Πρέπει η Google να ανακοινώσει τις ευπάθειες πριν από την ενημέρωση;

Διαφήμιση

Το Google είναι ασταμάτητο. Μέσα σε λιγότερο από τρεις εβδομάδες, η Google αποκάλυψε συνολικά τέσσερις ευπάθειες μηδενικής ημέρας που επηρεάζουν τα Windows, δύο από αυτές μόλις λίγες μέρες πριν η Microsoft ήταν έτοιμη να κυκλοφορήσει μια ενημέρωση κώδικα. Η Microsoft δεν διασκεδάζει και κρίνει από την αντίδραση της Google, είναι πιθανό να ακολουθήσουν περισσότερες τέτοιες περιπτώσεις.

Είναι αυτός ο τρόπος διδασκαλίας της Google για να είναι πιο αποτελεσματικός ο ανταγωνισμός τους; Και τι γίνεται με τους χρήστες; Είναι η αυστηρή τήρηση της Google από αυθαίρετες προθεσμίες προς το συμφέρον μας;

Γιατί η Google αναφέρει ευπάθειες των Windows;

Έργο μηδέν, μια ομάδα αναλυτών ασφαλείας της Google, ερευνά εκμεταλλεύσεις μηδενικής ημέρας Τι είναι ένα θέμα ευπάθειας μηδενικής ημέρας; [MakeUseOf Εξηγεί] Διαβάστε περισσότερα από το 2014. Το έργο ιδρύθηκε αφού μια ερευνητική ομάδα μερικής απασχόλησης είχε εντοπίσει πολλά σφάλματα λογισμικού, συμπεριλαμβανομένων των κρίσιμων Ευπαθής ευπάθεια Heartbleed - Τι μπορείτε να κάνετε για να παραμείνετε ασφαλείς; Διαβάστε περισσότερα .

Στο δικό τους Ανακοίνωση Project Zero, Η Google τόνισε ότι η πρώτη τους προτεραιότητα ήταν να κάνουν τα δικά τους προϊόντα ασφαλή. Δεδομένου ότι η Google δεν λειτουργεί υπό κενό, η έρευνά τους επεκτείνεται σε οποιοδήποτε λογισμικό χρησιμοποιούν οι πελάτες τους.

Μέχρι στιγμής, η ομάδα έχει εντοπίσει πάνω από 200 σφάλματα σε διάφορα προϊόντα, συμπεριλαμβανομένων των Adobe Reader, Flash, OS X, Linux και Windows. Κάθε ευπάθεια αναφέρεται μόνο στον προμηθευτή λογισμικού και λαμβάνει περίοδο χάριτος 90 ημερών, μετά την οποία δημοσιοποιείται μέσω του Φόρουμ έρευνας ασφάλειας Google.

Αυτό το σφάλμα υπόκειται σε προθεσμία γνωστοποίησης 90 ημερών. Εάν περάσουν 90 ημέρες χωρίς μια ευρέως διαθέσιμη ενημερωμένη έκδοση κώδικα, τότε η αναφορά σφαλμάτων θα γίνει αυτόματα ορατή στο κοινό.

Αυτό συνέβη στη Microsoft. Τέσσερις φορές. Η πρώτη ευπάθεια των Windows (τεύχος 118) προσδιορίστηκε στις 30 Σεπτεμβρίου 2014 και στη συνέχεια δημοσιεύτηκε στις 29 Δεκεμβρίου 2014. Στις 11 Ιανουαρίου, λίγες μέρες πριν η Microsoft ήταν έτοιμη να κάνει μια επιδιόρθωση μέσω Διορθώστε την Τρίτη Ενημέρωση των Windows: Όλα όσα πρέπει να γνωρίζετεΕίναι ενεργοποιημένο το Windows Update στον υπολογιστή σας; Το Windows Update σάς προστατεύει από τις ευπάθειες ασφαλείας διατηρώντας ενημερωμένους τους Windows, τον Internet Explorer και το Microsoft Office με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και διορθώσεις σφαλμάτων. Διαβάστε περισσότερα , η δεύτερη ευπάθεια (τεύχος # 123) δημοσιοποιήθηκε, ξεκινώντας μια συζήτηση σχετικά με το αν η Google δεν θα μπορούσε να περιμένει. Μόνο λίγες μέρες αργότερα, δύο ακόμη ευπάθειες (τεύχος # 128 & τεύχος # 138) εμφανίστηκε στη δημόσια βάση δεδομένων, κλιμακώνοντας περαιτέρω την κατάσταση.

