Должен ли Google объявить об уязвимостях до того, как их исправят?

Реклама

Google не остановить. Менее чем за три недели Google обнаружил четыре уязвимости с нулевым днем, затрагивающие Windows, две из них всего за несколько дней до того, как Microsoft была готова выпустить патч. Microsoft не была удивлена ​​и, судя по реакции Google, скорее всего, последуют и другие подобные случаи.

Является ли этот способ Google научить своих конкурентов быть более эффективными? А как насчет пользователей? Является ли строгое соблюдение Google произвольных сроков в наших интересах?

Почему Google сообщает об уязвимостях Windows?

Project Zero, команда аналитиков безопасности Google, занимается исследованиями подвиги нулевого дня Что такое уязвимость нулевого дня? [MakeUseOf Объясняет] Читать далее с 2014 года. Проект был основан после того, как исследовательская группа, работающая неполный рабочий день, выявила несколько ошибок в программном обеспечении, в том числе критическую Уязвимость Heartbleed - Что вы можете сделать, чтобы оставаться в безопасности? Читать далее .

В их Project Zero анонсGoogle подчеркнул, что их главным приоритетом является обеспечение безопасности своих продуктов. Поскольку Google не работает в вакууме, их исследования распространяются на любое программное обеспечение, которое используют их клиенты.

На данный момент команда выявила более 200 ошибок в различных продуктах, включая Adobe Reader, Flash, OS X, Linux и Windows. О каждой уязвимости сообщается только поставщику программного обеспечения, и ей предоставляется льготный период в 90 дней, после чего она публикуется через Форум исследований безопасности Google.

Эта ошибка подлежит 90-дневному сроку раскрытия. Если 90 дней не появятся без широко доступного патча, отчет об ошибке автоматически станет видимым для общественности.

Вот что случилось с Microsoft. Четыре раза. Первая уязвимость Windows (выпуск № 118) был идентифицирован 30 сентября 2014 года и впоследствии был опубликован 29 декабря 2014 года. 11 января, всего за несколько дней до того, как Microsoft была готова выпустить исправление через Патч вторник Центр обновления Windows: все, что вам нужно знатьНа вашем компьютере включен Центр обновления Windows? Центр обновления Windows защищает вас от уязвимостей системы безопасности, поддерживая Windows, Internet Explorer и Microsoft Office в курсе последних обновлений безопасности и исправлений ошибок. Читать далее вторая уязвимость (выпуск № 123) был обнародован, начав дискуссию о том, не мог ли Google ждать. Спустя всего несколько дней, еще две уязвимости (выпуск № 128 & выпуск № 138) появился в публичной базе данных, обостряя ситуацию дальше.

Что случилось за кулисами?

Первой проблемой (# 118) была критическая уязвимость, связанная с повышением привилегий, которая, как было показано, затрагивала Windows 8.1. В соответствии с Хакерские новости, Это "может позволить хакеру изменить содержимое или даже полностью захватить компьютеры жертв, оставив миллионы пользователей уязвимыми“. Google не раскрывал никаких сообщений с Microsoft по этому вопросу.

Для второй проблемы (# 123) Microsoft попросила расширение, и когда Google отклонил его, они предприняли попытку выпустить патч месяцем ранее. Это были комментарии Джеймса Форшоу:

Microsoft подтвердила, что они намерены предоставить исправления для этих проблем в феврале 2015 г. Они спросили, не вызовет ли это проблему с 90-дневным сроком. Microsoft была проинформирована, что 90-дневный крайний срок установлен для всех поставщиков и классов ошибок и поэтому не может быть продлен. Далее им сообщили, что 90-дневный срок для этого выпуска истекает 11 января 2015 года.

Microsoft выпустила исправления для обеих проблем с обновлением во вторник в январе.

В связи с третьей проблемой (# 128) Microsoft пришлось отложить исправление из-за проблем совместимости.

Microsoft сообщила нам, что для январских исправлений запланировано исправление, но оно должно быть исправлено из-за проблем совместимости. Поэтому исправление ожидается в февральских патчах.

Несмотря на то, что Microsoft сообщила Google, что они работают над этой проблемой, но столкнулись с трудностями, Google объявил об этой уязвимости. Нет переговоров, нет пощады.

Для последней проблемы (# 138) Microsoft решила не исправлять ее. Джеймс Форшоу добавил следующий комментарий:

Microsoft пришла к выводу, что проблема не соответствует плану бюллетеня по безопасности. Они заявляют, что это потребует слишком большого контроля со стороны злоумышленника, и они не рассматривают параметры групповой политики как функцию безопасности.

Является ли поведение Google приемлемым?

