реклама
Google е неудържим. В рамките на по-малко от три седмици Google разкри общо четири уязвимости за нулев ден, засягащи Windows, две от тях само дни преди Microsoft да е готов да пусне патч. Microsoft не се забавляваше и съдейки по реакцията на Google, вероятно ще последват още такива случаи.
Това ли е начинът на Google да научи конкуренцията си да бъде по-ефективна? А какво ще кажете за потребителите? Дали стриктното спазване на Google от произволни срокове е в наш интерес?
Защо Google докладва за уязвимости на Windows?
Проект Нула, екип от анализатори за сигурност на Google, провежда проучване нулев ден подвизи Какво представлява уязвимостта на нула ден? [MakeUseOf обяснява] Прочетете още от 2014г. Проектът е основан, след като изследователска група на непълно работно време идентифицира няколко софтуерни грешки, включително критичните Уязвимост в сърцето Сърцебиене - какво можете да направите, за да останете в безопасност? Прочетете още .
В техните Съобщение за нула на проекта, Google подчерта, че основният им приоритет е да направят сигурността на собствените си продукти. Тъй като Google не работи във вакуум, проучването им се разпростира върху всеки софтуер, който клиентите им използват.
Досега екипът е идентифицирал над 200 грешки в различни продукти, включително Adobe Reader, Flash, OS X, Linux и Windows. Всяка уязвимост се отчита само на доставчика на софтуер и получава 90-дневен гратисен период, след което се публикува чрез Форум за проучване на сигурността на Google.
Тази грешка подлежи на 90-дневен срок за разкриване. Ако изтичат 90 дни без широко достъпен пластир, докладът за грешки автоматично ще стане видим за обществеността.
Това се случи с Microsoft. Четири пъти. Първата уязвимост на Windows (брой # 118) е идентифициран на 30 септември 2014 г. и впоследствие е публикуван на 29 декември 2014 г. На 11 януари, само дни преди Microsoft да е готов да извади поправка чрез Пач вторник Актуализация на Windows: Всичко, което трябва да знаетеАктивирана ли е актуализация на Windows на вашия компютър? Актуализацията на Windows ви защитава от уязвимости в защитата, като поддържа Windows, Internet Explorer и Microsoft Office актуални с най-новите лепенки за защита и корекции на грешки. Прочетете още , втората уязвимост (брой # 123) бе оповестена публично, като започна дебат дали Google не можеше да чака. Само след дни, още две уязвимости (брой # 128 & брой # 138) се появи в публичната база данни, което допълнително ескалира ситуацията.
Какво се случи зад сцените?
Първият брой (# 118) представлява критична уязвимост на ескалацията на привилегии, показано, че засяга Windows 8.1. Според The Hacker News, то "може да позволи на хакер да променя съдържанието или дори да поеме изцяло компютрите на жертвите, като оставя милиони потребители уязвими“. Google не разкри никаква комуникация с Microsoft по този въпрос.
За втория брой (# 123) Microsoft поиска разширение и когато Google отказа, те положиха усилия да освободят пластира месец по-рано. Това бяха коментарите на Джеймс Форшау:
Microsoft потвърдиха, че са набелязани да осигурят поправки на тези проблеми през февруари 2015 г. Попитаха дали това ще създаде проблем с 90-дневния срок. Microsoft бяха информирани, че 90-дневният срок е определен за всички доставчици и класове на бъгове и затова не може да бъде удължен. Освен това те бяха информирани, че 90-дневният срок за този брой изтича на 11 януари 2015 г.
Microsoft пусна кръпки и за двата проблема с Update вторник през януари.
С третия брой (# 128), Microsoft трябваше да забави кръпка поради проблеми със съвместимостта.
Microsoft ни информира, че е планирано поправяне на януарските корекции, но трябва да бъде изтеглено поради проблеми със съвместимостта. Следователно поправката вече се очаква в февруарските петна.
Въпреки че Microsoft уведомява Google, че работи по проблема, но среща трудности, Google продължи и публикува уязвимостта. Без преговори, без милост.
За последния брой (# 138) Microsoft реши да не го поправя. Джеймс Форшау добави следния коментар:
Microsoft заключиха, че изданието не отговаря на лентата на бюлетина за сигурност. Те заявяват, че това би изисквало прекалено голям контрол от страна на нападателя и не считат настройките на груповата политика като функция за защита.
Приемливо ли е поведението на Google?
Microsoft не смята така. В задълбочен отговор призовава Крис Бец, старши директор на Центъра за изследвания на сигурността на Microsoft по-добре координирано разкриване на уязвимостта. Той подчертава, че Microsoft вярва в това Координирано разкриване на уязвимост (CVD), практика, при която изследователи и компании си сътрудничат за уязвимости, за да се сведе до минимум риска за клиентите.
