Mala by spoločnosť Google oznámiť chyby skôr, ako budú opravené?

Reklama

Google je nezastaviteľný. Za menej ako tri týždne spoločnosť Google odhalila celkom štyri chyby zabezpečenia, ktoré ovplyvňovali Windows nula dní, dva z nich tesne pred tým, ako bola spoločnosť Microsoft pripravená vydať záplatu. Microsoft nebol pobavený a súdiac podľa reakcií spoločnosti Google, bude pravdepodobne nasledovať viac takýchto prípadov.

Je tento spôsob spoločnosti Google výučbu ich konkurencie efektívnejší? A čo používatelia? Je v našom najlepšom záujme prísne dodržiavanie svojvoľných termínov spoločnosťou Google?

Prečo spoločnosť Google nahlasuje chyby zabezpečenia systému Windows?

Projekt nula, tím bezpečnostných analytikov spoločnosti Google, skúma nulové využitie Čo je to chyba zabezpečenia nulového dňa? [MakeUseOf vysvetľuje] Čítaj viac od roku 2014. Projekt bol založený po tom, ako výskumná skupina na čiastočný úväzok identifikovala niekoľko softvérových chýb vrátane kritických Slabá zraniteľnosť Heartbleed - Čo môžete urobiť, aby ste zostali v bezpečí? Čítaj viac .

V ich Oznámenie o nule, Google zdôraznil, že ich najvyššou prioritou bolo zabezpečenie vlastných produktov. Keďže Google nefunguje vo vákuu, ich výskum sa rozširuje na akýkoľvek softvér, ktorý zákazníci používajú.

Doteraz tím identifikoval viac ako 200 chýb v rôznych produktoch vrátane Adobe Reader, Flash, OS X, Linux a Windows. Každá zraniteľnosť sa nahlási iba predajcovi softvéru a dostane 90-dňové tolerančné obdobie, po uplynutí ktorého sa zverejní prostredníctvom internetu Fórum pre výskum bezpečnosti Google.

Na túto chybu sa vzťahuje 90-dňová lehota na zverejnenie. Ak uplynie 90 dní bez všeobecne dostupnej opravy, správa o chybe sa automaticky zobrazí verejnosti.

To sa stalo spoločnosti Microsoft. Štyri krát. Prvá zraniteľnosť systému Windows (vydanie # 118) bola identifikovaná 30. septembra 2014 a následne bola uverejnená 29. decembra 2014. 11. januára, tesne pred tým, ako bol Microsoft pripravený vytlačiť opravu Patch utorok Windows Update: Všetko, čo potrebujete vedieťJe služba Windows Update na vašom počítači povolená? Windows Update vás chráni pred zraniteľnosťou zabezpečenia tým, že systém Windows, Internet Explorer a Microsoft Office udržiava aktuálne s najnovšími bezpečnostnými opravami a opravami chýb. Čítaj viac , druhá zraniteľnosť (vydanie # 123), čím sa začala debata o tom, či spoločnosť Google nemohla čakať. Iba o niekoľko dní neskôr, dve ďalšie zraniteľné miesta (vydanie # 128 & vydanie # 138) sa objavili vo verejnej databáze, čím sa situácia ešte viac prehĺbila.

Čo sa stalo za scénami?

Prvým problémom (# 118) bola zraniteľnosť s eskaláciou kritických privilégií, ktorá podľa všetkého ovplyvňuje Windows 8.1. Podľa Hacker News, „by mohli hackerovi umožniť modifikáciu obsahu alebo dokonca úplné prevzatie počítačov obetí, čím by zranili milióny používateľov“. Spoločnosť Google neodhalila žiadnu komunikáciu so spoločnosťou Microsoft v súvislosti s týmto problémom.

Pokiaľ ide o druhé vydanie (# 123), spoločnosť Microsoft požiadala o predĺženie a keď spoločnosť Google poprel, vyvinuli úsilie o vydanie opravy o mesiac skôr. Boli to komentáre Jamesa Forshawa:

Spoločnosť Microsoft potvrdila, že ich cieľom je poskytnúť opravy týchto problémov vo februári 2015. Pýtali sa, či by to spôsobilo problém s 90-dňovou lehotou. Spoločnosť Microsoft bola informovaná, že 90-dňová lehota je stanovená pre všetkých predajcov a triedy chýb, a preto ju nemožno predĺžiť. Ďalej boli informovaní, že 90-dňová lehota na vydanie tohto problému uplynie 11. januára 2015.

Spoločnosť Microsoft vydala opravy pre oba problémy s aktualizáciou utorok v januári.

Pri treťom vydaní (# 128) musela spoločnosť Microsoft kvôli oneskoreniu kvôli opravám oneskoriť opravu.

Microsoft nás informoval, že oprava bola naplánovaná na januárové opravy, ale kvôli problémom s kompatibilitou musí byť stiahnutá. Oprava sa preto teraz očakáva vo februárových opravách.

Aj keď spoločnosť Microsoft informovala spoločnosť Google, že na tomto probléme pracujú, ale čelia ťažkostiam, spoločnosť Google chybu zverejnila a zverejnila ju. Žiadne vyjednávanie, žiadne milosrdenstvo.

Pokiaľ ide o posledné vydanie (# 138), Microsoft sa rozhodol, že ho nevyrieši. James Forshaw pridal nasledujúci komentár:

Spoločnosť Microsoft dospela k záveru, že problém nespĺňa lištu bezpečnostných bulletinov. Uvádzajú, že by to vyžadovalo príliš veľkú kontrolu zo strany útočníka a nepovažujú nastavenie skupinovej politiky za bezpečnostnú funkciu.

Je správanie spoločnosti Google prijateľné?

