Google ar trebui să anunțe vulnerabilități înainte de a fi plasate în patch-uri?

Publicitate

Google este de neoprit. În mai puțin de trei săptămâni, Google a dezvăluit un total de patru vulnerabilități de zero zile care afectează Windows, două cu doar câteva zile înainte ca Microsoft să fie gata să lanseze un patch. Microsoft nu s-a amuzat și a judecat după reacția Google, mai multe astfel de cazuri sunt probabil să apară.

Este acest mod Google de a-și învăța competiția pentru a fi mai eficient? Și ce zici de utilizatori? Este respectarea strictă a Google la termenele arbitrare în interesul nostru?

De ce Google raportează vulnerabilități pentru Windows?

Proiect Zero, o echipă de analiști de securitate Google, a făcut cercetări exploată zile zero Ce este o vulnerabilitate Zero Day? [FaceUseOf Explică] Citeste mai mult din 2014. Proiectul a fost fondat după ce un grup de cercetare part-time a identificat mai multe bug-uri software, inclusiv cele critice Vulnerabilitate inimă Heartbleed - Ce poți face pentru a rămâne în siguranță? Citeste mai mult .

În lor Proiect Zero anunț

, Google a subliniat că prioritatea lor principală a fost asigurarea propriilor produse. Deoarece Google nu funcționează în vid, cercetarea lor se extinde la orice software pe care îl utilizează clienții lor.

Până în prezent, echipa a identificat peste 200 de bug-uri în diferite produse, inclusiv Adobe Reader, Flash, OS X, Linux și Windows. Fiecare vulnerabilitate este raportată numai vânzătorului de software și primește o perioadă de grație de 90 de zile, după care este făcută publică prin intermediul Forumul de cercetare pentru securitate Google.

Această eroare este supusă unui termen limită de divulgare de 90 de zile. Dacă trec 90 de zile fără o corecție disponibilă pe scară largă, raportul de erori va deveni automat vizibil publicului.

Asta s-a întâmplat cu Microsoft. De patru ori. Prima vulnerabilitate Windows (numărul nr. 118) a fost identificat la 30 septembrie 2014 și ulterior a fost publicat pe 29 decembrie 2014. La 11 ianuarie, cu doar câteva zile înainte Microsoft era gata să elimine o soluție prin intermediul Marți Patch Windows Update: tot ce trebuie să știțiEste actualizată Windows pe computer? Windows Update vă protejează împotriva vulnerabilităților de securitate, păstrând Windows, Internet Explorer și Microsoft Office la zi cu cele mai recente corecții de securitate și corecții de erori. Citeste mai mult , a doua vulnerabilitate (numărul 123) a fost făcut public, lansând o dezbatere dacă Google nu ar fi putut aștepta. Doar zile mai târziu, încă două vulnerabilități (numărul 128 & numărul nr. 138) a apărut pe baza de date publică, escaladând situația în continuare.

Ce s-a întâmplat în spatele scenelor?

Prima problemă (# 118) a fost o vulnerabilitate critică de escaladare a privilegiilor, care se dovedește a afecta Windows 8.1. Conform Știrile Hacker, aceasta "ar putea permite unui hacker să modifice conținutul sau chiar să preia computerul victimelor complet, lăsând vulnerabile milioane de utilizatori“. Google nu a dezvăluit nicio comunicare cu Microsoft cu privire la această problemă.

Pentru a doua problemă (# 123), Microsoft a solicitat o extensie, iar când Google a negat-o, au depus eforturi pentru a elibera patch-ul cu o lună mai devreme. Acestea au fost comentariile lui James Forshaw:

Microsoft a confirmat că sunt vizați să ofere corecții pentru aceste probleme în februarie 2015. Ei au întrebat dacă acest lucru ar provoca o problemă cu termenul de 90 de zile. Microsoft a fost informat că termenul de 90 de zile este stabilit pentru toți furnizorii și clasele de erori și nu poate fi extins. Mai departe, au fost informați că termenul de 90 de zile pentru această problemă expiră pe 11 ianuarie 2015.

Microsoft a lansat patch-uri pentru ambele probleme cu Update marți în ianuarie.

Odată cu a treia problemă (# 128), Microsoft a trebuit să întârzie o corecție din cauza problemelor de compatibilitate.

Microsoft ne-a informat că a fost planificată o soluție pentru patch-urile din ianuarie, dar trebuie scos din cauza problemelor de compatibilitate. Prin urmare, soluția este așteptată acum în petetele din februarie.

Chiar dacă Microsoft a informat Google că lucrează la această problemă, dar au întâmpinat dificultăți, Google a mers mai departe și a publicat vulnerabilitatea. Fără negocieri, fără milă.

Pentru ultima problemă (# 138), Microsoft a decis să nu o rezolve. James Forshaw a adăugat următorul comentariu:

Microsoft a ajuns la concluzia că problema nu corespunde barei unui buletin de securitate. Aceștia afirmă că ar necesita un control prea mare din partea atacatorului și nu consideră setările politicii de grup ca o caracteristică de securitate.

