Annonse
Google er ustoppelig. I løpet av mindre enn tre uker avslørte Google totalt fire null dagers sårbarheter som påvirker Windows, to av dem bare dager før Microsoft var klar til å gi ut en oppdatering. Microsoft ble ikke underholdt og bedømt etter Googles reaksjon, flere slike tilfeller vil sannsynligvis følge.
Er dette Googles måte å lære konkurransen sin å være mer effektiv på? Og hva med brukerne? Er Googles strenge overholdelse av vilkårlige frister i vår beste interesse?
Hvorfor rapporterer Google sikkerhetsproblemer i Windows?
Prosjekt null, et team av Googles sikkerhetsanalytikere, har forsket null dagers utnyttelse Hva er en sårbarhet med null dager? [MakeUseOf Explains] Les mer siden 2014. Prosjektet ble grunnlagt etter at en forskningsgruppe på deltid hadde identifisert flere programvarebugs, inkludert de kritiske Hjertet sårbarhet Heartbleed - Hva kan du gjøre for å holde deg trygg? Les mer .
I deres Project Zero kunngjøringGoogle understreket at deres viktigste prioritet var å sikre sine egne produkter. Siden Google ikke opererer i et vakuum, utvides forskningen til all programvare kundene bruker.
Så langt har teamet identifisert over 200 feil i forskjellige produkter, inkludert Adobe Reader, Flash, OS X, Linux og Windows. Hver sårbarhet rapporteres kun til programvareleverandøren og mottar en 90-dagers frist, hvoretter den blir offentliggjort via Googles sikkerhetsforskningsforum.
Denne feilen er underlagt en frist på 90 dager. Hvis det går 90 dager uten et bredt tilgjengelig oppdatering, blir feilrapporten automatisk synlig for publikum.
Det var det som skjedde med Microsoft. Fire ganger. Det første Windows-sikkerhetsproblemet (nummer 118) ble identifisert 30. september 2014 og ble deretter publisert 29. desember 2014. Den 11. januar, bare dager før Microsoft var klar til å presse ut en løsning via Lapp tirsdag Windows Update: Alt du trenger å viteEr Windows Update aktivert på din PC? Windows Update beskytter deg mot sikkerhetsproblemer ved å holde Windows, Internet Explorer og Microsoft Office oppdatert med de siste sikkerhetsoppdateringene og feilrettinger. Les mer , den andre sårbarheten (utgave 123) ble offentliggjort og startet en debatt om Google ikke kunne ha ventet. Bare dager senere, to sårbarheter til (nummer 128 & nummer 138) dukket opp i den offentlige databasen, og eskalerte situasjonen ytterligere.
Hva skjedde bak kulissene?
Den første utgaven (nr. 118) var en kritisk sårbarhet med eskalering av kritiske rettigheter, som vist å påvirke Windows 8.1. I følge The Hacker News, det “kan tillate en hacker å endre innholdet eller til og med å overta ofrenes datamaskiner fullstendig, slik at millioner av brukere er sårbare“. Google avslørte ingen kommunikasjon med Microsoft angående dette problemet.
For den andre utgaven (nr. 123) ba Microsoft om en utvidelse, og da Google benektet det, forsøkte de å frigjøre lappen en måned tidligere. Dette var James Forshaws kommentarer:
Microsoft bekreftet at de er i mål for å tilby rettelser for disse problemene i februar 2015. De spurte om dette ville føre til et problem med fristen på 90 dager. Microsoft ble informert om at 90-dagersfristen er fast for alle leverandører og feilklasser, og at den ikke kan forlenges. Videre ble de informert om at 90-dagersfristen for denne utgaven går ut 11. januar 2015.
Microsoft ga ut patcher for begge problemene med Update tirsdag i januar.
Med den tredje utgaven (# 128) måtte Microsoft utsette en oppdatering på grunn av kompatibilitetsproblemer.
Microsoft informerte oss om at det var planlagt en løsning for januar-lappene, men må trekkes på grunn av kompatibilitetsproblemer. Derfor forventes fiksen nå i februar-lappene.
Selv om Microsoft informerte Google om at de jobbet med problemet, men hadde vanskeligheter, gikk Google videre og publiserte sårbarheten. Ingen forhandlinger, ingen nåde.
For den siste utgaven (# 138) bestemte Microsoft seg for å ikke fikse det. James Forshaw la til følgende kommentar:
Microsoft har konkludert med at problemet ikke oppfyller søylen i en sikkerhetsbulletin. De oppgir at det vil kreve for mye kontroll fra angriperens del, og de anser ikke gruppepolitiske innstillinger som en sikkerhetsfunksjon.
Er Googles oppførsel akseptabel?
Microsoft tror ikke det. I et grundig svar etterlyser Chris Betz, seniordirektør for Microsoft Security Research Center en bedre koordinert avsløring. Han understreker at Microsoft tror på Koordinert sårbarhetsavsløring (CVD), en praksis der forskere og selskaper samarbeider om sårbarheter for å minimere risikoen for kundene.
