Bør Google kunngjøre sikkerhetsproblemer før de har blitt plukket?
Google er ustoppelig. Innen mindre enn tre uker avslørte Google totalt fire nullsikkerhetsproblemer som påvirket Windows, to av dem bare dager før Microsoft var klar til å frigjøre en oppdatering. Microsoft ble ikke moret og dømt av Googles reaksjon, flere slike tilfeller vil trolig følge.
Er dette Googles måte å lære sin konkurranse på å være mer effektiv? Og hva med brukerne? Er Googles strenge overholdelse av vilkårlige tidsfrister i vår beste interesse?
Hvorfor rapporterer Google Windows Vulnerabilities?
Project Zero, et team av Google-sikkerhetsanalytikere, har undersøkt nulldagutnyttelser Hva er et sikkerhetsproblem i null dag? [MakeUseOf Forklarer] Hva er et sikkerhetsproblem i null dag? [MakeUseOf Forklarer] Les mer siden 2014. Prosjektet ble grunnlagt etter at en deltidsforskningsgruppe hadde identifisert flere programvarebugs, inkludert det kritiske Heartbleed sårbarheten Heartbleed - Hva kan du gjøre for å være trygg? Heartbleed - Hva kan du gjøre for å være trygg? Les mer .
I sin Project Zero-kunngjøring understreket Google at deres topp prioritet var å sikre sine egne produkter. Siden Google ikke opererer i et vakuum, strekker forskningen seg til hvilken programvare som kundene bruker.
Hittil har teamet identifisert over 200 bugs i ulike produkter, inkludert Adobe Reader, Flash, OS X, Linux og Windows. Hvert sårbarhet rapporteres kun til programvareleverandøren og mottar en 90-dagers grace-periode, hvoretter den blir offentliggjort via Google Security Research-forumet.
Denne feilen er gjenstand for en 90-dagers avsluttningsfrist. Hvis 90 dager går uten et stort tilgjengelig patch, blir feilrapporten automatisk synlig for publikum.
Det var det som skjedde med Microsoft. Fire ganger. Det første Windows-sikkerhetsproblemet (problem nr. 118) ble identifisert 30. september 2014 og ble senere publisert 29. desember 2014. 11. januar var bare dager før Microsoft klar til å trykke ut en løsning via Patch Tuesday Windows Update: Alt du trenger å vite Windows Update: Alt du trenger å vite Er Windows Update aktivert på PCen din? Windows Update beskytter deg mot sikkerhetsproblemer ved å holde Windows, Internet Explorer og Microsoft Office oppdatert med de nyeste sikkerhetsoppdateringene og feilrettingene. Les mer, den andre sårbarheten (problem nr. 123) ble offentliggjort, og startet en debatt om Google ikke kunne ha ventet. Bare dager senere oppsto to sårbarheter (problem # 128 og utgave # 138) i den offentlige databasen, og økte situasjonen ytterligere.
Hva skjedde bak scenene?
Det første problemet (# 118) var et kritisk privilegium for eskalering av sårbarhet, vist å påvirke Windows 8.1. Ifølge The Hacker News, det “kan tillate en hacker å endre innholdet eller til og med å overta ofre datamaskiner helt, slik at millioner av brukere er sårbare“. Google avslørte ikke kommunikasjon med Microsoft angående dette problemet.
For det andre problemet (# 123) ba Microsoft om en utvidelse, og da Google nektet det, gjorde de forsøk på å frigjøre oppdateringen en måned tidligere. Disse var James Forshaws kommentarer:
Microsoft bekreftet at de er på mål for å gi løsninger for disse problemene i februar 2015. De spurte om dette ville føre til et problem med 90-dagers fristen. Microsoft ble informert om at 90-dagers fristen er fastsatt for alle leverandører og bugklasser, og kan derfor ikke forlenges. Videre ble de informert om at 90 dagers frist for dette problemet utløper 11. januar 2015.
Microsoft utgitt oppdateringer for begge problemene med oppdatering tirsdag i januar.
Med det tredje problemet (# 128) måtte Microsoft forsinke en patch på grunn av kompatibilitetsproblemer.
Microsoft informerte oss om at det var planlagt en løsning for januar-patchene, men må trekkes på grunn av kompatibilitetsproblemer. Derfor er reparasjonen nå forventet i februar-oppdateringene.
Selv om Microsoft informerte Google, jobbet de på problemet, men i vanskeligheter gikk Google videre og publiserte sikkerhetsproblemet. Ingen forhandling, ingen nåde.
For det siste problemet (# 138) bestemte Microsoft seg for ikke å fikse det. James Forshaw la til følgende kommentar:
Microsoft har konkludert med at problemet ikke oppfyller linjen i en sikkerhetsbulletin. De sier at det ville kreve for mye kontroll fra angriperen, og de anser ikke gruppepolicyinnstillinger som en sikkerhetsfunksjon.
Er Googles oppførsel akseptabel?
