Η Google είναι ασταμάτητη. Μέσα σε λιγότερο από τρεις εβδομάδες, η Google αποκάλυψε συνολικά τέσσερα τραντάγματα μηδενικής ημέρας που επηρεάζουν τα Windows, δύο από αυτά λίγες μόνο ημέρες πριν η Microsoft ήταν έτοιμη να κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα. Η Microsoft δεν ήταν διασκεδασμένη και κρίνοντας από την αντίδραση της Google, περισσότερες τέτοιες περιπτώσεις είναι πιθανό να ακολουθήσουν.
Είναι αυτός ο τρόπος διδασκαλίας του ανταγωνισμού από την Google να είναι πιο αποτελεσματικός; Και τι γίνεται με τους χρήστες; Είναι αυστηρή η συμμόρφωση της Google σε αυθαίρετες προθεσμίες προς το συμφέρον μας;
Γιατί η Google αναφέρει ευπάθειες των Windows;
Το Project Zero, μια ομάδα αναλυτών ασφαλείας της Google, ερευνά τις μηδενικές εκμεταλλεύσεις ημέρας Τι είναι ένα θέμα ευπάθειας ημέρας μηδέν; [Το MakeUseOf Εξηγεί] Τι είναι η Zero Day ευπάθεια; [Αναλύει το MakeUseOf] Διαβάστε περισσότερα από το 2014. Το πρόγραμμα ιδρύθηκε μετά από μια ομάδα μερικής απασχόλησης που είχε εντοπίσει διάφορα σφάλματα λογισμικού, συμπεριλαμβανομένης της κρίσιμης ευπάθειας Heartbleed Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Διαβάστε περισσότερα .
Στην αναγγελία του Project Zero, η Google τόνισε ότι η πρώτη προτεραιότητά τους ήταν να κάνουν τα δικά τους προϊόντα ασφαλή. Δεδομένου ότι η Google δεν λειτουργεί σε κενό, η έρευνά της επεκτείνεται σε οποιοδήποτε λογισμικό που χρησιμοποιούν οι πελάτες της.
Μέχρι στιγμής, η ομάδα έχει εντοπίσει πάνω από 200 σφάλματα σε διάφορα προϊόντα, συμπεριλαμβανομένων των Adobe Reader, Flash, OS X, Linux και Windows. Κάθε ευπάθεια αναφέρεται μόνο στον πωλητή λογισμικού και λαμβάνει μια περίοδο χάριτος 90 ημερών, μετά την οποία δημοσιοποιείται μέσω του φόρουμ της Google Security Research.
Αυτό το σφάλμα υπόκειται σε προθεσμία κοινοποίησης 90 ημερών. Αν παρέλθουν 90 ημέρες χωρίς μια ευρέως διαθέσιμη ενημερωμένη έκδοση κώδικα, τότε η αναφορά σφάλματος θα γίνει αυτόματα ορατή στο κοινό.
Αυτό συνέβη με τη Microsoft. Τέσσερις φορές. Η πρώτη ευπάθεια των Windows (τεύχος # 118) εντοπίστηκε στις 30 Σεπτεμβρίου 2014 και στη συνέχεια δημοσιεύθηκε στις 29 Δεκεμβρίου 2014. Στις 11 Ιανουαρίου, μόλις λίγες μέρες πριν η Microsoft ήταν έτοιμη να στείλει μια λύση μέσω του Patch Τρίτη Windows Update: Everything You Need να γνωρίζετε το Windows Update: Όλα όσα πρέπει να ξέρετε Το Windows Update είναι ενεργοποιημένο στον υπολογιστή σας; Το Windows Update σάς προστατεύει από τις ευπάθειες ασφαλείας κρατώντας τα Windows, τον Internet Explorer και το Microsoft Office ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και διορθώσεις σφαλμάτων. Διαβάστε περισσότερα, το δεύτερο θέμα ευπάθειας (τεύχος # 123) δημοσιοποιήθηκε, ξεκινώντας μια συζήτηση για το αν η Google δεν μπορούσε να περιμένει. Μόνο ημέρες αργότερα, εμφανίστηκαν δύο περισσότερες ευπάθειες (τεύχος # 128 & έκδοση # 138) στη δημόσια βάση δεδομένων, κλιμακώνοντας περαιτέρω την κατάσταση.
