Skal Google annoncere sårbarheder, før de er blevet pakket?

Hvorfor rapporterer Google sårbarheder i Microsoft Windows? Er dette Googles måde at lære deres konkurrence på at være mere effektiv? Hvad med brugerne? Er Googles strenge overholdelse af frister i vores bedste interesse?

Hvorfor rapporterer Google sårbarheder i Microsoft Windows?  Er dette Googles måde at lære deres konkurrence på at være mere effektiv?  Hvad med brugerne?  Er Googles strenge overholdelse af frister i vores bedste interesse?
Reklame

Google er ustoppeligt. Inden for mindre end tre uger afslørede Google i alt fire nul dagssvagheder, der ramte Windows, to af dem bare dage før Microsoft var klar til at frigive en patch. Microsoft blev ikke moret og dømt efter Googles reaktion, flere sådanne tilfælde vil sandsynligvis følge.

Er dette Googles måde at lære deres konkurrence på at være mere effektiv? Og hvad med brugerne? Er Googles strenge overholdelse af vilkårlige frister i vores bedste interesse?

Hvorfor rapporterer Google Windows Vulnerabilities?

Project Zero, et team af Googles sikkerhedsanalytikere, har forsket på nuldagsejendomme Hvad er en nul-dag sårbarhed? [MakeUseOf Forklarer] Hvad er en nul-dag sårbarhed? [MakeUseOf Explains] Læs mere siden 2014. Projektet blev grundlagt efter en deltidsforskningsgruppe havde identificeret flere software bugs, herunder den kritiske Heartbleed sårbarhed Heartbleed - Hvad kan du gøre for at være sikker? Heartbleed - Hvad kan du gøre for at være sikker? Læs mere .

Google understregede i deres Project Zero-meddelelse, at deres højeste prioritet var at sikre deres egne produkter sikre. Da Google ikke arbejder i et vakuum, udvides deres forskning til enhver software, deres kunder bruger.

Hidtil har teamet identificeret over 200 fejl i forskellige produkter, herunder Adobe Reader, Flash, OS X, Linux og Windows. Hver sårbarhed rapporteres kun til softwareleverandøren og modtager en 90 dages frist, hvorefter den offentliggøres via Googles sikkerhedsforskningsforum.

Denne fejl er underlagt en 90-dages offentliggørelsesfrist. Hvis 90 dage forløber uden et stort tilgængeligt programrettelse, bliver fejlrapporten automatisk synlig for offentligheden.

Det er der sket med Microsoft. Fire gange. Den første Windows-sårbarhed (problem nr. 118) blev identificeret den 30. september 2014 og blev efterfølgende offentliggjort den 29. december 2014. Den 11. januar var bare dage før Microsoft klar til at skubbe en løsning via Patch Tuesday Windows Update: Alt du behøver at kende Windows Update: Alt du behøver at vide, er Windows Update aktiveret på din pc? Windows Update beskytter dig mod sikkerhedsproblemer ved at holde Windows, Internet Explorer og Microsoft Office up-to-date med de nyeste sikkerhedsrettelser og fejlrettelser. Læs mere, den anden sårbarhed (nummer # 123) blev offentliggjort og lancerede en debat om, om Google ikke kunne have ventet. Kun dage senere opstod der to yderligere sårbarheder (problem # 128 & issue # 138) i den offentlige database, der eskalerede situationen yderligere.

Hacket

Hvad skete bag scenerne?

Det første problem (# 118) var et kritisk privilegium for eskalering af sårbarhed, der viste sig at påvirke Windows 8.1. Ifølge The Hacker News kan det " tillade en hacker at ændre indholdet eller endog at overtage ofrenes computere fuldstændigt, hvilket giver millioner af brugere sårbare ". Google afslørede ikke nogen kommunikation med Microsoft vedrørende dette problem.

For det andet problem (# 123) anmodede Microsoft om en udvidelse, og da Google nægtede det, forsøgte de at frigive patchen en måned tidligere. Disse var James Forshaws kommentarer:

Microsoft bekræftede, at de er på mål for at få rettelser til disse problemer i februar 2015. De spurgte, om dette ville medføre et problem med 90-dages frist. Microsoft blev informeret om, at 90-dages fristen er fastsat for alle leverandører og bugklasser og kan derfor ikke forlænges. Endvidere blev de underrettet om, at 90-dages frist for dette spørgsmål udløber den 11. januar 2015.

Microsoft udgivet patches for begge problemer med Update Tuesday i januar.

Med det tredje problem (# 128) måtte Microsoft forsinke en patch på grund af kompatibilitetsproblemer.

Microsoft informerede os om, at der var planlagt en løsning til januar-patcherne, men det skal trækkes på grund af kompatibilitetsproblemer. Derfor forventes reparationen i februar-patcherne.

Selv om Microsoft informerede Google, arbejdede de på problemet, men i vanskeligheder gik Google videre og offentliggjorde sårbarheden. Ingen forhandling, ingen barmhjertighed.

For det sidste problem (# 138) besluttede Microsoft ikke at rette op på det. James Forshaw tilføjede følgende kommentar:

Microsoft har konkluderet, at problemet ikke opfylder linjen i en sikkerhedsbulletin. De siger, at det ville kræve for meget kontrol fra angriberens side, og de betragter ikke gruppepolitiske indstillinger som en sikkerhedsfunktion.

