Měl by Google oznámit chyby dříve, než budou opraveny?

reklama

Google je nezastavitelný. Během méně než tří týdnů společnost Google odhalila celkem čtyři chyby zabezpečení s nulovým účinkem ovlivňující Windows, dva z nich těsně před tím, než byla společnost Microsoft připravena vydat opravu. Společnost Microsoft nebyla pobavena a soudě podle reakce společnosti Google bude pravděpodobně následovat více takových případů.

Je to způsob, jakým Google učí svou konkurenci, aby byla efektivnější? A co uživatelé? Dodržuje společnost Google přísné dodržování libovolných lhůt v našem nejlepším zájmu?

Proč Google hlásí chyby zabezpečení systému Windows?

Projekt Zero, tým analytiků společnosti Google, zkoumá nulový den využívá Co je chyba zabezpečení nulového dne? [MakeUseOf vysvětluje] Přečtěte si více od roku 2014. Projekt byl založen poté, co výzkumná skupina na částečný úvazek identifikovala několik softwarových chyb, včetně kritických Zranitelnost v srdci Heartbleed - Co můžete udělat, abyste zůstali v bezpečí? Přečtěte si více .

V jejich Oznámení projektu Zero

, Google zdůraznil, že jejich nejvyšší prioritou je zajištění bezpečnosti vlastních produktů. Protože Google nefunguje ve vakuu, jejich výzkum se vztahuje na veškerý software, který zákazníci používají.

Zatím tým identifikoval přes 200 chyb v různých produktech, včetně Adobe Reader, Flash, OS X, Linux a Windows. Každá zranitelnost je hlášena pouze prodejci softwaru a dostává 90denní lhůtu, po které je zveřejněna prostřednictvím Fórum výzkumu zabezpečení Google.

Na tuto chybu se vztahuje lhůta pro zveřejnění 90 dnů. Pokud uplyne 90 dní bez široce dostupné opravy, bude hlášení o chybě automaticky viditelné pro veřejnost.

To se stalo společnosti Microsoft. Čtyřikrát. První chyba zabezpečení systému Windows (vydání # 118) byla identifikována 30. září 2014 a následně byla zveřejněna 29. prosince 2014. 11. ledna, těsně před tím, než byla společnost Microsoft připravena provést opravu Oprava úterý Windows Update: Vše, co potřebujete vědětJe služba Windows Update ve vašem počítači povolena? Windows Update vás chrání před zranitelností zabezpečení tím, že udržuje Windows, Internet Explorer a Microsoft Office aktuální s nejnovějšími opravami zabezpečení a opravami chyb. Přečtěte si více , druhá zranitelnost (vydání # 123) byla zveřejněna a zahájila debatu o tom, zda Google nemohl čekat. Pouze o několik dní později, dvě další zranitelnosti (vydání # 128 & vydání # 138) se objevila ve veřejné databázi a situace dále eskalovala.

Co se stalo za scénami?

Prvním problémem (# 118) byla zranitelnost s eskalací kritických oprávnění, která ovlivňuje Windows 8.1. Podle The Hacker News, to "může hackerovi umožnit upravovat obsah nebo dokonce zcela převzít počítače obětí, a tak zranit miliony uživatelů“. Google v této záležitosti neodhalil žádnou komunikaci se společností Microsoft.

Pro druhé vydání (# 123) požádala společnost Microsoft o prodloužení a když to společnost Google popřela, vyvinulo úsilí o vydání opravy o měsíc dříve. Byly to komentáře Jamese Forshawa:

Společnost Microsoft v únoru 2015 potvrdila, že je naším cílem poskytnout opravy těchto problémů. Zeptali se, zda by to způsobilo problém s lhůtou 90 dnů. Společnost Microsoft byla informována, že lhůta 90 dnů je stanovena pro všechny dodavatele a třídy chyb, a proto ji nelze prodloužit. Dále byli informováni, že 90denní lhůta pro vydání tohoto čísla vyprší 11. ledna 2015.

Společnost Microsoft vydala opravy pro oba problémy s aktualizací úterý v lednu.

U třetího vydání (# 128) musela společnost Microsoft kvůli problémům s kompatibilitou odložit opravu.

Microsoft nás informoval, že oprava byla naplánována na lednové opravy, ale musí být stažena kvůli problémům s kompatibilitou. Oprava se nyní očekává v únorových opravách.

Přestože společnost Microsoft informovala společnost Google, že na tomto problému pracují, ale potýkají se s problémy, společnost Google tuto chybu zabezpečení zveřejnila a zveřejnila ji. Žádné vyjednávání, žádné milosrdenství.

Pokud jde o poslední vydání (# 138), společnost Microsoft se rozhodla, že jej nevyřeší. James Forshaw přidal následující komentář:

Společnost Microsoft dospěla k závěru, že problém nesplňuje lištu bezpečnostních bulletinů. Uvádějí, že by to vyžadovalo přílišnou kontrolu ze strany útočníka, a nepovažují nastavení skupinových zásad za funkci zabezpečení.

Je chování společnosti Google přijatelné?

