,就能收到第一手 Meetup 活動最新消息的推播通知。▼

「BECKS」活動專頁:https://becks.io

關於「LINE開發社群計畫」

LINE今年年初在台灣啟動「LINE開發社群計畫」,將長期投入人力與資源在台灣舉辦對內對外、線上線下的開發者社群聚會、徵才日、開發者大會等,預計全年將舉辦30場以上的活動。歡迎讀者們能夠持續回來察看最新的狀況。詳情請看:

徵才訊息

《LINE 強力徵才中!》與我們一起 Close the Distance 串聯智慧新世界 >> 詳細職缺訊息