Bør Google meddele sårbarheder, før de er blevet lappet?

  • Mark Lucas
  • 0
  • 1696
  • 320
Reklame

Google kan ikke stoppes. Inden for mindre end tre uger afslørede Google i alt fire nul-dages sårbarheder, der påvirker Windows, to af dem kun dage før Microsoft var klar til at frigive en patch. Microsoft blev ikke moret og bedømt efter Googles reaktion, flere sager vil sandsynligvis følge.

Er dette Googles måde at lære deres konkurrence at være mere effektiv på? Og hvad med brugerne? Er Googles strenge overholdelse af vilkårlige tidsfrister i vores bedste interesse?

Hvorfor rapporterer Google Sårbarheder i Windows?

Project Zero, et team af Googles sikkerhedsanalytikere, har forsket på nul dages udnyttelse Hvad er en Zero Day Sårbarhed? [MakeUseOf Explains] Hvad er en sårbarhed med nul dag? [MakeUseOf Explains] siden 2014. Projektet blev grundlagt, efter at en deltidsforskningsgruppe havde identificeret flere softwarebugs, herunder den kritiske Heartbleed-sårbarhed Heartbleed - Hvad kan du gøre for at forblive sikker? Heartbleed - Hvad kan du gøre for at være sikker? .

I deres Project Zero-meddelelse understregede Google, at deres højeste prioritet var at gøre deres egne produkter sikre. Da Google ikke opererer i et vakuum, udvides deres forskning til al software, deres kunder bruger.

Indtil videre har teamet identificeret over 200 fejl i forskellige produkter, herunder Adobe Reader, Flash, OS X, Linux og Windows. Hver sårbarhed rapporteres kun til softwareleverandøren og modtager en frist på 90 dage, hvorefter den offentliggøres via Google Security Research forum.

Denne fejl er underlagt en frist på 90 dage til offentliggørelse. Hvis der går 90 dage uden et bredt tilgængeligt program, bliver bugrapporten automatisk synlig for offentligheden.

Det er hvad der skete med Microsoft. Fire gange. Den første Windows-sårbarhed (udgave # 118) blev identificeret den 30. september 2014 og blev derefter offentliggjort den 29. december 2014. Den 11. januar, bare dage før Microsoft var klar til at skubbe ud en rettelse via Patch tirsdag Windows Update: Alt hvad du har brug for at kende Windows Update: Alt hvad du behøver at vide Er Windows Update aktiveret på din pc? Windows Update beskytter dig mod sikkerhedssårbarheder ved at holde Windows, Internet Explorer og Microsoft Office opdateret med de nyeste sikkerhedspatcher og fejlrettelser. , blev den anden sårbarhed (problem nr. 123) offentliggjort, og der blev indledt en debat om, hvorvidt Google ikke kunne have ventet. Kun dage senere dukkede yderligere to sårbarheder (udgave nr. 128 og udgave # 138) ud i den offentlige database, hvilket eskalerede situationen yderligere.

Hvad der skete bag kulisserne?

Den første udgave (# 118) var en kritisk sårbarhed med eskalering af kritiske privilegier, der viste sig at påvirke Windows 8.1. Ifølge The Hacker News er det det “kunne give en hacker mulighed for at ændre indholdet eller endda overtage ofrenes computere fuldstændigt og efterlade millioner af brugere sårbare“. Google afslørede ingen kommunikation med Microsoft om dette problem.

Til det andet nummer (nr. 123) bad Microsoft om en forlængelse, og da Google benægtede det, bestræbte de sig på at frigive programrettelsen en måned tidligere. Dette var James Forshaws kommentarer:

Microsoft bekræftede, at de er på mål om at levere rettelser til disse problemer i februar 2015. De spurgte, om dette ville forårsage et problem med fristen på 90 dage. Microsoft blev informeret om, at fristen på 90 dage er fastlagt for alle leverandører og bugklasser og derfor ikke kan forlænges. De blev endvidere informeret om, at fristen på 90 dage for dette emne udløber den 11. januar 2015.

Microsoft frigav patches til begge problemer med Update tirsdag i januar.

Med det tredje nummer (# 128) måtte Microsoft udsætte en programrettelse på grund af kompatibilitetsproblemer.

Microsoft informerede os om, at der var planlagt en rettelse til januar-programrettelserne, men at den skal trækkes på grund af kompatibilitetsproblemer. Derfor forventes rettelsen nu i februar-lapperne.

Selvom Microsoft oplyste Google om, at de arbejdede med problemet, men havde vanskeligheder, gik Google videre og offentliggjorde sårbarheden. Ingen forhandlinger, ingen nåde.

I den sidste udgave (# 138) besluttede Microsoft ikke at ordne det. James Forshaw tilføjede følgende kommentar:

Microsoft har konkluderet, at problemet ikke opfylder søjlen i en sikkerhedsbulletin. De oplyser, at det ville kræve for meget kontrol fra angriberen, og de betragter ikke gruppepolitiske indstillinger som en sikkerhedsfunktion.

Er Googles adfærd acceptabel?