Når det gjelder de nylige hendelsene, bekrefter Betz at Microsoft spesifikt ba Google om å samarbeide med dem og holde tilbake detaljer til rettelser ble distribuert under oppdatering tirsdag. Google ignorerte forespørselen.
Selv om man følger gjennom Googles annonserte tidslinje for avsløring, føles beslutningen mindre som prinsipper og mer som en "gotcha", med kunder de som kan lide som et resultat.
Ifølge Betz opplever offentlig utsatte sårbarheter orkestrerte angrep fra cyberkriminelle, en handle knapt sett når saker blir avslørt privat gjennom CVD og lappet før informasjonen blir offentlig. Videre sier Betz at ikke alle sårbarheter blir likestilte, noe som betyr at tidslinjen et problem blir løst inn avhenger av kompleksiteten.
Hans oppfordring til samarbeid er høyt og tydelig og argumentene hans er solide. Refleksjonen om at ingen programvare er perfekt fordi den er laget av enkle mennesker som opererer med komplekse systemer, er slående. Betz treffer spikeren på hodet når han sier:
Hva som er riktig for Google er ikke alltid riktig for kundene. Vi oppfordrer Google til å gjøre beskyttelse av kunder vårt kollektive primære mål.
Det andre synspunktet er det Google har en etablert policy og ønsker ikke å vike for unntak. Dette er ikke den typen fleksibilitet du kan forvente av et ultramoderne selskap som Google. Dessuten er det ikke bare å publisere ikke bare sårbarheten, men også utnyttelseskoden, gitt at millioner av brukere kan bli rammet av et samordnet angrep.
Hvis dette skjer igjen, hva kan du gjøre for å beskytte systemet ditt?
Ingen programvare vil noensinne være sikker mot null dagers utnyttelse. Du kan øke din egen sikkerhet ved å ta i bruk sikkerhetshygiene for sunn fornuft. Dette er hva Microsoft anbefaler:
Vi oppfordrer kundene til å beholde sine antivirus programvare Den beste PC-programvaren for din Windows-datamaskinVil du ha den beste PC-programvaren for din Windows-datamaskin? Vår massive liste samler de beste og sikreste programmene for alle behov. Les mer oppdatert, installer alle tilgjengelige sikkerhetsoppdateringer 3 grunner til at du bør kjøre de siste sikkerhetsoppdateringene og oppdateringene av WindowsKoden som utgjør Windows-operativsystemet inneholder sikkerhetssløyfehull, feil, inkompatibiliteter eller utdaterte programvareelementer. Kort sagt, Windows er ikke perfekt, det vet vi alle. Sikkerhetsoppdateringer og oppdateringer løser sårbarhetene ... Les mer og aktivere brannmur Den beste PC-programvaren for din Windows-datamaskinVil du ha den beste PC-programvaren for din Windows-datamaskin? Vår massive liste samler de beste og sikreste programmene for alle behov. Les mer på datamaskinen deres.
Vår dom: Google burde ha samarbeidet med Microsoft
Google holdt seg til sin vilkårlige frist, i stedet for å være fleksibel og opptre i brukerens beste. De kunne ha forlenget avdragsperioden for å avsløre sårbarhetene, spesielt etter at Microsoft kommuniserte at lapper var (nesten) klare. Hvis Googles edle mål er å gjøre Internett tryggere, må de være klare til å samarbeide med andre selskaper.
I mellomtiden kunne Microsoft muligens ha kastet mer ressurser på å utvikle lapper. 90 dager blir sett på som en tilstrekkelig tidsramme av noen. På grunn av press fra Google, dyttet de faktisk ut en oppdatering en måned tidligere enn først anslått. Det ser nesten ut som om de ikke prioriterte problemet høyt nok opprinnelig.
Generelt, hvis programvareleverandøren signaliserer at de jobber med problemet, bør forskere som Googles Project Zero-team samarbeide og forlenge avdragsperioder. Holder en snart å være lappet sårbarhet Windows-brukere Vær forsiktig: Du har et alvorlig sikkerhetsproblem Les mer hemmelighet ser ut til å være tryggere enn å tiltrekke seg hackere. Bør ikke kundesikkerhet være noe selskapets topp prioritet?
Hva tror du? Hva ville vært en bedre løsning, eller gjorde Google tross alt riktig?
Bildetillegg: Wizard Via Shutterstock, Hacket av wk1003mike via Shutterstock, Red Rope av Mega Pixel via Shutterstock
Tina har skrevet om forbrukerteknologi i over et tiår. Hun har en doktorgrad i naturvitenskap, en diplom fra Tyskland og en MSc fra Sverige. Hennes analytiske bakgrunn har hjulpet henne med å utmerke seg som teknologijournalist ved MakeUseOf, hvor hun nå administrerer søkeordforskning og drift.