Ar trebui Google să anunțe vulnerabilități înainte ca ele să fie patch-uri?
Google este de neoprit. În mai puțin de trei săptămâni, Google a dezvăluit un total de patru vulnerabilități zero zi care afectează Windows, două dintre acestea cu doar câteva zile înainte ca Microsoft să fie gata să lanseze un patch. Microsoft nu a fost amuzat și judecat de reacția Google, mai multe astfel de cazuri sunt susceptibile de a urma.
Este modalitatea Google de a-și învăța competiția pentru a fi mai eficientă? Și cum rămâne cu utilizatorii? Este respectarea strictă de către Google a termenelor arbitrare în interesul nostru?
De ce Google raportează vulnerabilitățile Windows??
Project Zero, o echipă de analiști de securitate Google, a cercetat exploatările de zi zero Ce este o vulnerabilitate Zero Day? [Explicarea MakeUseOf] Ce este o vulnerabilitate Zero Ziua? [Explicarea MakeUseOf] Citește mai mult de la 2014. Proiectul a fost fondat după ce un grup de cercetare cu fracțiune de normă a identificat mai multe bug-uri software, inclusiv vulnerabilitatea Heartbleed critică - Ce puteți face pentru a rămâne sigură? Heartbleed - Ce puteți face pentru a vă menține în siguranță? Citeste mai mult .
În anunțul lor privind Proiectul Zero, Google a subliniat că prioritatea lor principală a fost de a-și asigura propriile produse. Deoarece Google nu funcționează în vid, cercetarea se extinde la orice software pe care îl utilizează clienții săi.
Până în prezent, echipa a identificat peste 200 de bug-uri în diverse produse, inclusiv Adobe Reader, Flash, OS X, Linux și Windows. Fiecare vulnerabilitate este raportată numai vânzătorului de software și primește o perioadă de grație de 90 de zile, după care este făcută publică prin forumul Google Security Research.
Această eroare este supusă unui termen limită de 90 de zile de publicare. Dacă expiră 90 de zile fără un plasture disponibil în general, atunci raportul de eroare va deveni automat vizibil pentru public.
Asta sa întâmplat cu Microsoft. De patru ori. Prima vulnerabilitate Windows (numărul 118) a fost identificată la 30 septembrie 2014 și ulterior a fost publicată pe 29 decembrie 2014. La 11 ianuarie, cu doar câteva zile înainte ca Microsoft să fie gata să împingă o soluție prin Patch Marți Windows Update: Tot ce ai nevoie să știți actualizarea Windows: tot ce trebuie să știți este activarea Windows Update pe PC? Windows Update vă protejează de vulnerabilitățile de securitate prin actualizarea Windows, Internet Explorer și Microsoft Office cu cele mai recente patch-uri de securitate și corecții de erori. Citiți mai multe, a doua vulnerabilitate (numărul # 123) a fost făcută publică, lansând o dezbatere despre faptul dacă Google nu a putut aștepta. Numeroase zile mai târziu, au apărut două mai multe vulnerabilități (numărul # 128 și numărul # 138) în baza de date publică, sporind situația în continuare.
Ce sa întâmplat în spatele scenelor?
Prima problemă (# 118) a fost o vulnerabilitate esențială de escaladare a privilegiilor, afectată de Windows 8.1. Potrivit The Hacker News, aceasta “ar putea permite unui hacker să modifice conținutul sau chiar să preia complet computerele victimelor, lăsând milioane de utilizatori vulnerabili“. Google nu a dezvăluit nicio comunicare cu Microsoft în legătură cu această problemă.
Pentru cea de-a doua problemă (# 123), Microsoft a solicitat o extensie, iar atunci când Google a negat aceasta, au depus eforturi pentru a lansa patch-ul cu o lună mai devreme. Acestea au fost comentariile lui James Forshaw:
Microsoft a confirmat că este în măsură să furnizeze soluții pentru aceste probleme în februarie 2015. Au întrebat dacă acest lucru ar cauza o problemă cu termenul de 90 de zile. Microsoft a fost informată că termenul de 90 de zile este fixat pentru toți vânzătorii și clasele de bug-uri și astfel nu poate fi prelungit. Mai mult, ei au fost informați că termenul de 90 de zile pentru această emisiune expiră la 11 ianuarie 2015.
Microsoft a lansat patch-uri pentru ambele probleme cu Update, marți, în ianuarie.
Cu a treia problemă (# 128), Microsoft a trebuit să întârzie un plasture din cauza problemelor de compatibilitate.
Microsoft ne-a informat că a fost planificată o corecție pentru patch-urile din ianuarie, dar trebuie să fie trasă din cauza problemelor de compatibilitate. Prin urmare, remedierea este acum așteptată în patch-urile din februarie.
Chiar dacă Microsoft a informat Google că lucrează la această problemă, dar se confruntă cu dificultăți, Google a continuat și a publicat vulnerabilitatea. Nici o negociere, nici o milă.
Pentru ultima ediție (# 138), Microsoft a decis să nu o repare. James Forshaw a adăugat următorul comentariu:
Microsoft a ajuns la concluzia că problema nu corespunde barei din buletinul de securitate. Ei declară că ar necesita prea mult control din partea atacatorului și nu consideră că setările politicii de grup reprezintă o caracteristică de securitate.
Este acceptabilă comportamentul Google?
