Startseite Bezpečnostní Měl by Google oznámit chyby dříve, než budou opraveny?

Měl by Google oznámit chyby dříve, než budou opraveny?

  • Peter Holmes
  • 0
  • 3216
  • 202
reklama

Google je nezastavitelný. Během méně než tří týdnů společnost Google odhalila celkem čtyři chyby zabezpečení s nulovým účinkem ovlivňující Windows, dva z nich těsně před tím, než byla společnost Microsoft připravena vydat opravu. Společnost Microsoft nebyla pobavena a soudě podle reakce společnosti Google bude pravděpodobně následovat více takových případů.

Je to způsob, jakým Google učí svou konkurenci, aby byla efektivnější? A co uživatelé? Je v našem nejlepším zájmu společnost Google přísně dodržovat svévolné lhůty?

Proč Google hlásí chyby zabezpečení systému Windows?

Projekt Zero, tým analytiků společnosti Google, zkoumá možnosti zneužití nulového dne Co je chyba zabezpečení Zero Day? [MakeUseOf vysvětluje] Co je chyba zabezpečení nulového dne? [MakeUseOf vysvětluje] od roku 2014. Projekt byl založen poté, co výzkumná skupina na částečný úvazek identifikovala několik softwarových chyb, včetně kritické zranitelnosti Heartbleed Heartbleed - Co můžete udělat, abyste zůstali v bezpečí? Heartbleed - Co můžete udělat, abyste zůstali v bezpečí? .

Společnost Google ve svém oznámení o projektu Zero zdůraznila, že jejich nejvyšší prioritou je zabezpečení vlastních produktů. Protože Google nefunguje ve vakuu, jejich výzkum se vztahuje na veškerý software, který zákazníci používají.

Zatím tým identifikoval přes 200 chyb v různých produktech, včetně Adobe Reader, Flash, OS X, Linux a Windows. Každá chyba zabezpečení je nahlášena pouze prodejci softwaru a dostává 90denní lhůtu, po které je zveřejněna prostřednictvím fóra Google Security Research..

Na tuto chybu se vztahuje lhůta pro zveřejnění 90 dnů. Pokud uplyne 90 dní bez široce dostupné opravy, bude hlášení o chybě automaticky viditelné pro veřejnost.

To se stalo společnosti Microsoft. Čtyřikrát. První zranitelnost systému Windows (číslo 118) byla identifikována 30. září 2014 a následně byla zveřejněna 29. prosince 2014. 11. ledna, těsně před tím, než byl Microsoft připraven odstoupit opravu prostřednictvím opravy Patch Windows Update: Vše, co potřebujete Chcete-li vědět, Windows Update: Vše, co potřebujete vědět Je Windows Update povolen ve vašem PC? Windows Update vás chrání před zranitelnostmi zabezpečení tím, že udržuje Windows, Internet Explorer a Microsoft Office aktuální s nejnovějšími opravami a opravami chyb. , druhá chyba zabezpečení (číslo 123) byla zveřejněna a zahajuje debatu o tom, zda Google nemohl čekat. Pouze o několik dní později se ve veřejné databázi objevily další dvě chyby zabezpečení (číslo 128 a 138) a situace se dále eskalovala.

Co se stalo za scénami?

Prvním problémem (# 118) byla zranitelnost s eskalací kritických oprávnění, která ovlivňuje Windows 8.1. Podle The Hacker News to “by mohl hackerovi umožnit upravovat obsah nebo dokonce zcela převzít počítače obětí, což by zranilo miliony uživatelů“. Google ohledně této záležitosti neodhalil žádnou komunikaci se společností Microsoft.

Pro druhé vydání (# 123) požádala společnost Microsoft o prodloužení a když to společnost Google odmítla, vyvinula úsilí o vydání opravy o měsíc dříve. Byly to komentáře Jamese Forshawa:

Společnost Microsoft potvrdila, že v únoru 2015 budou tyto problémy řešit. Zeptali se, zda by to způsobilo problém s lhůtou 90 dnů. Společnost Microsoft byla informována, že lhůta 90 dnů je stanovena pro všechny dodavatele a třídy chyb, a proto ji nelze prodloužit. Dále byli informováni, že 90denní lhůta pro vydání tohoto čísla končí 11. ledna 2015.

Společnost Microsoft vydala opravy pro oba problémy s aktualizací úterý v lednu.

U třetího vydání (# 128) musela společnost Microsoft kvůli problémům s kompatibilitou odložit opravu.

Microsoft nás informoval, že oprava byla naplánována na lednové opravy, ale musí být stažena kvůli problémům s kompatibilitou. Oprava se proto nyní očekává v únorových opravách.

Přestože společnost Microsoft informovala společnost Google, že na tomto problému pracují, ale potýkají se s problémy, společnost Google tuto chybu zabezpečení zveřejnila a zveřejnila ji. Žádné vyjednávání, žádné milosrdenství.

Pokud jde o poslední vydání (# 138), Microsoft se rozhodl problém neopravit. James Forshaw přidal následující komentář:

Společnost Microsoft dospěla k závěru, že problém nesplňuje lištu bulletinu zabezpečení. Prohlašují, že by to vyžadovalo přílišnou kontrolu ze strany útočníka, a nepovažují nastavení skupinových zásad za funkci zabezpečení.

Je chování společnosti Google přijatelné?