По отношение на последните събития, Betz потвърждава, че Microsoft специално поиска от Google да работи с тях и да откаже подробности, докато не бъдат разпространени корекции по време на Patch Вторник. Google игнорира заявката.
Въпреки че следвате обявените срокове за оповестяване на Google, решението изглежда по-малко като принципи и по-скоро като „gotcha“, като клиентите могат да страдат в резултат на това.
Според Betz, публично разкритите уязвимости изпитват оркестрирани атаки от киберпрестъпници, действат почти не се забелязват, когато проблемите се разкриват насаме чрез CVD и се кръпка преди информацията да стане публично. По-нататък Бетц не всички уязвимости се приравняват, което означава, че времевата линия, в която даден проблем се изравнява, зависи от неговата сложност.
Призивът му за сътрудничество е силен и ясен, а аргументите му са солидни. Мисленето, че никой софтуер не е перфектен, тъй като е направен от прости хора, работещи със сложни системи, е приятно. Бец удря пирона по главата, когато казва:
Това, което е правилно за Google, не винаги е точно за клиентите. Призоваваме Google да направи защитата на клиентите нашата колективна основна цел.
Другата гледна точка е тази Google има установено правило и не иска да отстъпва на изключенията. Това не е онзи вид гъвкавост, който бихте очаквали от ултра модерна компания като Google. Освен това публикуването не само на уязвимостта, но и на експлоатационния код е безотговорно, като се има предвид, че милиони потребители могат да бъдат засегнати от съгласувана атака.
Ако това се случи отново, какво можете да направите, за да защитите системата си?
Никой софтуер никога няма да бъде безопасен от подвизи за нула ден. Можете да увеличите собствената си безопасност, като приемете хигиена за здрав разум. Ето какво препоръчва Microsoft:
Насърчаваме клиентите да запазят своите антивирусен софтуер Най-добрият софтуер за компютър за вашия компютър с WindowsИскате най-добрия софтуер за компютър за вашия компютър с Windows? Нашият масивен списък събира най-добрите и безопасни програми за всички нужди. Прочетете още актуален, инсталирайте всички налични актуализации за сигурност 3 причини, поради които трябва да стартирате най-новите пачове и актуализации на WindowsКодът, който съставя операционната система Windows, съдържа дупки, грешки, несъвместимости или остарели софтуерни елементи. Накратко, Windows не е перфектна, всички знаем това. Патчите за сигурност и актуализациите коригират уязвимостите ... Прочетете още и активирайте защитна стена Най-добрият софтуер за компютър за вашия компютър с WindowsИскате най-добрия софтуер за компютър за вашия компютър с Windows? Нашият масивен списък събира най-добрите и безопасни програми за всички нужди. Прочетете още на техния компютър.
Нашата присъда: Google трябваше да си сътрудничи с Microsoft
Google се придържа към произволния си срок, вместо да бъде гъвкава и да действа в най-добрия интерес на своите потребители. Те биха могли да удължат гратисния период за разкриване на уязвимите места, особено след като Microsoft съобщи, че кръпките са (почти) готови. Ако благородната цел на Google е да направи интернет по-безопасен, те трябва да са готови да си сътрудничат с други компании.
Междувременно Microsoft може би щеше да хвърли повече ресурси при разработването на кръпки. 90 дни се считат за достатъчна времева рамка от някои. Поради натиска от Google, те в действителност изтласкаха един кръпка един месец по-рано от първоначално изчисленото. Почти изглежда, че първоначално не са поставили приоритет на проблема.
Като цяло, ако доставчикът на софтуер сигнализира, че работи по проблема, изследователи като екипа на Google Project Zero трябва да си сътрудничат и да удължават гратисните периоди. Продължавайте да бъдете кръпка уязвимост Потребителите на Windows Внимавайте: Имате сериозен проблем със сигурността Прочетете още тайната изглежда по-безопасна от привличането на вниманието на хакерите. Не трябва ли безопасността на клиентите да е основен приоритет на някоя компания?
Какво мислиш? Какво би било по-добро решение или в крайна сметка Google направи правилното нещо?
Кредити за изображения: магьосник Via Shutterstock, Хакен от wk1003mike чрез Shutterstock, Червено въже от Мега Пиксел чрез Shutterstock
Тина пише за потребителските технологии повече от десетилетие. Има докторска степен по природни науки, диплома от Германия и магистърска степен от Швеция. Аналитичният й опит е помогнал на нейния успех като технологичен журналист в MakeUseOf, където сега ръководи изследванията и операциите с ключови думи.