Microsoft synes ikke det. I et grundigt svar opfordrer Chris Betz, seniordirektør for Microsofts sikkerhedsforskningscenter, til en bedre koordineret videregående videregivelse. Han understreger, at Microsoft tror på Coordinated Vulnerability Disclosure (CVD), en praksis, hvor forskere og virksomheder samarbejder om sårbarheder for at minimere risikoen for kunderne.

Hvad angår de nylige begivenheder, bekræfter Betz, at Microsoft specifikt bad Google om at arbejde med dem og tilbageholde detaljer, indtil rettelser blev distribueret i løbet af patch tirsdag. Google ignorerede anmodningen.

Selvom det følges ved at følge Googles annoncerede tidslinje for afsløring, føles beslutningen mindre som principper og mere som en “gotcha”, med kunder dem, der kan lide som et resultat.

Ifølge Betz oplever offentligt afslørte sårbarheder orkestrerede angreb fra cyberkriminelle, en handling, der næppe ses, når problemer afsløres privat gennem CVD og lappes, inden informationen bliver offentlig. Yderligere Betz siger, at ikke alle sårbarheder gøres lige, hvilket betyder, at den tidslinje, inden for hvilken et problem bliver rettet, afhænger af dets kompleksitet.

Hans opfordring til samarbejde er højt og klart, og hans argumenter er solide. Refleksionen om, at ingen software er perfekt, fordi den er lavet af enkle mennesker, der opererer med komplekse systemer, er bedårende. Betz rammer neglen på hovedet, når han siger:

Hvad der er rigtigt for Google, er ikke altid rigtigt for kunderne. Vi opfordrer Google til at gøre beskyttelse af kunder vores kollektive primære mål.

Det andet synspunkt er, at Google har en fastlagt politik og ikke ønsker at vige sig for undtagelser. Dette er ikke den slags ufleksibilitet, du kunne forvente af et ultramoderne firma som Google. Desuden er publicering ikke kun sårbarheden, men også udnyttelseskoden uansvarlig, da millioner af brugere kan blive ramt af et samordnet angreb.

Hvis dette sker igen, hvad kan du gøre for at beskytte dit system?

Intet software vil nogensinde være sikkert mod udnyttelse af nul dage. Du kan øge din egen sikkerhed ved at vedtage en sund hygiejne i sund fornuft. Dette er, hvad Microsoft anbefaler:

Vi opfordrer kunder til at opbevare deres antivirus-software Den bedste pc-software til din Windows-computer Den bedste pc-software til din Windows-computer Vil du have den bedste pc-software til din Windows-computer? Vores massive liste samler de bedste og sikreste programmer til alle behov. opdateret, installer alle tilgængelige sikkerhedsopdateringer 3 grunde til, at du skal køre De seneste Windows-sikkerhedsrettelser og -opdateringer 3 grunde til, at du skal køre De seneste Windows-sikkerhedsrettelser og -opdateringer Koden, der udgør Windows-operativsystemet, indeholder huller i sikkerhedssløjfer , fejl, uforeneligheder eller forældede softwareelementer. Kort sagt, Windows er ikke perfekt, det ved vi alle sammen. Sikkerhedsrettelser og opdateringer løser sårbarhederne… og aktiverer firewall Den bedste pc-software til din Windows-computer Den bedste pc-software til din Windows-computer Vil du have den bedste pc-software til din Windows-computer? Vores massive liste samler de bedste og sikreste programmer til alle behov. på deres computer.

Vores dom: Google burde have samarbejdet med Microsoft

Google holdt sig til sin vilkårlige frist snarere end at være fleksibel og handle i deres brugers interesse. De kunne have forlænget afleveringsperioden for at afsløre sårbarhederne, især efter at Microsoft meddelte, at programrettelser (næsten) var klar. Hvis Googles ædle mål er at gøre Internettet sikrere, skal de være klar til at samarbejde med andre virksomheder.

I mellemtiden kunne Microsoft muligvis have kastet flere ressourcer på at udvikle programrettelser. 90 dage betragtes af nogle som en tilstrækkelig tidsramme. På grund af pres fra Google skubbede de faktisk en patch ud en måned tidligere end oprindeligt anslået. Det ser næsten ud som om de ikke oprindeligt prioriterede emnet højt nok.

Generelt, hvis softwareleverandøren signaliserer, at de arbejder med problemet, skal forskere som Googles Project Zero-team samarbejde og forlænge afleveringsperioder. At holde en sårbarhed, der snart bliver rettet op, Windows-brugere Pas på: Du har et alvorligt sikkerhedsspørgsmål Windows-brugere Pas på: Du har en alvorlig sikkerhedsproblemhemmelighed ser ud til at være mere sikker end at tiltrække hackers opmærksomhed. Bør ikke kundesikkerhed være noget selskabs højeste prioritet?

Hvad synes du? Hvad ville have været en bedre løsning, eller gjorde Google trods alt det rigtige?

Billedkreditter: Guiden via Shutterstock, hacket af wk1003mike via Shutterstock, Red Rope af Mega Pixel via Shutterstock




Endnu ingen kommentarer

Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.