Τι συνέβη πίσω από τις σκηνές;

Το πρώτο ζήτημα (# 118) ήταν μια κρίσιμη ευπάθεια κλιμάκωσης προνομίων, που φαίνεται να επηρεάζει τα Windows 8.1. Σύμφωνα με Οι ειδήσεις χάκερ, "θα μπορούσε να επιτρέψει σε έναν χάκερ να τροποποιήσει το περιεχόμενο ή ακόμη και να αναλάβει εντελώς τους υπολογιστές των θυμάτων, αφήνοντας εκατομμύρια χρήστες ευάλωτα“. Η Google δεν αποκάλυψε καμία επικοινωνία με τη Microsoft σχετικά με αυτό το ζήτημα.

Για το δεύτερο τεύχος (# 123), η Microsoft ζήτησε παράταση, και όταν η Google το αρνήθηκε, κατέβαλαν προσπάθειες να κυκλοφορήσουν την ενημέρωση κώδικα έναν μήνα νωρίτερα. Αυτά ήταν τα σχόλια του Τζέιμς Φόρσαου:

Η Microsoft επιβεβαίωσε ότι στοχεύουν να παράσχουν διορθώσεις για αυτά τα ζητήματα τον Φεβρουάριο του 2015. Ρώτησαν εάν αυτό θα προκαλούσε πρόβλημα με την προθεσμία των 90 ημερών. Η Microsoft ενημερώθηκε ότι η προθεσμία των 90 ημερών έχει καθοριστεί για όλους τους προμηθευτές και τις κατηγορίες σφαλμάτων και επομένως δεν μπορεί να παραταθεί. Περαιτέρω ενημερώθηκαν ότι η προθεσμία των 90 ημερών για αυτό το τεύχος λήγει στις 11 Ιανουαρίου 2015.

Η Microsoft κυκλοφόρησε ενημερώσεις κώδικα και για τα δύο ζητήματα με την Ενημέρωση Τρίτη τον Ιανουάριο.

Με το τρίτο τεύχος (# 128), η Microsoft έπρεπε να καθυστερήσει μια ενημέρωση κώδικα λόγω προβλημάτων συμβατότητας.

Η Microsoft μας ενημέρωσε ότι σχεδιάστηκε μια επιδιόρθωση για τις ενημερώσεις κώδικα του Ιανουαρίου, αλλά πρέπει να επιλυθεί λόγω προβλημάτων συμβατότητας. Επομένως, η επιδιόρθωση αναμένεται τώρα στις ενημερώσεις του Φεβρουαρίου.

Παρόλο που η Microsoft ενημέρωσε την Google ότι εργάζονταν για το θέμα, αλλά αντιμετωπίζοντας δυσκολίες, η Google προχώρησε και δημοσίευσε την ευπάθεια. Χωρίς διαπραγμάτευση, χωρίς έλεος.

Για το τελευταίο τεύχος (# 138), η Microsoft αποφάσισε να μην το επιδιορθώσει. Ο James Forshaw πρόσθεσε το ακόλουθο σχόλιο:

Η Microsoft κατέληξε στο συμπέρασμα ότι το ζήτημα δεν πληροί τη γραμμή ενός ενημερωτικού δελτίου ασφαλείας. Δηλώνουν ότι θα απαιτούσε πολύ έλεγχο από το μέρος του εισβολέα και δεν θεωρούν τις ρυθμίσεις πολιτικής ομάδας ως χαρακτηριστικό ασφαλείας.