Er Googles adfærd acceptabel?

Microsoft tror det ikke. I et grundigt svar opfordrer Chris Betz, Senior Director for Microsoft Security Research Center, til en bedre koordineret offentliggørelse af sårbarhed. Han understreger, at Microsoft tror på Coordinated Vulnerability Disclosure (CVD), en praksis, hvor forskere og virksomheder samarbejder om sårbarheder for at minimere risikoen for kunderne.

Med hensyn til de seneste begivenheder bekræfter Betz, at Microsoft specifikt bad Google om at arbejde sammen med dem og afholde detaljer, indtil der blev distribueret rettelser under Patch Tuesday. Google ignorerede anmodningen.

Selvom man følger gennem Google's annoncerede tidslinje for offentliggørelse, føles beslutningen mindre som principper og mere som en "gotcha", med kunder dem, der måtte lide som følge heraf.

Ifølge Betz oplever de offentliggjorte sårbarheder orkestrerede angreb fra cyberkriminelle, en handling der næsten ikke ses, når problemer offentliggøres privat gennem CVD og patches, før informationen bliver offentlig. Yderligere Betz siger, at ikke alle sårbarheder er lavet lige, hvilket betyder, at tidslinjen inden for hvilken et problem bliver patched afhænger af dets kompleksitet.

Red Rope

Hans opfordring til samarbejde er højt og tydeligt, og hans argumenter er solide. Refleksionen om, at ingen software er perfekt, fordi den er lavet af enkle mennesker, der opererer med komplekse systemer, er endearing. Betz rammer neglen på hovedet, når han siger:

Hvad der passer til Google, er ikke altid rigtigt for kunderne. Vi opfordrer Google til at beskytte kunderne om vores kollektive primære mål.

Det andet synspunkt er, at Google har en fastlagt politik og ikke ønsker at give plads til undtagelser. Dette er ikke den slags uflexibilitet, du ville forvente fra et ultra moderne selskab som Google. Desuden offentliggøres ikke kun sårbarheden, men også udnyttelseskoden uansvarlig, da millioner af brugere kunne blive ramt af et samordnet angreb.

Hvis dette sker igen, hvad kan du gøre for at beskytte dit system?

Ingen software vil nogensinde være sikker fra nul dag udnyttelse. Du kan øge din egen sikkerhed ved at vedtage en sund fornuft sikkerhedshygiejne. Dette er hvad Microsoft anbefaler:

Vi opfordrer kunderne til at holde deres antivirusprogrammer Den bedste Windows-software Den bedste Windows-software Windows svømmer i et hav af gratis applikationer. Hvilke kan du stole på, og hvilke er de bedste? Hvis du er usikker eller har brug for at løse en bestemt opgave, skal du se denne liste. Læs mere opdateret, installer alle tilgængelige sikkerhedsopdateringer 3 Grunde til, at du skal køre De nyeste Windows-sikkerhedsrettigheder og opdateringer 3 Grunde til, at du skal køre De nyeste Windows-sikkerhedsrettigheder og opdateringer Koden, der udgør Windows-operativsystemet, indeholder sikkerhed loop huller, fejl, uforenelighed eller forældede software elementer. Kort sagt, Windows er ikke perfekt, det ved vi alle sammen. Sikkerhedsrettelser og opdateringer løser sårbarhederne ... Læs mere og aktiver firewallen Den bedste Windows-software Den bedste Windows-software Windows svømmer i et hav af gratis applikationer. Hvilke kan du stole på, og hvilke er de bedste? Hvis du er usikker eller har brug for at løse en bestemt opgave, skal du se denne liste. Læs mere på deres computer.

Vores dom: Google burde have samarbejdet med Microsoft

Google fastholder sin vilkårlig deadline, snarere end at være fleksibel og handle i deres brugeres interesse. De kunne have forlænget graceperioden for at afsløre sårbarhederne, især efter at Microsoft meddelte, at patches var (næsten) klar. Hvis Googles ædle mål er at gøre internettet mere sikkert, skal de være parate til at samarbejde med andre virksomheder.

I mellemtiden kunne Microsoft muligvis have kastet flere ressourcer på at udvikle patches. 90 dage betragtes som en tilstrækkelig tidsramme for nogle. På grund af pres fra Google skød de faktisk en patch ud en måned tidligere end først skønnet. Det ser næsten ud som om de ikke prioriterede problemet højt nok oprindeligt.

Hvis softwareleverandøren signalerer, at de arbejder på problemet, skal forskere som Googles Project Zero-team generelt samarbejde og forlænge graceperioder. Holder snart at være patched sårbarhed Windows brugere Pas på: Du har fået et alvorligt sikkerhedsproblem Windows brugere Pas på: Du har fået et alvorligt sikkerhedsproblem Læs mere Hemmeligheden ser ud til at være sikrere end at tiltrække hackernes opmærksomhed. Skal ikke kundesikkerhed være et firmas højeste prioritet?

Hvad synes du? Hvad ville have været en bedre løsning eller gjorde Google det rigtige?

Billedkreditter: Wizard Via Shutterstock, Hacket af wk1003mike via Shutterstock, Red Rope af Mega Pixel via Shutterstock

In this article