Microsoft si to nemyslí. V dôkladnej reakcii žiada Chris Betz, senior riaditeľ Centra pre výskum bezpečnosti spoločnosti Microsoft lepšie koordinované odhalenie zraniteľnosti. Zdôrazňuje, že Microsoft verí v Zverejnenie informácií o koordinovanej zraniteľnosti (CVD), čo je postup, pri ktorom vedci a spoločnosti spolupracujú v oblasti zraniteľností s cieľom minimalizovať riziko pre zákazníkov.

Pokiaľ ide o nedávne udalosti, spoločnosť Betz potvrdzuje, že spoločnosť Microsoft konkrétne požiadala spoločnosť Google, aby s nimi spolupracovala a zadržala podrobnosti, až kým nebudú opravy rozoslané počas utorka v Patch. Google žiadosť ignoroval.

Aj keď po dodržaní oznámeného časového harmonogramu zverejnenia spoločnosti Google sa toto rozhodnutie cíti menej ako princípy a skôr ako „getcha“, u zákazníkov môže dôjsť k poškodeniu.

Podľa Betza, verejne odhalené zraniteľné miesta zažívajú organizované útoky kybernetických zločincov ak sa problémy zverejnia súkromne prostredníctvom CVD a opravia sa skôr, ako sa tieto informácie objavia, konajú ťažko verejnosť. Ďalej Betz hovorí, že nie všetky zraniteľné miesta sú rovnaké, čo znamená, že časová os, v ktorej sa problém dostane, závisí od jeho zložitosti.

Jeho výzva na spoluprácu je hlasná a jasná a jeho argumenty sú solídne. Odraz, že žiadny softvér nie je dokonalý, pretože je vyrobený jednoduchými ľuďmi pracujúcimi s komplexnými systémami, je neskutočný. Betz udrie klinec na hlavu, keď hovorí:

To, čo je pre spoločnosť Google správne, nie je vždy dobré pre zákazníkov. Naliehame na spoločnosť Google, aby zabezpečila ochranu našich zákazníkov za náš hlavný cieľ.

Ďalším hľadiskom je to Spoločnosť Google má zavedené pravidlá a nechce ustúpiť výnimkám. Toto nie je druh nepružnosti, aký by ste očakávali od ultramodernej spoločnosti, ako je Google. Okrem toho je nezodpovedné zverejniť nielen zraniteľnosť, ale aj exploitačný kód, pretože milióny používateľov by mohli byť zasiahnutí spoločným útokom.

Ak sa to znova stane, čo môžete urobiť pre ochranu svojho systému?

Žiadny softvér nebude nikdy v bezpečí pred zneužitím v nultý deň. Svoju vlastnú bezpečnosť môžete zvýšiť prijatím bezpečnostnej hygieny zdravého rozumu. Spoločnosť Microsoft odporúča toto:

Odporúčame zákazníkom, aby si ich udržiavali antivirusový softvér Najlepšie PC softvér pre váš počítač so systémom WindowsChcete najlepší počítačový softvér pre svoj počítač so systémom Windows? Náš rozsiahly zoznam zhromažďuje najlepšie a najbezpečnejšie programy pre všetky potreby. Čítaj viac aktuálny, nainštalujte všetky dostupné aktualizácie zabezpečenia 3 dôvody, prečo by ste mali používať najnovšie opravy a aktualizácie zabezpečenia systému WindowsKód, ktorý tvorí operačný systém Windows, obsahuje otvory bezpečnostnej slučky, chyby, nekompatibilitu alebo zastarané softvérové ​​prvky. Stručne povedané, systém Windows nie je dokonalý, všetci to vieme. Opravy zabezpečenia a aktualizácie opravujú zraniteľné miesta ... Čítaj viac a povoliť POŽARNE dvere Najlepšie PC softvér pre váš počítač so systémom WindowsChcete najlepší počítačový softvér pre svoj počítač so systémom Windows? Náš rozsiahly zoznam zhromažďuje najlepšie a najbezpečnejšie programy pre všetky potreby. Čítaj viac na svojom počítači.

Náš verdikt: Spoločnosť Google by mala spolupracovať so spoločnosťou Microsoft

Google sa držal svojho ľubovoľného termínu a nie flexibilný a konal v najlepšom záujme svojich používateľov. Mohli predĺžiť dobu odkladu za odhalenie slabých miest, najmä po tom, čo spoločnosť Microsoft oznámila, že opravy sú (takmer) pripravené. Ak je vznešeným cieľom spoločnosti Google zvýšenie bezpečnosti internetu, musia byť pripravené spolupracovať s inými spoločnosťami.

Medzitým by spoločnosť Microsoft mohla pravdepodobne vyvinúť viac prostriedkov na vývoj záplat. Niektorí považujú 90 dní za dostatočný časový rámec. V dôsledku tlaku spoločnosti Google v skutočnosti vytlačili jednu náplasť o mesiac skôr, ako sa pôvodne odhadovalo. Skoro to vyzerá, že pôvodne nemali problém dostatočne prioritne.

Všeobecne platí, že ak dodávateľ softvéru signalizuje, že na tomto probléme pracujú, vedci, ako je tím spoločnosti Google Zero Project, by mali spolupracovať a predĺžiť doby odkladu. Budem čoskoro mať oprava zraniteľnosti Pozor na používateľov systému Windows: Máte vážne bezpečnostné riziko Čítaj viac tajomstvo sa zdá byť bezpečnejšie ako priťahovanie pozornosti hackerov. Nemala by byť bezpečnosť zákazníkov najvyššou prioritou spoločnosti?

Co si myslis? Čo by bolo lepším riešením alebo by spoločnosť Google nakoniec urobila správnu vec?

Kredity obrázkov: čarodejník Cez Shutterstock Napadol wk1003mike cez Shutterstock, Red Rope by Mega Pixel cez Shutterstock