Joseph Goodman
0 
4547
6
Google jest nie do zatrzymania. W ciągu niecałych trzech tygodni Google ujawniło cztery luki w systemie zero dni wpływające na system Windows, dwa z nich na kilka dni przed tym, jak Microsoft był gotowy opublikować łatkę. Microsoft nie był rozbawiony i sądząc po reakcji Google, więcej takich przypadków prawdopodobnie nastąpi.
Czy to sposób Google na nauczanie konkurencji, aby była bardziej wydajna? A co z użytkownikami? Czy ścisłe przestrzeganie przez Google arbitralnych terminów leży w naszym najlepszym interesie?
Dlaczego Google zgłasza luki w zabezpieczeniach systemu Windows?
Project Zero, zespół analityków bezpieczeństwa Google, bada exploity zero-day Co to jest luka w zabezpieczeniach zero-day? [MakeUseOf wyjaśnia] Co to jest luka w Zero Day? [MakeUseOf wyjaśnia] od 2014 roku. Projekt powstał po tym, jak grupa badawcza w niepełnym wymiarze godzin zidentyfikowała kilka błędów oprogramowania, w tym krytyczną lukę w Heartbleed Heartbleed - Co można zrobić, aby zachować bezpieczeństwo? Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? .
W ogłoszeniu dotyczącym projektu Zero Google podkreślił, że ich najwyższym priorytetem jest zapewnienie bezpieczeństwa własnym produktom. Ponieważ Google nie działa w próżni, ich badania obejmują wszelkie oprogramowanie, z którego korzystają klienci.
Do tej pory zespół zidentyfikował ponad 200 błędów w różnych produktach, w tym Adobe Reader, Flash, OS X, Linux i Windows. Każda luka w zabezpieczeniach jest zgłaszana tylko dostawcy oprogramowania i otrzymuje 90-dniowy okres karencji, po którym zostaje opublikowana za pośrednictwem forum Google Security Research.
Ten błąd podlega 90-dniowemu terminowi ujawnienia. Jeśli minie 90 dni bez powszechnie dostępnej łatki, raport o błędzie zostanie automatycznie udostępniony publicznie.
Tak stało się z Microsoftem. Cztery razy. Pierwsza luka w systemie Windows (problem nr 118) została zidentyfikowana 30 września 2014 r., A następnie została opublikowana 29 grudnia 2014 r. 11 stycznia, zaledwie kilka dni przed tym, jak Microsoft był gotowy opublikować poprawkę za pośrednictwem aktualizacji wtorek Windows Update: wszystko, czego potrzebujesz wiedzieć o Windows Update: wszystko, co musisz wiedzieć Czy usługa Windows Update jest włączona na komputerze? Windows Update chroni Cię przed lukami w zabezpieczeniach, aktualizując system Windows, Internet Explorer i Microsoft Office za pomocą najnowszych poprawek bezpieczeństwa i poprawek błędów. , druga luka w zabezpieczeniach (problem nr 123) została upubliczniona, rozpoczynając debatę na temat tego, czy Google nie mógł się doczekać. Zaledwie kilka dni później w publicznej bazie danych pojawiły się jeszcze dwie luki (problem nr 128 i problem nr 138), które jeszcze bardziej pogorszyły sytuację.
Co się stało za kulisami?
Pierwszym problemem (nr 118) była luka w zabezpieczeniach związana z eskalacją uprawnień krytycznych, która miała wpływ na system Windows 8.1. Według The Hacker News to “może pozwolić hakerowi modyfikować zawartość, a nawet całkowicie przejmować komputery ofiar, narażając miliony użytkowników na niebezpieczeństwo“. Google nie ujawniło żadnej komunikacji z Microsoftem dotyczącej tego problemu.
W przypadku drugiego wydania (nr 123) Microsoft poprosił o rozszerzenie, a kiedy Google odmówił, starał się wydać łatkę miesiąc wcześniej. Oto komentarze Jamesa Forshawa:
Firma Microsoft potwierdziła, że ich celem jest poprawienie tych problemów w lutym 2015 r. Zapytano, czy może to spowodować problem z terminem 90 dni. Firma Microsoft została poinformowana, że 90-dniowy termin jest ustalony dla wszystkich dostawców i klas błędów, dlatego nie można go przedłużyć. Ponadto zostali poinformowani, że 90-dniowy termin wydania tego wydania upływa 11 stycznia 2015 r.
Firma Microsoft wydała łaty na oba problemy z aktualizacją wtorek w styczniu.
W trzecim numerze (# 128) Microsoft musiał opóźnić łatkę z powodu problemów ze zgodnością.
Microsoft poinformował nas, że planowana jest poprawka do łat styczniowych, ale należy ją usunąć z powodu problemów ze zgodnością. Dlatego poprawka jest teraz oczekiwana w lutowych łatach.
Mimo że Microsoft poinformował Google, że pracują nad tym problemem, ale napotykając trudności, Google poszedł naprzód i opublikował lukę. Bez negocjacji, bez litości.
W przypadku ostatniego wydania (# 138) Microsoft postanowił go nie naprawiać. James Forshaw dodał następujący komentarz:
Microsoft doszedł do wniosku, że problem nie spełnia wymagań biuletynu zabezpieczeń. Twierdzą, że wymagałoby to zbyt dużej kontroli ze strony atakującego i nie traktują ustawień zasad grupy jako funkcji bezpieczeństwa.
Czy zachowanie Google jest dopuszczalne??