Τι συνέβη πίσω από τις σκηνές;
Το πρώτο ζήτημα (# 118) ήταν μια κρίσιμη ανησυχία κλιμάκωσης προνομίων, που φαίνεται να επηρεάζει τα Windows 8.1. Σύμφωνα με το The Hacker News, " θα μπορούσε να επιτρέψει σε έναν χάκερ να τροποποιήσει τα περιεχόμενα ή ακόμα και να αναλάβει πλήρως τους υπολογιστές των θυμάτων, αφήνοντας ευάλωτα εκατομμύρια χρήστες ". Η Google δεν αποκάλυψε καμία επικοινωνία με τη Microsoft σχετικά με αυτό το ζήτημα.
Για το δεύτερο ζήτημα (# 123), η Microsoft ζήτησε επέκταση και, όταν η Google το αρνήθηκε, προσπάθησαν να απελευθερώσουν την ενημερωμένη έκδοση ένα μήνα νωρίτερα. Αυτά ήταν τα σχόλια του James Forshaw:
Η Microsoft επιβεβαίωσε ότι στόχος τους είναι να παράσχουν διορθώσεις για αυτά τα θέματα τον Φεβρουάριο του 2015. Ζήτησαν εάν αυτό θα προκαλούσε πρόβλημα με την προθεσμία των 90 ημερών. Η Microsoft πληροφορήθηκε ότι η προθεσμία των 90 ημερών είναι καθορισμένη για όλους τους προμηθευτές και τις κατηγορίες των σφαλμάτων και συνεπώς δεν μπορεί να παραταθεί. Περαιτέρω πληροφορήθηκαν ότι η προθεσμία των 90 ημερών για την έκδοση αυτή λήγει στις 11 Ιανουαρίου 2015.
Η Microsoft κυκλοφόρησε ενημερώσεις για τα δύο θέματα με την Ενημέρωση την Τρίτη τον Ιανουάριο.
Με το τρίτο ζήτημα (# 128), η Microsoft χρειάστηκε να καθυστερήσει μια ενημερωμένη έκδοση κώδικα λόγω ζητημάτων συμβατότητας.
Η Microsoft μας πληροφόρησε ότι σχεδιάστηκε ένα fix για τα μπαλώματα του Ιανουαρίου αλλά πρέπει να τραβηχτεί λόγω προβλημάτων συμβατότητας. Επομένως, η επιδιόρθωση αναμένεται τώρα στα μπαλώματα Φεβρουαρίου.
Παρόλο που η Microsoft πληροφόρησε το Google ότι εργάστηκαν για το θέμα αυτό, αλλά αντιμετώπισαν δυσκολίες, η Google προχώρησε και δημοσίευσε την ευπάθεια. Καμία διαπραγμάτευση, κανένα έλεος.
Για το τελευταίο τεύχος (# 138), η Microsoft αποφάσισε να μην το διορθώσει. Ο James Forshaw πρόσθεσε το ακόλουθο σχόλιο:
Η Microsoft κατέληξε στο συμπέρασμα ότι το ζήτημα δεν ανταποκρίνεται στη γραμμή ενός δελτίου ασφαλείας. Δηλώνουν ότι θα απαιτούσε υπερβολικό έλεγχο από το μέρος του εισβολέα και δεν θεωρούν τις ρυθμίσεις πολιτικής ομάδας ως χαρακτηριστικό ασφαλείας.
Είναι αποδεκτή η Συμπεριφορά της Google;
Η Microsoft δεν το νομίζει. Σε απόλυτη ανταπόκριση, ο Chris Betz, Ανώτερος Διευθυντής του Κέντρου Έρευνας για την Ασφάλεια της Microsoft, ζητεί την καλύτερη συντονισμένη αποκάλυψη των τρωτών σημείων. Υπογραμμίζει ότι η Microsoft πιστεύει στην ανακοίνωση συντονισμένης ευπάθειας (CVD), μια πρακτική στην οποία οι ερευνητές και οι εταιρείες συνεργάζονται σε θέματα ευπάθειας για την ελαχιστοποίηση του κινδύνου για τους πελάτες.
