Da li bi Google trebao objaviti ranjivosti prije nego li se zakrpi?

  • Peter Holmes
  • 0
  • 2543
  • 420
Oglas

Google je nezaustavljiv. U roku od manje od tri tjedna, Google je otkrio ukupno četiri nula dana koja su utjecala na Windows, dvije od njih samo nekoliko dana prije nego što je Microsoft bio spreman izdati zakrpu. Microsoft se nije zabavljao, a sudeći po Googleovoj reakciji, vjerovatno će uslijediti još takvih slučajeva.

Je li način na koji Google uči svoju konkurenciju biti učinkovitiji? A što je s korisnicima? Je li Google strogo pridržavanje proizvoljnih rokova u našem najboljem interesu?

Zašto Google prijavljuje ranjivosti sustava Windows?

Projekt Zero, tim Googleovih sigurnosnih analitičara, istraživao je iskorištavanje nula dana Što je ranjivost od nule? [MakeUseOf objašnjava] Što je ranjivost nakon jednog dana? [MakeUseOf Explains] od 2014. Projekt je osnovan nakon što je istraživačka skupina sa skraćenim radnim vremenom utvrdila nekoliko softverskih grešaka, uključujući kritičnu ranjivost Heartbleed-a Heartbleed - Što možete učiniti da ostanete sigurni? Srcem - Što možete učiniti da ostanete sigurni? .

U najavi Project Zero Google je naglasio da im je glavni prioritet osigurati vlastite proizvode. Budući da Google ne radi u vakuumu, njihovo se istraživanje proteže na bilo koji softver koji korisnici koriste.

Do sada je tim identificirao preko 200 bugova u raznim proizvodima, uključujući Adobe Reader, Flash, OS X, Linux i Windows. Svaka ranjivost prijavljuje se samo dobavljaču softvera i dobija razdoblje od 90 dana počeka, nakon čega se objavljuje putem foruma Google Security Research.

Taj bug podliježe roku od 90 dana za objavljivanje. Ako prođe 90 dana bez široko dostupne zakrpe, izvještaj o bugama automatski će postati vidljiv javnosti.

To se dogodilo s Microsoftom. Četiri puta. Prva ranjivost sustava Windows (izdanje # 118) identificirana je 30. rujna 2014. i naknadno je objavljena 29. prosinca 2014. 11. siječnja, samo nekoliko dana prije nego što je Microsoft bio spreman izbaciti ispravku putem programa Patch Tuesday Windows Update: Sve što vam treba da biste znali Windows Update: Sve što trebate znati Je li Windows Update omogućen na računalu? Windows Update štiti vas od sigurnosnih ranjivosti tako što će Windows, Internet Explorer i Microsoft Office biti u tijeku s najnovijim sigurnosnim zakrpama i ispravkama pogrešaka. , druga ranjivost (broj # 123) objavljena je, pokrećući raspravu o tome nije li Google mogao čekati. Samo nekoliko dana kasnije, dvije javne ranjivosti (izdanje br. 128 i broj # 138) pojavile su se u javnoj bazi podataka, dodatno poboljšavajući situaciju..

Što se dogodilo iza kulisa?

Prvo izdanje (# 118) predstavljalo je kritičnu ranjivost eskalacije privilegija, a pokazalo se da utječe na Windows 8.1. Prema The Hacker News, to “mogao dopustiti hakeru da izmijeni sadržaj ili čak potpuno preuzme računala žrtava, što milione korisnika čini ranjivima“. Google nije otkrio nikakvu komunikaciju s Microsoftom u vezi s tim problemom.

Za drugi broj (# 123) Microsoft je zatražio proširenje, a kad ga je Google odbio, oni su uložili napore da izdaju zakrpu mjesec dana ranije. Ovo su bili komentari Jamesa Forshawa:

Microsoft je potvrdio da su u veljači 2015. ciljali da poprave ispravke tih problema. Pitali su hoće li to stvoriti problem s rokom od 90 dana. Microsoft je obaviješten da je rok od 90 dana utvrđen za sve prodavce i klase bugova i da ih se ne može produžavati. Nadalje, obaviješteni su da rok od 90 dana za ovo izdanje ističe 11. siječnja 2015. godine.

Microsoft je izdao zakrpe za oba problema s Updateom u utorak u siječnju.

Trećim brojem (# 128) Microsoft je morao odgoditi zakrpu zbog problema sa kompatibilnošću.

Microsoft nas je obavijestio da je planirano ispravljanje siječanjskih zakrpa, ali da ih treba povući zbog problema sa kompatibilnošću. Stoga se ispravak sada očekuje u veljačama.

Iako je Microsoft obavijestio Google da radi na tom problemu, ali se suočio s poteškoćama, Google je nastavio i objavio ranjivost. Nema pregovora, nema milosti.

Za posljednji broj (# 138), Microsoft je odlučio da ga ne riješi. James Forshaw dodao je sljedeći komentar:

Microsoft je zaključio da izdanje ne ispunjava traku sigurnosnog biltena. Navode da bi to zahtijevalo preveliku kontrolu od strane napadača i ne smatraju postavke grupnih pravila kao sigurnosno obilježje.

Je li Googleovo ponašanje prihvatljivo?