Microsoft так не считает. В подробном ответе Крис Бетц, старший директор Центра исследований безопасности Microsoft, призывает лучше скоординированное раскрытие уязвимости. Он подчеркивает, что Microsoft верит в Скоординированное раскрытие уязвимостей (CVD), практика, в которой исследователи и компании сотрудничают в поиске уязвимостей, чтобы минимизировать риск для клиентов.

Что касается недавних событий, Бетц подтверждает, что Microsoft специально попросила Google поработать с ними и не раскрывать детали до тех пор, пока исправления не будут распространены во время исправительного вторника. Google проигнорировал запрос.

Несмотря на соблюдение объявленных Google сроков раскрытия информации, решение выглядит не так, как принципы, а скорее как «уловка», с клиентами, которые могут пострадать в результате.

По словам Бетца, обнародованные уязвимости подвергаются целенаправленным атакам со стороны киберпреступников. действовать трудно, когда проблемы раскрываются в частном порядке через ССЗ и исправляются до того, как информация становится общественности. Далее Бетц говорит, что не все уязвимости сделаны равными, то есть сроки, в течение которых проблема исправлена, зависят от ее сложности.

Его призыв к сотрудничеству громок и ясен, а аргументы убедительны. Представление о том, что ни одно программное обеспечение не является совершенным, потому что оно создано простыми людьми, работающими со сложными системами, вызывает восхищение. Бетц ударяет гвоздь по голове, когда говорит:

То, что правильно для Google, не всегда подходит для клиентов. Мы призываем Google сделать защиту клиентов нашей основной целью.

Другая точка зрения заключается в том, что У Google есть установленная политика и не хочет уступать исключениям. Это не та негибкость, которую вы ожидаете от ультрасовременной компании, такой как Google. Более того, публикация не только уязвимости, но и кода эксплойта безответственна, поскольку миллионы пользователей могут пострадать от согласованной атаки.

Если это случится снова, что вы можете сделать, чтобы защитить свою систему?

Никакое программное обеспечение никогда не будет защищено от взломов нулевого дня. Вы можете повысить свою собственную безопасность, приняв гигиену безопасности на основе здравого смысла. Это то, что Microsoft рекомендует:

Мы рекомендуем клиентам сохранить их антивирусное программное обеспечение Лучшее программное обеспечение для ПК на вашем компьютере с WindowsХотите лучшее программное обеспечение для ПК для вашего компьютера с Windows? Наш обширный список собирает лучшие и самые безопасные программы для всех нужд. Читать далее своевременно, установить все доступные обновления безопасности 3 причины, по которым вы должны запускать последние обновления и обновления для системы безопасности WindowsКод, составляющий операционную систему Windows, содержит дыры в петлях безопасности, ошибки, несовместимости или устаревшие элементы программного обеспечения. Короче говоря, Windows не идеальна, мы все это знаем. Исправления безопасности и обновления исправляют уязвимости ... Читать далее и включить брандмауэр Лучшее программное обеспечение для ПК на вашем компьютере с WindowsХотите лучшее программное обеспечение для ПК для вашего компьютера с Windows? Наш обширный список собирает лучшие и самые безопасные программы для всех нужд. Читать далее на своем компьютере.

Наш вердикт: Google должен был сотрудничать с Microsoft

Google придерживается своего произвольного срока, вместо того, чтобы быть гибким и действовать в интересах своих пользователей. Они могли бы продлить льготный период для выявления уязвимостей, особенно после того, как Microsoft сообщила, что исправления (почти) готовы. Если благородная цель Google состоит в том, чтобы сделать Интернет безопаснее, они должны быть готовы к сотрудничеству с другими компаниями.

Между тем Microsoft могла бы потратить больше ресурсов на разработку патчей. 90 дней считаются достаточным сроком для некоторых. Из-за давления со стороны Google, они фактически выпустили один патч на месяц раньше, чем предполагалось изначально. Похоже, они изначально не уделяли достаточно внимания проблеме.

Как правило, если поставщик программного обеспечения сообщает, что работает над этой проблемой, такие исследователи, как команда Google Project Zero, должны сотрудничать и продлить льготные периоды. Держать скоро будет исправлена ​​уязвимость Остерегайтесь пользователей Windows: у вас серьезная проблема безопасности Читать далее Секрет представляется более безопасным, чем привлечение внимания хакеров. Разве безопасность клиентов не должна быть главным приоритетом любой компании?

Что вы думаете? Что было бы лучшим решением или Google все-таки поступил правильно?

Кредиты изображений: колдун Via Shutterstock, Взломан wk1003mike через Shutterstock, Красная веревка от Mega Pixel через Shutterstock