Reklama
Google jest nie do zatrzymania. W ciągu niecałych trzech tygodni Google ujawniło w sumie cztery luki w systemie zero dni wpływające na system Windows, dwa z nich na kilka dni przed tym, jak Microsoft był gotowy opublikować łatkę. Microsoft nie był rozbawiony i sądząc po reakcji Google, więcej takich przypadków prawdopodobnie nastąpi.
Czy to sposób Google na nauczanie konkurencji, aby była bardziej wydajna? A co z użytkownikami? Czy ścisłe przestrzeganie przez Google arbitralnych terminów leży w naszym najlepszym interesie?
Dlaczego Google zgłasza luki w zabezpieczeniach systemu Windows?
Project Zero, zespół analityków bezpieczeństwa Google, bada exploity zero-dniowe Co to jest luka w zabezpieczeniach zero dni? [MakeUseOf wyjaśnia] Czytaj więcej od 2014 r. Projekt powstał po tym, jak grupa badawcza zatrudniona w niepełnym wymiarze godzin zidentyfikowała kilka błędów oprogramowania, w tym krytyczne Luka w zabezpieczeniach Heartbleed Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? Czytaj więcej .
W ich Ogłoszenie Project Zero, Google podkreślił, że ich najwyższym priorytetem jest zapewnienie bezpieczeństwa własnym produktom. Ponieważ Google nie działa w próżni, ich badania obejmują wszelkie oprogramowanie, z którego korzystają klienci.
Do tej pory zespół zidentyfikował ponad 200 błędów w różnych produktach, w tym Adobe Reader, Flash, OS X, Linux i Windows. Każda luka w zabezpieczeniach jest zgłaszana tylko producentowi oprogramowania i otrzymuje 90-dniowy okres karencji, po którym zostaje opublikowana za pośrednictwem Forum Google Security Research.
Ten błąd podlega 90-dniowemu terminowi ujawnienia. Jeśli minie 90 dni bez powszechnie dostępnej łatki, raport o błędzie zostanie automatycznie udostępniony publicznie.
Tak stało się z Microsoftem. Cztery razy. Pierwsza luka w systemie Windows (numer # 118) została zidentyfikowana 30 września 2014 r., a następnie została opublikowana 29 grudnia 2014 r. 11 stycznia, zaledwie kilka dni przed tym, jak Microsoft był gotowy do opublikowania poprawki za pośrednictwem Aktualizacja we wtorek Windows Update: wszystko, co musisz wiedziećCzy usługa Windows Update jest włączona na komputerze? Windows Update chroni Cię przed lukami w zabezpieczeniach, aktualizując system Windows, Internet Explorer i Microsoft Office za pomocą najnowszych poprawek bezpieczeństwa i poprawek błędów. Czytaj więcej , druga podatność (problem nr 123) została upubliczniona, rozpoczynając debatę na temat tego, czy Google nie mógł się doczekać. Zaledwie kilka dni później dwie kolejne luki (problem nr 128 & numer # 138) pojawiła się w publicznej bazie danych, co jeszcze bardziej pogorszyło sytuację.
Co się stało za kulisami?
Pierwszym problemem (nr 118) była luka w zabezpieczeniach związana z eskalacją uprawnień krytycznych, która miała wpływ na system Windows 8.1. Według Wiadomości hakerów, to "może pozwolić hakerowi modyfikować zawartość, a nawet całkowicie przejmować komputery ofiar, narażając miliony użytkowników na niebezpieczeństwo“. Google nie ujawniło żadnej komunikacji z Microsoftem dotyczącej tego problemu.
W przypadku drugiego wydania (nr 123) Microsoft poprosił o rozszerzenie, a kiedy Google odmówił, starał się wydać łatkę miesiąc wcześniej. Oto komentarze Jamesa Forshawa:
Firma Microsoft potwierdziła, że ich celem jest poprawienie tych problemów w lutym 2015 r. Zapytali, czy to spowoduje problem z terminem 90 dni. Firma Microsoft została poinformowana, że 90-dniowy termin jest ustalony dla wszystkich dostawców i klas błędów, dlatego nie można go przedłużyć. Ponadto zostali poinformowani, że 90-dniowy termin wydania tego wydania upływa 11 stycznia 2015 r.
Firma Microsoft wydała łaty na oba problemy z aktualizacją wtorek w styczniu.
W trzecim numerze (# 128) Microsoft musiał opóźnić łatkę z powodu problemów ze zgodnością.
Microsoft poinformował nas, że planowana jest poprawka do łat styczniowych, ale należy ją usunąć z powodu problemów ze zgodnością. Dlatego poprawka jest teraz oczekiwana w lutowych łatach.
Mimo że Microsoft poinformował Google, że pracują nad tym problemem, ale napotykając trudności, Google poszedł naprzód i opublikował lukę. Bez negocjacji, bez litości.
W przypadku ostatniego wydania (# 138) Microsoft postanowił go nie naprawiać. James Forshaw dodał następujący komentarz:
Firma Microsoft doszła do wniosku, że problem nie spełnia wymagań biuletynu zabezpieczeń. Twierdzą, że wymagałoby to zbyt dużej kontroli ze strony atakującego i nie traktują ustawień zasad grupy jako funkcji bezpieczeństwa.
Czy zachowanie Google jest dopuszczalne?
Microsoft tak nie uważa. W odpowiedzi gruntownie wzywa Chris Betz, starszy dyrektor Microsoft Security Research Center lepiej skoordynowane ujawnianie podatności. Podkreśla, że Microsoft wierzy Skoordynowane ujawnianie luk w zabezpieczeniach (CVD), praktyka, w której badacze i firmy współpracują w zakresie słabych punktów, aby zminimalizować ryzyko dla klientów.