Microsoft si to nemyslí. Chris Betz, vrchní ředitel Centra pro výzkum zabezpečení společnosti Microsoft, v důkladné reakci vyzývá k lepší koordinaci odhalení zranitelnosti. Zdůrazňuje, že Microsoft věří v koordinované zveřejňování informací o zranitelnosti (CVD), což je praxe, ve které vědci a společnosti spolupracují na zranitelnostech, aby minimalizovali riziko pro zákazníky.

Pokud jde o nedávné události, Betz potvrzuje, že společnost Microsoft konkrétně požádala společnost Google, aby s nimi spolupracovala a zadržela podrobnosti, dokud nebyly opravy rozeslány během úterního patche. Google požadavek ignoroval.

Ačkoli postupuje podle oznámeného časového harmonogramu společnosti Google pro zveřejnění, je rozhodnutí méně podobné zásadám a spíše jako “Mám tě”, u zákazníků ty, kteří v důsledku toho mohou trpět.

Podle Betze mají veřejně odhalená zranitelná místa řízené útoky kybernetických zločinců, což je těžko vidět, když jsou problémy zveřejňovány soukromě prostřednictvím CVD a opravovány před zveřejněním informací. Dále Betz říká, že ne všechny zranitelnosti jsou si rovny, což znamená, že časová osa, v níž se problém opraví, závisí na jeho složitosti.

Jeho výzva ke spolupráci je hlasitá a jasná a jeho argumenty jsou solidní. Odraz, že žádný software není dokonalý, protože je vytvářen jednoduchými lidmi pracujícími se složitými systémy, je neskutečný. Betz udeří hřebík do hlavy, když říká:

To, co je pro Google správné, není pro zákazníky vždy to pravé. Žádáme společnost Google, aby ochranu našich zákazníků učinila naším společným hlavním cílem.

Druhým hlediskem je, že Google má zavedené zásady a nechce ustoupit výjimkám. Toto není druh nepružnosti, jaký byste očekávali od ultra moderní společnosti, jako je Google. Navíc publikování nejenom zranitelnosti, ale i zneužití kódu je nezodpovědné, vzhledem k tomu, že miliony uživatelů by mohly být zasaženy společným útokem.

Pokud se to stane znovu, co můžete udělat pro ochranu vašeho systému?

Žádný software nebude nikdy bezpečný před zneužitím v nultý den. Svou vlastní bezpečnost můžete zvýšit přijetím bezpečnostní hygieny zdravého rozumu. Společnost Microsoft doporučuje toto:

Doporučujeme zákazníkům, aby si udržovali antivirový software Nejlepší počítačový software pro počítač se systémem Windows Nejlepší počítačový software pro počítač se systémem Windows Chcete nejlepší počítačový software pro počítač se systémem Windows? Náš rozsáhlý seznam shromažďuje nejlepší a nejbezpečnější programy pro všechny potřeby. aktuální, nainstalujte všechny dostupné aktualizace zabezpečení 3 důvody, proč byste měli používat nejnovější opravy zabezpečení a aktualizace systému Windows 3 důvody, proč byste měli používat nejnovější opravy zabezpečení a aktualizace systému Windows Kód, který tvoří operační systém Windows, obsahuje díry bezpečnostní smyčky , chyby, nekompatibility nebo zastaralé softwarové prvky. Stručně řečeno, Windows není dokonalý, všichni to víme. Opravy zabezpečení a aktualizace opravují zranitelnosti ... a aktivují bránu firewall Nejlepší počítačový software pro počítač se systémem Windows Nejlepší počítačový software pro počítač se systémem Windows Chcete nejlepší počítačový software pro počítač se systémem Windows? Náš rozsáhlý seznam shromažďuje nejlepší a nejbezpečnější programy pro všechny potřeby. na jejich počítači.

Náš verdikt: Google měl spolupracovat se společností Microsoft

Google se držel svého libovolného termínu, spíše než aby byl flexibilní a jednal v nejlepším zájmu svých uživatelů. Mohli prodloužit dobu odkladu za odhalení slabých míst, zejména poté, co Microsoft sdělil, že záplaty jsou (téměř) připraveny. Pokud je vznešeným cílem společnosti Google zvýšení bezpečnosti internetu, musí být připraveni spolupracovat s dalšími společnostmi.

Mezitím mohl Microsoft pravděpodobně vyvinout více prostředků na vývoj oprav. Někteří považují 90 dní za dostatečný časový rámec. Kvůli nátlaku od společnosti Google ve skutečnosti vytáhli jednu opravu o měsíc dříve, než se původně odhadovalo. Skoro to vypadá, že původně neřadili problém dostatečně vysoko.

Obecně platí, že pokud dodavatel softwaru signalizuje, že na daném problému pracují, měli by vědci, jako je tým Project Zero společnosti Google, spolupracovat a prodloužit doby odkladu. Udržení zranitelnosti, která bude brzy opravena: Uživatelé Windows Pozor: Máte vážný bezpečnostní problém Uživatelé Windows Pozor: Máte vážný bezpečnostní problém Zdá se, že tajemství je bezpečnější než přitahovat pozornost hackerů. Neměla by být bezpečnost zákazníků nejvyšší prioritou společnosti?

Co myslíš? Co by bylo lepší řešení nebo by Google nakonec udělal správnou věc?

Image Credits: Wizard Via Shutterstock, Hacked by wk1003mike přes Shutterstock, Red Rope od Mega Pixel přes Shutterstock




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

7 nejlepších aplikací Facebook Messenger pro stolní a mobilní zařízení
Sociální média
Jak nechat upravovat své fotografie ostatními uživateli Instagramu
Sociální média
10 úžasných filmových seznamů, které byste měli poslouchat na Spotify
Sociální média
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.