Microsoft ne misli tako. Chris Betz, stariji direktor Microsoftovog istraživačkog centra za sigurnost, poziva na bolje koordinirano otkrivanje ranjivosti. Naglašava da Microsoft vjeruje u koordinirano otkrivanje ranjivosti (CVD), praksu u kojoj istraživači i tvrtke surađuju na ranjivosti kako bi umanjili rizik za kupce.

U vezi s nedavnim događajima, Betz potvrđuje da je Microsoft posebno tražio od Googlea da radi s njima i oduzme detalje dok se popravci ne distribuiraju u Patch utorak. Google je ignorirao zahtjev.

Iako se slijedi do Googleove najavljene vremenske linije za objavljivanje, odluka se čini manje poput načela i više poput a “imam te”, s kupcima koji mogu trpjeti kao rezultat.

Prema Betzu, javno otkrivene ranjivosti doživljavaju orkestrirane napade cyber kriminalaca, čin koji se teško viđa kada se pitanja otkrivaju privatno putem CVD-a i krpaju prije nego što informacije postanu javne. Dalje kaže Betz, nisu sve ranjivosti izjednačene, što znači da vremenski okvir unutar kojeg se problem zakrpa ovisi o njegovoj složenosti.

Njegov poziv na suradnju je glasan i jasan, a njegovi argumenti solidni. Razmišljanje da nijedan softver nije savršen, jer su ga napravili jednostavni ljudi koji rade sa složenim sustavima. Betz udari noktom u glavu kad kaže:

Ono što je ispravno za Google nije uvijek dobro za kupce. Pozivamo Google da učini zaštitu kupaca našim zajedničkim primarnim ciljem.

Drugo gledište je da Google ima ustaljena pravila i ne želi ustupiti iznimke. To nije vrsta nefleksibilnosti kakvu biste očekivali od ultra moderne tvrtke poput Googlea. Štoviše, objavljivanje ne samo ranjivosti, već i eksploatacijskog koda neodgovorno je, s obzirom na to da bi milion korisnika mogao biti pogođen usklađenim napadom.

Ako se ovo dogodi opet, što možete učiniti da zaštitite svoj sustav?

Ni jedan softver nikada neće biti siguran od podviga koji se koriste na nuli. Možete povećati vlastitu sigurnost prihvaćanjem sigurnosne higijene zdravog razuma. Ovo preporučuje Microsoft:

Ohrabrujemo kupce da zadrže svoj antivirusni softver Najbolji softver za PC za vaše Windows računalo Najbolji softver za PC za vaše Windows računalo Želite li najbolji softver za vaše računalo na Windows računalu? Naš ogromni popis prikuplja najbolje i najsigurnije programe za sve potrebe. ažurno, instalirajte sve dostupne sigurnosne nadogradnje 3 razloga zbog kojih biste trebali pokrenuti najnovije sigurnosne zakrpe i ažuriranja sustava Windows 3 razloga zašto se treba pokrenuti najnovije sigurnosne zakrpe i nadopune sustava Windows Kod koji čini operativni sustav Windows sadrži rupe u sigurnosnoj petlji , pogreške, nekompatibilnosti ili zastarjeli softverski elementi. Ukratko, Windows nije savršen, to svi znamo. Sigurnosne zakrpe i ažuriranja popravljaju ranjivosti… i omogućavaju vatrozid Najbolji softver za računalo za vaše Windows računalo Najbolji softver za računalo za vaše Windows računalo Želite li najbolji softver za vaše računalo na Windows računalu? Naš ogromni popis prikuplja najbolje i najsigurnije programe za sve potrebe. na njihovom računalu.

Naša presuda: Google je trebao surađivati ​​s Microsoftom

Google se pridržavao proizvoljnog roka, umjesto da bude fleksibilan i djeluje u najboljem interesu svojih korisnika. Mogli su produžiti razdoblje počeka za otkrivanje ranjivosti, posebno nakon što je Microsoft priopćio da su zakrpe (gotovo) spremne. Ako je Googleov plemeniti cilj učiniti Internet sigurnijim, moraju biti spremni surađivati ​​s drugim tvrtkama.

U međuvremenu, Microsoft je mogao baciti više resursa u razvoj zakrpa. Pojedini rok smatraju 90 dana. Zbog pritiska Googlea, u stvari su potisnuli zakrpu mjesec dana ranije nego što je prvotno procijenjeno. Izgleda da prvotno nisu dovoljno prioritizirali problem.

Općenito, ako dobavljač softvera signalizira da radi na tom problemu, istraživači poput Googleovog Projekt Zero tima trebali bi surađivati ​​i produžiti razdoblja počeka. Zadržavanje uskoro zakrpljene ranjivosti Korisnici Windows-a Pazite: dobili ste ozbiljan sigurnosni problem Korisnici Windows-a Pazite: imate ozbiljnu tajnu sigurnosnog izdanja sigurnije je od privlačenja pozornosti hakera. Ne bi li sigurnost kupaca trebao biti glavni prioritet bilo koje tvrtke?

Što misliš? Što bi bilo bolje rješenje ili je Google ipak učinio ispravnu stvar?

Slikovni krediti: Čarobnjak Via Shutterstock, Hakiran wk1003mike putem Shutterstock, Red Rope Mega Pixel preko Shutterstock




Još ne komentari

O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.