Jeśli chodzi o ostatnie wydarzenia, Betz potwierdza, że Microsoft specjalnie poprosił Google o współpracę z nimi i ukrywanie szczegółów, dopóki poprawki nie zostaną rozprowadzone podczas wtorku łaty. Google zignorował żądanie.
Chociaż przestrzeganie dotrzymuje wyznaczonego harmonogramu ujawnienia przez Google, decyzja wydaje się mniej podobna do zasad, a bardziej do „gotcha”, a klienci mogą ucierpieć.
Według Betza, publicznie ujawnione luki w zabezpieczeniach doświadczają zorganizowanych ataków cyberprzestępców działać rzadko, gdy problemy są ujawniane prywatnie za pomocą CVD i załatane przed ujawnieniem informacji publiczny. Ponadto Betz mówi, że nie wszystkie luki są wyrównane, co oznacza, że czas, w którym problem zostanie rozwiązany, zależy od jego złożoności.
Wezwanie do współpracy jest głośne i jasne, a argumenty solidne. Urzekanie, że żadne oprogramowanie nie jest idealne, ponieważ jest tworzone przez prostych ludzi pracujących ze złożonymi systemami, jest ujmujące. Betz uderza w sedno, gdy mówi:
To, co jest odpowiednie dla Google, nie zawsze jest odpowiednie dla klientów. Wzywamy Google do uczynienia ochrony klientów naszym wspólnym głównym celem.
Drugi punkt widzenia jest taki Google ma ustalone zasady i nie chce ustępować wyjątkom. Tego rodzaju elastyczności nie można oczekiwać od tak supernowoczesnej firmy, takiej jak Google. Co więcej, opublikowanie nie tylko luki w zabezpieczeniach, ale także kodu exploita jest nieodpowiedzialne, biorąc pod uwagę, że miliony użytkowników mogą zostać dotknięte skoordynowanym atakiem.
Jeśli to się powtórzy, co możesz zrobić, aby chronić swój system?
Żadne oprogramowanie nigdy nie będzie bezpieczne przed exploitami zero-day. Możesz zwiększyć własne bezpieczeństwo, stosując zdrowy rozsądek higieny bezpieczeństwa. Oto, co Microsoft zaleca:
Zachęcamy klientów do zachowania ich oprogramowanie antywirusowe Najlepsze oprogramowanie na komputer z systemem WindowsChcesz najlepsze oprogramowanie na komputer z systemem Windows? Nasza ogromna lista zawiera najlepsze i najbezpieczniejsze programy dla wszystkich potrzeb. Czytaj więcej aktualny, zainstaluj wszystkie dostępne aktualizacje zabezpieczeń 3 powody, dla których warto korzystać z najnowszych poprawek i aktualizacji zabezpieczeń systemu WindowsKod tworzący system operacyjny Windows zawiera luki w zabezpieczeniach, błędy, niezgodności lub nieaktualne elementy oprogramowania. Krótko mówiąc, Windows nie jest idealny, wszyscy to wiemy. Łaty bezpieczeństwa i aktualizacje usuwają luki ... Czytaj więcej i włącz zapora ogniowa Najlepsze oprogramowanie na komputer z systemem WindowsChcesz najlepsze oprogramowanie na komputer z systemem Windows? Nasza ogromna lista zawiera najlepsze i najbezpieczniejsze programy dla wszystkich potrzeb. Czytaj więcej na swoim komputerze.
Nasz werdykt: Google powinien był współpracować z Microsoftem
Google trzymał się wyznaczonego terminu, a nie był elastyczny i działał w najlepszym interesie swoich użytkowników. Mogli przedłużyć okres karencji na ujawnienie luk, zwłaszcza po tym, jak Microsoft poinformował, że łatki są (prawie) gotowe. Jeśli szlachetnym celem Google jest zwiększenie bezpieczeństwa Internetu, muszą one być gotowe do współpracy z innymi firmami.
Tymczasem Microsoft mógł rzucić więcej zasobów podczas opracowywania łatek. 90 dni jest przez niektórych uważane za wystarczający okres. Z powodu presji ze strony Google faktycznie wyparli jedną łatkę miesiąc wcześniej niż początkowo szacowano. Wygląda na to, że pierwotnie problem nie był traktowany priorytetowo.
Zasadniczo, jeśli producent oprogramowania zasygnalizuje, że pracuje nad tym problemem, badacze tacy jak zespół Google Project Zero powinni współpracować i wydłużyć okres karencji. Wkrótce będzie załatana luka Uwaga użytkowników systemu Windows: masz poważny problem z zabezpieczeniami Czytaj więcej sekret wydaje się bezpieczniejszy niż przyciąganie uwagi hakerów. Czy bezpieczeństwo klienta nie powinno być najwyższym priorytetem firmy?
Co myślisz? Jakie byłoby lepsze rozwiązanie, czy Google w końcu zrobiłby coś dobrego?
Kredyty obrazkowe: Czarodziej Via Shutterstock, Zhakowany przez wk1003mike przez Shutterstock, Red Rope od Mega Pixel przez Shutterstock
Tina pisze o technologii konsumenckiej od ponad dekady. Posiada doktorat z nauk przyrodniczych, dyplom z Niemiec oraz tytuł magistra ze Szwecji. Jej doświadczenie analityczne pomogło jej osiągnąć sukces jako dziennikarki technologicznej w MakeUseOf, gdzie zarządza badaniami i operacjami dotyczącymi słów kluczowych.