Όσον αφορά τα πρόσφατα γεγονότα, η Betz επιβεβαιώνει ότι η Microsoft ζήτησε ρητά από την Google να συνεργαστεί μαζί της και να παρακρατήσει τα στοιχεία μέχρι να διανεμηθούν οι διορθώσεις κατά τη διάρκεια της Patch Tuesday. Η Google αγνόησε το αίτημα.
Παρόλο που η παρακολούθησή της συνεχίζεται με το χρονοδιάγραμμα της Google για την αποκάλυψη, η απόφαση θεωρείται λιγότερο σαν αρχή και μάλλον σαν "gotcha", με τους πελάτες να υποφέρουν ως αποτέλεσμα.
Σύμφωνα με τον Betz, οι αποκαλυφθείσες ευπάθειες αποκαλύπτουν δημοσίως τις επιθέσεις από εγκληματίες στον κυβερνοχώρο, μια ενέργεια που μόλις παρατηρείται όταν τα θέματα αποκαλύπτονται ιδιαιτέρως μέσω του CVD και διορθώνονται πριν γίνει η δημοσιοποίηση των πληροφοριών. Περαιτέρω λέει ο Betz, όχι όλα τα τρωτά σημεία γίνονται ίσα, δηλαδή το χρονοδιάγραμμα εντός του οποίου ένα πρόβλημα παίρνει patched εξαρτάται από την πολυπλοκότητά του.
Η έκκλησή του για συνεργασία είναι δυνατή και σαφής και τα επιχειρήματά του είναι σταθερά. Η αντανάκλαση ότι κανένα λογισμικό δεν είναι τέλειο επειδή είναι κατασκευασμένο από απλούς ανθρώπους που δουλεύουν με πολύπλοκα συστήματα, είναι διασκεδαστικό. Betz χτυπά το καρφί στο κεφάλι όταν λέει:
Τι είναι σωστό για την Google δεν είναι πάντα σωστό για τους πελάτες. Προτρέπουμε την Google να προστατεύσει τους πελάτες μας τον συλλογικό πρωταρχικό μας στόχο.
Από την άλλη πλευρά, η Google έχει μια εδραιωμένη πολιτική και δεν θέλει να αποφύγει τις εξαιρέσεις. Αυτό δεν είναι το είδος ανελαστικότητας που θα περιμένατε από μια υπερσύγχρονη εταιρεία όπως η Google. Επιπλέον, η δημοσίευση όχι μόνο της ευπάθειας, αλλά και του κώδικα εκμετάλλευσης είναι ανεύθυνη, δεδομένου ότι εκατομμύρια χρήστες θα μπορούσαν να χτυπήσουν από μια συντονισμένη επίθεση.