Microsoft si to nemyslí. Chris Betz, vrchní ředitel Centra pro výzkum zabezpečení společnosti Microsoft, v důkladné reakci vyzývá lépe koordinované odhalení zranitelnosti. Zdůrazňuje, že Microsoft věří v Koordinované zveřejnění chyby zabezpečení (CVD), což je postup, při kterém vědci a společnosti spolupracují na zranitelnostech, aby minimalizovali riziko pro zákazníky.

Co se týče nedávných událostí, Betz potvrzuje, že společnost Microsoft konkrétně požádala společnost Google, aby s nimi spolupracovala a zadržovala podrobnosti, dokud nebudou opravy rozeslány během úterního patche. Google požadavek ignoroval.

Přestože prostřednictvím dodržení oznámeného časového harmonogramu zveřejnění společnosti Google se rozhodnutí cítí méně jako principy a spíše jako „gotcha“, u zákazníků se mohou projevit i zákazníci.

Podle Betze, veřejně odhalená zranitelnost zažívá řízené útoky kybernetických zločinců jednat jen těžko, když jsou problémy zveřejněny soukromě prostřednictvím CVD a opraveny, než se informace stávají veřejnost. Dále Betz říká, že ne všechny zranitelnosti jsou si rovny, což znamená, že časová osa, ve které se problém dostane, závisí na jeho složitosti.

Jeho výzva ke spolupráci je hlasitá a jasná a jeho argumenty jsou solidní. Odraz, že žádný software není dokonalý, protože je vyroben jednoduchými lidmi pracujícími se složitými systémy, je neskutečný. Betz udeří hřebík do hlavy, když říká:

Co je pro společnost Google správné, není pro zákazníky vždy to pravé. Žádáme společnost Google, aby ochranu našich zákazníků učinila naším kolektivním hlavním cílem.

Druhé hledisko je to Google má zavedené zásady a nechce ustoupit výjimkám. Toto není druh nepružnosti, jaký byste očekávali od ultra moderní společnosti, jako je Google. Navíc publikování nejenom zranitelnosti, ale také zneužití kódu je nezodpovědné, vzhledem k tomu, že miliony uživatelů by mohly být zasaženy společným útokem.

Pokud se to stane znovu, co můžete udělat pro ochranu vašeho systému?

Žádný software nebude nikdy bezpečný před zneužitím v nultý den. Svou vlastní bezpečnost můžete zvýšit přijetím bezpečnostní hygieny zdravého rozumu. Společnost Microsoft doporučuje toto:

Doporučujeme zákazníkům, aby si své antivirový software Nejlepší počítačový software pro váš počítač se systémem WindowsChcete pro svůj počítač se systémem Windows nejlepší software pro PC? Náš rozsáhlý seznam shromažďuje nejlepší a nejbezpečnější programy pro všechny potřeby. Přečtěte si více aktuální, nainstalovat všechny dostupné aktualizace zabezpečení 3 důvody, proč byste měli používat nejnovější opravy zabezpečení a aktualizace systému WindowsKód, který tvoří operační systém Windows, obsahuje díry v bezpečnostní smyčce, chyby, nekompatibility nebo zastaralé softwarové prvky. Stručně řečeno, Windows není dokonalý, všichni to víme. Opravy zabezpečení a aktualizace opravují chyby zabezpečení ... Přečtěte si více a povolit firewall Nejlepší počítačový software pro váš počítač se systémem WindowsChcete pro svůj počítač se systémem Windows nejlepší software pro PC? Náš rozsáhlý seznam shromažďuje nejlepší a nejbezpečnější programy pro všechny potřeby. Přečtěte si více na jejich počítači.

Náš verdikt: Google měl spolupracovat se společností Microsoft

Google se držel svého libovolného termínu, spíše než aby byl flexibilní a jednal v nejlepším zájmu svých uživatelů. Mohli prodloužit dobu odkladu za odhalení slabých míst, zejména poté, co Microsoft sdělil, že záplaty jsou (téměř) připraveny. Pokud je ušlechtilým cílem společnosti Google zvýšení bezpečnosti internetu, musí být připraveni spolupracovat s dalšími společnostmi.

Mezitím mohl Microsoft pravděpodobně vyvinout více zdrojů na vývoj oprav. Někteří považují 90 dní za dostatečný časový rámec. Kvůli nátlaku od společnosti Google ve skutečnosti vytáhli jednu opravu o měsíc dříve, než se původně odhadovalo. Skoro to vypadá, že původně neměli problém dostatečně prioritně.

Obecně platí, že pokud dodavatel softwaru signalizuje, že na daném problému pracují, měli by vědci, jako je tým společnosti Google Project Zero, spolupracovat a prodloužit doby odkladu. Brzy budu oprava zranitelnosti Dejte si pozor na uživatele systému Windows: Máte závažný problém se zabezpečením Přečtěte si více tajemství se zdá být bezpečnější než přitahování pozornosti hackerů. Neměla by být bezpečnost zákazníků nejvyšší prioritou nějaké společnosti?

Co myslíš? Co by bylo lepší řešení nebo by Google nakonec udělal správnou věc?

Obrazové kredity: kouzelník Přes Shutterstock, Napadl wk1003mike přes Shutterstock, Red Rope by Mega Pixel přes Shutterstock