Содержание
Google не остановить. Менее чем за три недели Google обнаружил четыре уязвимости с нулевым днем, затрагивающие Windows, две из них всего за несколько дней до того, как Microsoft была готова выпустить патч. Microsoft не была удивлена и, судя по реакции Google, скорее всего, последуют и другие подобные случаи.
Является ли этот способ Google научить своих конкурентов быть более эффективными? А как насчет пользователей? Является ли строгое соблюдение Google произвольных сроков в наших интересах?
Почему Google сообщает об уязвимостях Windows?
Project Zero, команда аналитиков безопасности Google, исследует эксплойты нулевого дня
с 2014 года. Проект был основан после того, как исследовательская группа, работающая неполный рабочий день, выявила несколько ошибок в программном обеспечении, в том числе критическую уязвимость Heartbleed
,
В своем объявлении Project Zero Google подчеркнул, что их первоочередной задачей является обеспечение безопасности своих продуктов. Поскольку Google не работает в вакууме, их исследования распространяются на любое программное обеспечение, которое используют их клиенты.
На данный момент команда выявила более 200 ошибок в различных продуктах, включая Adobe Reader, Flash, OS X, Linux и Windows. О каждой уязвимости сообщается только поставщику программного обеспечения, и ей предоставляется льготный период в 90 дней, после чего она публикуется на форуме Google Security Research.
Эта ошибка подлежит 90-дневному сроку раскрытия. Если без широко распространенного патча истечет 90 дней, отчет об ошибке автоматически станет видимым для общественности.
Вот что случилось с Microsoft. Четыре раза. Первая уязвимость Windows (проблема № 118) была обнаружена 30 сентября 2014 года и впоследствии была опубликована 29 декабря 2014 года. 11 января, всего за несколько дней до того, как Microsoft была готова выпустить исправление во вторник исправлений
вторая уязвимость (проблема № 123) была обнародована, и началась дискуссия о том, не мог ли Google ждать. Спустя всего несколько дней появилось еще две уязвимости (выпуск № 128). номер 138) появился в публичной базе данных, что еще больше обострило ситуацию.
Что случилось за кулисами?
Первой проблемой (№ 118) была критическая уязвимость, связанная с повышением привилегий, которая, как было показано, затрагивала Windows 8.1. Согласно The Hacker News, это «может позволить хакеру модифицировать контент или даже полностью захватить компьютеры жертв, оставляя миллионы пользователей уязвимыми». Google не сообщил о каких-либо связях с Microsoft по этой проблеме.
Для второй проблемы (# 123) Microsoft попросила расширение, и когда Google отказал в этом, они предприняли усилия, чтобы выпустить патч месяцем ранее. Это были комментарии Джеймса Форшоу:
Microsoft подтвердила, что намерена предоставить исправления для этих проблем в феврале 2015 года. Они спросили, не вызовет ли это проблему с 90-дневным сроком. Microsoft была проинформирована, что 90-дневный крайний срок установлен для всех поставщиков и классов ошибок и поэтому не может быть продлен. Далее им сообщили, что 90-дневный крайний срок для этого выпуска истекает 11 января 2015 года.
Microsoft выпустила исправления для обеих проблем с обновлением во вторник в январе.
В связи с третьей проблемой (# 128) Microsoft пришлось отложить исправление из-за проблем совместимости.
Microsoft сообщила нам, что для январских исправлений запланировано исправление, но оно должно быть исправлено из-за проблем совместимости. Поэтому исправление ожидается в февральских патчах.
Несмотря на то, что Microsoft сообщила Google, что они работают над этой проблемой, но столкнулись с трудностями, Google опубликовал уязвимость. Нет переговоров, нет пощады.
Для последней проблемы (# 138) Microsoft решила не исправлять это. Джеймс Форшоу добавил следующий комментарий:
Microsoft пришла к выводу, что проблема не соответствует плану бюллетеня по безопасности. Они заявляют, что это потребует слишком большого контроля со стороны злоумышленника, и они не рассматривают параметры групповой политики как функцию безопасности.