Εάν αυτό συμβεί ξανά, τι μπορείτε να κάνετε για να προστατέψετε το σύστημά σας;
Κανένα λογισμικό δεν θα είναι ποτέ ασφαλές από εκμεταλλεύσεις μηδενικής ημέρας. Μπορείτε να αυξήσετε τη δική σας ασφάλεια υιοθετώντας μια υγιεινή ασφάλειας κοινής λογικής. Αυτό συνιστά η Microsoft:
Ενθαρρύνουμε τους πελάτες να διατηρούν το λογισμικό προστασίας από ιούς Το καλύτερο λογισμικό Windows Το καλύτερο λογισμικό Windows Τα Windows κολυμπούν σε μια θάλασσα δωρεάν εφαρμογών. Σε ποιες μπορείτε να εμπιστευτείτε και ποιες είναι οι καλύτερες; Εάν δεν είστε σίγουροι ή χρειάζεται να επιλύσετε μια συγκεκριμένη εργασία, συμβουλευτείτε αυτήν τη λίστα. Διαβάστε περισσότερα ενημερωμένα, εγκαταστήστε όλες τις διαθέσιμες ενημερώσεις ασφαλείας 3 λόγοι για τους οποίους θα πρέπει να εκτελείτε τα πιο πρόσφατα ενημερωτικά δελτία και ενημερώσεις ασφαλείας για τα Windows 3 λόγοι για τους οποίους πρέπει να εκτελείτε τα πιο πρόσφατα ενημερωτικά δελτία και ενημερώσεις ασφαλείας των Windows Ο κώδικας που απαρτίζει το λειτουργικό σύστημα Windows περιέχει ασφάλεια τρύπες βρόχου, σφάλματα, ασυμβατότητες ή ξεπερασμένα στοιχεία λογισμικού. Εν ολίγοις, τα Windows δεν είναι τέλεια, όλοι το γνωρίζουμε. Οι ενημερώσεις κώδικα ασφαλείας και οι ενημερώσεις διορθώνουν τις ευπάθειες ... Διαβάστε περισσότερα και ενεργοποιήστε το τείχος προστασίας Το καλύτερο λογισμικό Windows Το καλύτερο λογισμικό Windows Τα Windows κολυμπούν σε μια θάλασσα δωρεάν εφαρμογών. Σε ποιες μπορείτε να εμπιστευτείτε και ποιες είναι οι καλύτερες; Εάν δεν είστε σίγουροι ή χρειάζεται να επιλύσετε μια συγκεκριμένη εργασία, συμβουλευτείτε αυτήν τη λίστα. Διαβάστε περισσότερα στον υπολογιστή τους.
Η ετυμηγορία μας: η Google έπρεπε να συνεργαστεί με τη Microsoft
Η Google έχει κολλήσει στην αυθαίρετη προθεσμία της, αντί να είναι ευέλικτη και να ενεργεί προς το συμφέρον των χρηστών της. Θα μπορούσαν να έχουν παρατείνει την περίοδο χάριτος για την αποκάλυψη των τρωτών σημείων, ειδικά αφού η Microsoft ανακοίνωσε ότι τα έμπλαστρα ήταν (σχεδόν) έτοιμα. Εάν ο ευγενής σκοπός της Google είναι να κάνει το Διαδίκτυο ασφαλέστερο, πρέπει να είναι έτοιμο να συνεργαστεί με άλλες εταιρείες.
Εν τω μεταξύ, η Microsoft θα μπορούσε ενδεχομένως να έχει συγκεντρώσει περισσότερους πόρους στην ανάπτυξη ενημερωμένων εκδόσεων. 90 ημέρες θεωρείται από αρκετές επαρκές χρονικό πλαίσιο. Λόγω της πίεσης από την Google, στην πραγματικότητα έσπρωξαν ένα έμπλαστρο ένα μήνα νωρίτερα από ό, τι είχε αρχικά εκτιμηθεί. Φαίνεται σχεδόν ότι δεν έδωσαν προτεραιότητα στο ζήτημα αρκετά αρκετά αρχικά.
Γενικά, αν ο πωλητής λογισμικού σηματοδοτήσει ότι εργάζονται για το πρόβλημα, οι ερευνητές όπως η ομάδα Project Zero της Google πρέπει να συνεργαστούν και να επεκτείνουν τις περιόδους χάριτος. Κρατώντας ένα θέμα ευπάθειας σύντομα να ενημερωθεί Οι χρήστες των Windows Προσοχή: Έχετε ένα σοβαρό ζήτημα ασφαλείας Οι χρήστες των Windows προσοχή: Έχετε ένα σοβαρό ζήτημα ασφάλειας Διαβάστε περισσότερα μυστικό φαίνεται να είναι ασφαλέστερο από το να προσελκύσει την προσοχή των χάκερ. Δεν θα έπρεπε η ασφάλεια των πελατών να είναι η κορυφαία προτεραιότητα της εταιρείας;
Τι νομίζετε; Ποια θα ήταν μια καλύτερη λύση ή η Google έκανε το σωστό τελικά;
Συντελεστές εικόνας: Οδηγός μέσω Shutterstock, hacked από wk1003mike μέσω Shutterstock, κόκκινο σχοινί από Mega Pixel μέσω Shutterstock