Είναι αποδεκτή η συμπεριφορά της Google;

Η Microsoft δεν το πιστεύει. Σε μια εμπεριστατωμένη απάντηση, ο Chris Betz, Ανώτερος Διευθυντής του Microsoft Security Research Center, ζητά μια καλύτερη συντονισμένη αποκάλυψη ευπάθειας. Τονίζει ότι πιστεύει η Microsoft Συντονισμένη αποκάλυψη ευπάθειας (CVD), μια πρακτική στην οποία ερευνητές και εταιρείες συνεργάζονται σχετικά με τις ευπάθειες για την ελαχιστοποίηση του κινδύνου για τους πελάτες.

Όσον αφορά τα πρόσφατα γεγονότα, η Betz επιβεβαιώνει ότι η Microsoft ζήτησε συγκεκριμένα από την Google να συνεργαστεί μαζί τους και να παρακρατήσει τις λεπτομέρειες έως ότου διανεμήθηκαν διορθώσεις κατά τη διάρκεια του Patch Tuesday. Η Google αγνόησε το αίτημα.

Παρόλο που ακολουθείται το χρονοδιάγραμμα που έχει ανακοινωθεί από την Google, η απόφαση αισθάνεται λιγότερο σαν αρχές και περισσότερο σαν "gotcha", με τους πελάτες που ενδέχεται να υποφέρουν ως αποτέλεσμα.

Σύμφωνα με τον Betz, οι ευπάθειες που αποκαλύπτονται στο κοινό βιώνουν ενορχηστρωμένες επιθέσεις από εγκληματίες στον κυβερνοχώρο, ένα ενεργείτε σχεδόν καθόλου όταν τα ζητήματα αποκαλύπτονται ιδιωτικά μέσω CVD και διορθώνονται πριν γίνουν οι πληροφορίες δημόσιο. Σύμφωνα με τον Betz, δεν γίνονται ίσες όλες οι ευπάθειες, πράγμα που σημαίνει ότι το χρονοδιάγραμμα εντός του οποίου επιδιορθώνεται ένα ζήτημα εξαρτάται από την πολυπλοκότητά του.

Η έκκλησή του για συνεργασία είναι δυνατή και ξεκάθαρη και τα επιχειρήματά του είναι σταθερά. Ο προβληματισμός ότι κανένα λογισμικό δεν είναι τέλειο επειδή είναι κατασκευασμένο από απλούς ανθρώπους που λειτουργούν με πολύπλοκα συστήματα, είναι ελκυστικό. Ο Betz χτυπά το καρφί στο κεφάλι όταν λέει:

Αυτό που είναι σωστό για το Google δεν είναι πάντα κατάλληλο για τους πελάτες. Προτρέπουμε την Google να κάνει την προστασία των πελατών ως συλλογικό πρωταρχικό μας στόχο.

Η άλλη άποψη είναι ότι Η Google έχει καθιερωμένη πολιτική και δεν θέλει να παραχωρήσει εξαιρέσεις. Αυτό δεν είναι το είδος της ακαμψίας που θα περιμένατε από μια υπερσύγχρονη εταιρεία όπως η Google. Επιπλέον, η δημοσίευση όχι μόνο της ευπάθειας, αλλά και του κώδικα εκμετάλλευσης είναι ανεύθυνη, δεδομένου ότι εκατομμύρια χρήστες θα μπορούσαν να χτυπηθούν από μια συντονισμένη επίθεση.

Εάν αυτό συμβεί ξανά, τι μπορείτε να κάνετε για την προστασία του συστήματός σας;

Κανένα λογισμικό δεν θα είναι ποτέ ασφαλές από εκμεταλλεύσεις μηδενικής ημέρας. Μπορείτε να αυξήσετε την ασφάλειά σας υιοθετώντας μια υγιεινή ασφάλειας κοινής λογικής. Αυτό συνιστά η Microsoft:

Ενθαρρύνουμε τους πελάτες να τηρούν λογισμικό ενάντια στους ιούς Το καλύτερο λογισμικό υπολογιστή για τον υπολογιστή σας με WindowsΘέλετε το καλύτερο λογισμικό υπολογιστή για τον υπολογιστή σας Windows; Η τεράστια λίστα μας συγκεντρώνει τα καλύτερα και ασφαλέστερα προγράμματα για όλες τις ανάγκες. Διαβάστε περισσότερα ενημερωμένο, εγκαταστήστε όλες τις διαθέσιμες ενημερώσεις ασφαλείας 3 λόγοι για τους οποίους πρέπει να εκτελείτε τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και ενημερώσεις των WindowsΟ κωδικός που αποτελεί το λειτουργικό σύστημα των Windows περιέχει τρύπες βρόχου ασφαλείας, σφάλματα, ασυμβατότητες ή παλιά στοιχεία λογισμικού. Εν ολίγοις, τα Windows δεν είναι τέλεια, το γνωρίζουμε όλοι. Οι ενημερώσεις κώδικα ασφαλείας και οι ενημερώσεις διορθώνουν τις ευπάθειες ... Διαβάστε περισσότερα και ενεργοποιήστε το τείχος προστασίας Το καλύτερο λογισμικό υπολογιστή για τον υπολογιστή σας με WindowsΘέλετε το καλύτερο λογισμικό υπολογιστή για τον υπολογιστή σας Windows; Η τεράστια λίστα μας συγκεντρώνει τα καλύτερα και ασφαλέστερα προγράμματα για όλες τις ανάγκες. Διαβάστε περισσότερα στον υπολογιστή τους.

Η ετυμηγορία μας: Η Google έπρεπε να συνεργαστεί με τη Microsoft

Η Google επέμεινε στην αυθαίρετη προθεσμία, αντί να είναι ευέλικτη και να ενεργεί προς το συμφέρον των χρηστών τους. Θα μπορούσαν να έχουν παρατείνει την περίοδο χάριτος για την αποκάλυψη των τρωτών σημείων, ειδικά μετά την ανακοίνωση της Microsoft ότι οι ενημερώσεις κώδικα ήταν (σχεδόν) έτοιμες. Εάν ο ευγενής στόχος της Google είναι να κάνει το Διαδίκτυο ασφαλέστερο, πρέπει να είναι έτοιμοι να συνεργαστούν με άλλες εταιρείες.

Εν τω μεταξύ, η Microsoft θα μπορούσε ενδεχομένως να έχει ρίξει περισσότερους πόρους στην ανάπτυξη ενημερώσεων κώδικα. Ορισμένες μέρες θεωρούνται επαρκές χρονικό διάστημα 90 ημερών. Λόγω της πίεσης από την Google, στην πραγματικότητα προωθούσαν ένα μπάλωμα ένα μήνα νωρίτερα από ό, τι εκτιμήθηκε αρχικά. Φαίνεται σχεδόν ότι δεν έδωσαν προτεραιότητα στο ζήτημα αρκετά αρχικά.

Γενικά, εάν ο προμηθευτής λογισμικού επισημαίνει ότι εργάζεται για το ζήτημα, ερευνητές όπως η ομάδα Project Zero της Google θα πρέπει να συνεργαστούν και να παρατείνουν τις περιόδους χάριτος. Κρατώντας σύντομα επιδιορθωμένη ευπάθεια Προσοχή στους χρήστες των Windows: Έχετε ένα σοβαρό πρόβλημα ασφαλείας Διαβάστε περισσότερα το μυστικό φαίνεται να είναι ασφαλέστερο από το να προσελκύει την προσοχή των χάκερ. Δεν πρέπει η ασφάλεια των πελατών να αποτελεί κορυφαία προτεραιότητα οποιασδήποτε εταιρείας;

Τι νομίζετε; Ποια θα ήταν μια καλύτερη λύση ή τελικά η Google έκανε το σωστό;

Συντελεστές εικόνας: Μάγος Μέσω του Shutterstock, Παραβιάστηκε από wk1003mike μέσω του Shutterstock, Red Rope από το Mega Pixel μέσω του Shutterstock