Microsoft tak nie uważa. W odpowiedzi Chris Chrisz, starszy dyrektor Microsoft Security Research Center, wzywa do lepszego skoordynowanego ujawnienia podatności. Podkreśla, że Microsoft wierzy w koordynowane ujawnianie luk (CVD), praktykę, w której badacze i firmy współpracują w zakresie luk w celu zminimalizowania ryzyka dla klientów.
Jeśli chodzi o ostatnie wydarzenia, Betz potwierdza, że Microsoft specjalnie poprosił Google o współpracę z nimi i ukrywanie szczegółów, dopóki poprawki nie zostaną rozprowadzone podczas wtorku łaty. Google zignorował żądanie.
Chociaż przestrzeganie dotrzymuje wyznaczonego harmonogramu ujawnienia przez Google, decyzja wydaje się mniej podobna do zasad, a bardziej do “gotcha”, z klientami, którzy mogą ucierpieć.
Według Betza, publicznie ujawnione luki w zabezpieczeniach doświadczają zorganizowanych ataków cyberprzestępców, czynu ledwo zauważalnego, gdy problemy są ujawniane prywatnie przez CVD i załatane, zanim informacje zostaną upublicznione. Ponadto Betz mówi, że nie wszystkie luki są wyrównane, co oznacza, że czas, w którym problem zostanie rozwiązany, zależy od jego złożoności.
Wezwanie do współpracy jest głośne i jasne, a argumenty solidne. Urzekanie, że żadne oprogramowanie nie jest idealne, ponieważ jest tworzone przez prostych ludzi pracujących ze złożonymi systemami, jest ujmujące. Betz uderza gwoździem w głowę, gdy mówi:
To, co jest odpowiednie dla Google, nie zawsze jest odpowiednie dla klientów. Wzywamy Google do uczynienia ochrony klientów naszym wspólnym głównym celem.
Innym punktem widzenia jest to, że Google ma ustalone zasady i nie chce ustępować wyjątkom. Tego rodzaju elastyczności nie można oczekiwać od ultra nowoczesnej firmy, takiej jak Google. Co więcej, opublikowanie nie tylko luki w zabezpieczeniach, ale także kodu exploita jest nieodpowiedzialne, biorąc pod uwagę, że miliony użytkowników mogą zostać dotknięte skoordynowanym atakiem.
Jeśli to się powtórzy, co możesz zrobić, aby chronić swój system?
Żadne oprogramowanie nigdy nie będzie bezpieczne przed exploitami zero-day. Możesz zwiększyć własne bezpieczeństwo, stosując zdrowy rozsądek higieny bezpieczeństwa. Oto, co Microsoft zaleca:
Zachęcamy klientów do zachowania oprogramowania antywirusowego Najlepsze oprogramowanie na komputer z systemem Windows Najlepsze oprogramowanie na komputer z systemem Windows Chcesz najlepsze oprogramowanie na komputer z systemem Windows? Nasza ogromna lista zawiera najlepsze i najbezpieczniejsze programy dla wszystkich potrzeb. zainstaluj wszystkie dostępne aktualizacje zabezpieczeń. 3 powody, dla których warto uruchamiać najnowsze poprawki i aktualizacje zabezpieczeń systemu Windows. 3 powody, dla których warto uruchamiać najnowsze poprawki i aktualizacje zabezpieczeń systemu Windows. Kod tworzący system operacyjny Windows zawiera luki w zabezpieczeniach , błędy, niezgodności lub nieaktualne elementy oprogramowania. Krótko mówiąc, Windows nie jest idealny, wszyscy to wiemy. Łaty bezpieczeństwa i aktualizacje usuwają luki… i włączają zaporę Najlepsze oprogramowanie na komputer z systemem Windows Najlepsze oprogramowanie na komputer z systemem Windows Chcesz najlepsze oprogramowanie na komputer z systemem Windows? Nasza ogromna lista zawiera najlepsze i najbezpieczniejsze programy dla wszystkich potrzeb. na swoim komputerze.
Nasz werdykt: Google powinien był współpracować z Microsoftem
Google trzymał się wyznaczonego terminu, a nie był elastyczny i działał w najlepszym interesie swoich użytkowników. Mogli przedłużyć okres karencji na ujawnienie luk, szczególnie po tym, jak Microsoft poinformował, że łatki są (prawie) gotowe. Jeśli szlachetnym celem Google jest zwiększenie bezpieczeństwa Internetu, muszą one być gotowe do współpracy z innymi firmami.
Tymczasem Microsoft mógł rzucić więcej zasobów podczas opracowywania łatek. 90 dni jest przez niektórych uważane za wystarczający okres. Z powodu presji ze strony Google faktycznie wyparli jedną łatkę miesiąc wcześniej niż początkowo szacowano. Wygląda na to, że pierwotnie problem nie był wystarczająco priorytetowy.
Zasadniczo, jeśli producent oprogramowania zasygnalizuje, że pracują nad tym problemem, badacze tacy jak zespół Project Zero Google powinni współpracować i wydłużyć okres karencji. Wkrótce będzie łatana luka w zabezpieczeniach Użytkownicy systemu Windows Uwaga: masz poważny problem z bezpieczeństwem Użytkownicy systemu Windows uważaj: masz poważny problem z zabezpieczeniem Sekret wydaje się bezpieczniejszy niż przyciąganie uwagi hakerów. Czy bezpieczeństwo klienta nie powinno być najwyższym priorytetem żadnej firmy?
Co myślisz? Co byłoby lepszym rozwiązaniem, czy Google zrobiłby właściwie?
Kredyty graficzne: Wizard Via Shutterstock, Hacked by wk1003mike via Shutterstock, Red Rope by Mega Pixel via Shutterstock