Microsoft tror ikke det. I et grundig svar krever Chris Betz, senior direktør for Microsofts sikkerhetsforskningsenter, en bedre koordinert sårbarhetsopplysning. Han legger vekt på at Microsoft tror på samordnet sikkerhetsproblemløsning (CVD), en praksis der forskere og bedrifter samarbeider om sårbarheter for å minimere risikoen for kunder.
Når det gjelder de siste hendelsene, bekrefter Betz at Microsoft spesifikt ba Google om å jobbe med dem og holde tilbake detaljer til fikser ble distribuert under Patch Tuesday. Google ignorerte forespørselen.
Selv om du følger gjennom Googles annonserte tidslinje for offentliggjøring, føles avgjørelsen mindre som prinsipper og mer som a “tok deg”, med kunder som kan lide som følge av dette.
Ifølge Betz opplever de offentliggjorte sårbarhetene orkestrert angrep fra cyberkriminelle, en handling som nesten ikke er sett når problemer blir offentliggjort gjennom CVD og patched før informasjonen blir offentlig. Videre Betz sier ikke alle sårbarheter blir gjort like, noe som betyr at tidslinjen der et problem blir lappet avhenger av dens kompleksitet.
Hans samtaleprosjekt er høyt og tydelig, og hans argumenter er solide. Refleksjonen om at ingen programvare er perfekt fordi den er laget av enkle mennesker som opererer med komplekse systemer, er endearing. Betz treffer spiken på hodet når han sier:
Det som er riktig for Google, er ikke alltid riktig for kundene. Vi oppfordrer Google til å beskytte kundene våre kollektive primære mål.
Det andre synspunktet er at Google har en fastlagt policy og ikke vil gi mulighet til unntak. Dette er ikke den typen ufleksibilitet du kan forvente fra et ultra moderne selskap som Google. Dessuten publiserer ikke bare sårbarheten, men også utnyttningskoden uansvarlig, da millioner av brukere kan bli rammet av et samordnet angrep.
Hvis dette skjer igjen, hva kan du gjøre for å beskytte systemet?
Ingen programvare vil noensinne være trygg fra null dagutnyttelser. Du kan øke din egen sikkerhet ved å vedta en sunn fornuftssikkerhetshygiene. Dette er hva Microsoft anbefaler:
Vi oppfordrer kundene til å beholde deres antivirusprogrammer Den beste Windows-programvaren Den beste Windows-programvaren Windows svømmer i et hav av gratis applikasjoner. Hvilke kan du stole på og hvilke som er de beste? Hvis du er usikker eller trenger å løse en bestemt oppgave, kan du se denne listen. Les mer oppdatert, installer alle tilgjengelige sikkerhetsoppdateringer. 3 Grunner til at du bør kjøre De nyeste Windows-sikkerhetsoppdateringene og -oppdateringene. 3 grunner til at du bør kjøre De nyeste Windows-sikkerhetsoppdateringene og oppdateringene Koden som utgjør Windows-operativsystemet, inneholder sikkerhet loop hull, feil, inkompatibiliteter, eller utdaterte programvareelementer. Kort sagt, Windows er ikke perfekt, det vet vi alle. Sikkerhetsoppdateringer og oppdateringer løser sikkerhetsproblemene ... Les mer og aktiver brannmuren Den beste Windows-programvaren Den beste Windows-programvaren Windows svømmer i et hav av gratis programmer. Hvilke kan du stole på og hvilke som er de beste? Hvis du er usikker eller trenger å løse en bestemt oppgave, kan du se denne listen. Les mer på datamaskinen deres.
Vår dom: Google burde ha samarbeidet med Microsoft
Google fast i sin vilkårlig frist, i stedet for å være fleksibel og handle i beste interesse for brukerne. De kunne ha forlenget graceperioden for å avsløre sårbarhetene, spesielt etter at Microsoft meddelte at patcher var (nesten) klare. Hvis Googles edle mål er å gjøre Internett sikrere, må de være klare til å samarbeide med andre selskaper.
I mellomtiden kunne Microsoft muligens ha kastet flere ressurser på å utvikle oppdateringer. 90 dager betraktes som en tilstrekkelig tidsramme av noen. På grunn av press fra Google, presset de faktisk en patch ut en måned tidligere enn anslått i utgangspunktet. Det ser nesten ut som om de ikke prioriterte problemet høyt nok opprinnelig.
Vanligvis, hvis programvareleverandøren signalerer at de jobber med problemet, bør forskere som Googles prosjektnullerte team samarbeide og utvide nådeperioder. Holde snart å bli patched sårbarhet Windows-brukere Vær oppmerksom på: Du har fått et alvorlig sikkerhetsproblem Windows-brukere Pass på: Du har fått et alvorlig sikkerhetsproblem Les mer Hemmeligheten ser ut til å være tryggere enn å tiltrekke seg oppmerksomheten til hackere. Skal ikke kundesikkerhet være et selskaps topp prioritet?
Hva tror du? Hva ville vært en bedre løsning, eller gjorde Google det riktige da??
Image Credits: Wizard Via Shutterstock, Hacked av wk1003mike via Shutterstock, Red Rope av Mega Pixel via Shutterstock
Utforsk mer om: Google, Microsoft, Online Security.