Comportamentul Google este acceptabil?

Microsoft nu crede acest lucru. Într-un răspuns complet, solicită Chris Betz, director principal al Microsoft Security Research Center o dezvăluire mai bine coordonată a vulnerabilității. El subliniază că Microsoft crede în Dezvăluirea coordonată a vulnerabilității (CVD), o practică în care cercetătorii și companiile colaborează la vulnerabilități pentru a minimiza riscul pentru clienți.

În ceea ce privește evenimentele recente, Betz confirmă faptul că Microsoft a cerut în mod special Google să lucreze cu acestea și să rețină detaliile până la remedierea corecțiilor în timpul Patch Tuesday. Google a ignorat cererea.

Deși urmărirea cronologiei anunțate de Google pentru dezvăluire, decizia se simte mai puțin ca principii și mai mult ca un „gotcha”, cu clienții care pot suferi ca urmare.

Potrivit lui Betz, vulnerabilitățile dezvăluite public se confruntă cu atacuri orchestrate din partea criminalilor cibernetici, an acționează cu greu atunci când problemele sunt dezvăluite în mod privat prin CVD și patchate înainte ca informația să devină public. În plus, spune Betz, nu toate vulnerabilitățile sunt egale, ceea ce înseamnă că linia de timp în care o problemă este corelată depinde de complexitatea acesteia.

Apelul său de colaborare este puternic și clar, iar argumentele sale sunt solide. Reflecția că niciun software nu este perfect, deoarece este făcut de oameni simpli care operează cu sisteme complexe, este îngrăditor. Betz lovește cuiul pe cap când spune:

Ceea ce este potrivit pentru Google nu este întotdeauna potrivit pentru clienți. Solicităm Google să protejeze clienții obiectivul nostru principal colectiv.

Celălalt punct de vedere este acela Google are o politică stabilită și nu vrea să dea loc excepțiilor. Acesta nu este genul de inflexibilitate pe care îl așteptați de la o companie ultra modernă precum Google. Mai mult decât atât, publicarea nu numai a vulnerabilității, dar și a codului de exploatare este iresponsabilă, având în vedere că milioane de utilizatori ar putea fi lovit de un atac concertat.

Dacă acest lucru se întâmplă din nou, ce puteți face pentru a vă proteja sistemul?

Niciun software nu va fi niciodată în siguranță de exploatările de zero zile. Vă puteți spori propria siguranță adoptând o igienă de securitate de bun simț. Aceasta recomandă Microsoft:

Încurajăm clienții să le păstreze program antivirus Cel mai bun software pentru computer pentru computerul dvs. WindowsDoriți cel mai bun software pentru computer pentru computerul dvs. Windows? Lista noastră masivă colectează cele mai bune și mai sigure programe pentru toate nevoile. Citeste mai mult la zi, instalați toate actualizările de securitate disponibile 3 motive pentru care ar trebui să executați cele mai recente corecții și actualizări de securitate WindowsCodul care formează sistemul de operare Windows conține găuri de buclă de securitate, erori, incompatibilități sau elemente software depășite. Pe scurt, Windows nu este perfect, știm cu toții asta. Patch-urile și actualizările de securitate rezolvă vulnerabilitățile ... Citeste mai mult și activați funcția firewall Cel mai bun software pentru computer pentru computerul dvs. WindowsDoriți cel mai bun software pentru computer pentru computerul dvs. Windows? Lista noastră masivă colectează cele mai bune și mai sigure programe pentru toate nevoile. Citeste mai mult pe computerul lor.

Verdictul nostru: Google ar fi trebuit să coopereze cu Microsoft

Google a respectat termenul său arbitrar, în loc să fie flexibil și să acționeze în interesul utilizatorilor lor. Ar fi putut prelungi perioada de grație pentru a releva vulnerabilitățile, mai ales după ce Microsoft a comunicat că patch-urile erau (aproape) gata. Dacă scopul nobil al Google este de a asigura internetul mai sigur, acestea trebuie să fie gata să coopereze cu alte companii.

Între timp, Microsoft ar fi putut arunca mai multe resurse la dezvoltarea de patch-uri. Unele 90 de zile sunt considerate ca un timp suficient pentru unii. Datorită presiunii din partea Google, ei au extins o patch cu o lună mai devreme decât a fost estimată inițial. Se pare că nu au acordat prioritate problemei inițial.

În general, dacă vânzătorul de software semnalează că lucrează la această problemă, cercetători precum echipa Google Project Zero ar trebui să coopereze și să extindă perioadele de grație. Păstrând curând să fie vulnerabilitate patched Utilizatorii de Windows Atenție: aveți o problemă serioasă de securitate Citeste mai mult secretul pare a fi mai sigur decât atragerea atenției hackerilor. Siguranța clienților nu ar trebui să fie prioritatea unei companii?

Tu ce crezi? Care ar fi fost o soluție mai bună sau Google a făcut lucrurile corecte până la urmă?

Credite imagine: vrăjitor Via Shutterstock, Hacked by wk1003mike via Shutterstock, Red Rope de Mega Pixel prin Shutterstock