Microsoft nu crede asta. Într-un răspuns amănunțit, Chris Betz, directorul superior al Centrului de Cercetare pentru Securitate al Microsoft, solicită divulgarea mai bine coordonată a vulnerabilității. El subliniază faptul că Microsoft crede în Coordonarea Vulnerabilității Dezvăluirii (CVD), o practică în care cercetătorii și companiile colaborează cu privire la vulnerabilități pentru a minimiza riscul pentru clienți.
În ceea ce privește evenimentele recente, Betz confirmă faptul că Microsoft a solicitat în mod expres Google să lucreze cu ei și să rețină detalii până când repartițiile au fost distribuite în timpul Patch Marți. Google a ignorat solicitarea.
Cu toate că urmărirea continuă până la termenul anunțat de Google pentru dezvăluire, decizia se simte mai puțin asemănătoare cu principiile și mai mult cu a “gotcha”, cu clienții cei care ar putea suferi ca rezultat.
Potrivit lui Betz, vulnerabilitățile publicului au descoperit atacuri orchestrate de către infractorii cibernetici, un act văzut greu când problemele sunt dezvăluite în mod privat prin CVD și patch-uri înainte ca informațiile să devină publice. Mai departe, Betz spune că nu toate vulnerabilitățile sunt egale, adică cronologia în care o problemă devine patchată depinde de complexitatea acesteia.
Apelul său la colaborare este tare și clar și argumentele sale sunt solide. Reflecția că niciun software nu este perfect pentru că este realizat de oameni simpli care operează cu sisteme complexe este enorm. Betz lovește unghiul de pe cap când spune:
Ce este potrivit pentru Google nu este întotdeauna potrivit pentru clienți. Îndemnăm Google să protejeze clienții noștri obiectivul colectiv primar.
Celălalt punct de vedere este că Google are o politică stabilită și nu dorește să renunțe la excepții. Acesta nu este tipul de inflexibilitate pe care v-ați aștepta de la o companie ultra modernă precum Google. În plus, publicarea nu numai a vulnerabilității, ci și a codului exploatării este iresponsabilă, dat fiind faptul că milioane de utilizatori ar putea fi afectați de un atac concertat.
Dacă acest lucru se întâmplă din nou, ce puteți face pentru a vă proteja sistemul?
Niciun software nu va fi vreodată sigur din exploatările zero zile. Puteți spori siguranța dvs. prin adoptarea unei igiene de securitate a bunului simț. Aceasta este ceea ce Microsoft recomandă:
Îi încurajăm pe clienți să păstreze software-ul anti-virus Cel mai bun software Windows Cel mai bun software Windows Windows înotă într-o mare de aplicații gratuite. La care dintre ele puteți avea încredere și care sunt cele mai bune? Dacă nu sunteți sigur sau trebuie să rezolvați o anumită sarcină, consultați această listă. Citiți mai multe actualizări, instalați toate actualizările de securitate disponibile 3 motive pentru care ar trebui să executați cele mai recente actualizări și actualizări de securitate Windows 3 motive pentru care ar trebui să rulați cele mai recente actualizări și actualizări de securitate pentru Windows Codul care compune sistemul de operare Windows conține securitate buclă, erori, incompatibilități sau elemente software învechite. Pe scurt, Windows nu este perfect, cu toții știm asta. Pachetele de securitate și actualizările fixează vulnerabilitățile ... Citește mai mult și activează paravanul de protecție Cel mai bun software Windows Cel mai bun software Windows Windows înotă într-o mare de aplicații gratuite. La care dintre ele puteți avea încredere și care sunt cele mai bune? Dacă nu sunteți sigur sau trebuie să rezolvați o anumită sarcină, consultați această listă. Citiți mai multe pe calculatorul lor.
Verdictul nostru: Google ar fi trebuit să coopereze cu Microsoft
Google a rămas la un termen arbitrar, în loc să fie flexibil și să acționeze în interesul utilizatorilor lor. Ar fi putut prelungi perioada de grație pentru a dezvălui vulnerabilitățile, mai ales după ce Microsoft a comunicat că aceste patch-uri au fost (aproape) pregătite. Dacă scopul nobil al Google este să facă Internetul mai sigur, trebuie să fie pregătiți să coopereze cu alte companii.
Între timp, Microsoft ar fi putut arunca mai multe resurse în dezvoltarea de patch-uri. 90 de zile este privită de unii ca un interval de timp suficient. Datorită presiunii din partea Google, au făcut de fapt un plasture cu o lună mai devreme decât se estima inițial. Se pare că nu au acordat prioritate problemei destul de inițial.
În general, dacă vânzătorul de software semnalează că lucrează la această problemă, cercetătorii ca echipa Google Zero Project ar trebui să coopereze și să prelungească perioadele de grație. Păstrarea unei vulnerabilități în curând pentru a fi patch-uri Windows Utilizatorii Windows Aveți grijă: Ați avut o problemă serioasă de securitate Utilizatorii de Windows Feriți-vă: Ați avut o problemă serioasă de securitate Citiți mai mult secretul pare a fi mai sigur decât atragerea atenției hackerilor. Nu ar trebui siguranța clienților să fie prioritatea principală a unei companii?
Tu ce crezi? Ce ar fi fost o soluție mai bună sau Google a făcut bine lucrurile la urma urmei?
Credite de imagine: Wizard Via Shutterstock, hacked de wk1003mike prin Shutterstock, Red Rope de Mega Pixel prin Shutterstock
Explorați mai multe despre: Google, Microsoft, Securitate online.