Является ли поведение Google приемлемым?
Microsoft так не считает. В своем подробном ответе Крис Бетц, старший директор Центра исследований безопасности Microsoft, призывает к более скоординированному раскрытию информации об уязвимостях. Он подчеркивает, что Microsoft верит в Coordinated Vulnerability Disclosure (CVD), практику, в которой исследователи и компании совместно работают над уязвимостями, чтобы минимизировать риск для клиентов.
Что касается недавних событий, Бетц подтверждает, что Microsoft специально попросила Google поработать с ними и не раскрывать детали до тех пор, пока исправления не будут распространены во время исправительного вторника. Google проигнорировал запрос.
Несмотря на соблюдение объявленных Google сроков раскрытия информации, решение выглядит не так, как принципы, а скорее как «уловка», с клиентами, которые могут пострадать в результате.
По словам Бетца, публично раскрываемые уязвимости подвергаются организованным атакам со стороны киберпреступников, чего едва ли можно увидеть, когда проблемы раскрываются в частном порядке с помощью ССЗ и исправляются до того, как информация становится публичной. Далее Бетц говорит, что не все уязвимости сделаны равными, то есть сроки, в течение которых проблема исправлена, зависят от ее сложности.
Его призыв к сотрудничеству громок и ясен, а аргументы убедительны. Представление о том, что ни одно программное обеспечение не является совершенным, потому что оно создано простыми людьми, работающими со сложными системами, вызывает восхищение. Бетц ударяет гвоздь по голове, когда говорит:
То, что правильно для Google, не всегда подходит для клиентов. Мы призываем Google сделать защиту клиентов нашей основной целью.
Другая точка зрения состоит в том, что у Google есть установленная политика и она не хочет уступать исключениям. Это не та негибкость, которую вы ожидаете от ультрасовременной компании, такой как Google. Более того, публикация не только уязвимости, но и кода эксплойта безответственна, учитывая, что миллионы пользователей могут пострадать от согласованной атаки.
Если это случится снова, что вы можете сделать, чтобы защитить свою систему?
Никакое программное обеспечение никогда не будет защищено от взломов нулевого дня. Вы можете повысить свою безопасность, приняв правила гигиены. Это то, что Microsoft рекомендует:
Мы рекомендуем клиентам сохранять антивирусное программное обеспечение
установите все доступные обновления безопасности
и включите брандмауэр
на своем компьютере.
Наш вердикт: Google должен был сотрудничать с Microsoft
Google придерживается своего произвольного срока, вместо того чтобы быть гибким и действовать в интересах своих пользователей. Они могли бы продлить льготный период для выявления уязвимостей, особенно после того, как Microsoft сообщила, что исправления (почти) готовы. Если благородная цель Google состоит в том, чтобы сделать Интернет безопаснее, они должны быть готовы к сотрудничеству с другими компаниями.
Тем временем Microsoft могла бы потратить больше ресурсов на разработку патчей. 90 дней считаются достаточным сроком для некоторых. Из-за давления со стороны Google, они фактически выпустили один патч на месяц раньше, чем предполагалось изначально. Похоже, они изначально не уделяли достаточно внимания проблеме.
Как правило, если поставщик программного обеспечения сообщает, что работает над этой проблемой, исследователи, такие как команда Google Project Zero, должны сотрудничать и продлить льготные периоды. Сохранение уязвимости, которая скоро будет исправлена
Секрет представляется более безопасным, чем привлечение внимания хакеров. Разве безопасность клиентов не должна быть главным приоритетом любой компании?
Как вы думаете? Что было бы лучшим решением, или Google все-таки поступил правильно?
Авторы изображения: Wizard через Shutterstock, взломанный wk1003mike через Shutterstock, Red Rope от Mega Pixel через Shutterstock
