Google deve anunciar vulnerabilidades antes que foram corrigidos?

Google é imparável. Em menos de três semanas, o Google revelou um total de quatro a zero vulnerabilidades dia que afetam o Windows, dois deles poucos dias antes de a Microsoft estava pronto para lançar um patch. Microsoft não achou graça e, a julgar pela reação do Google, mais tais casos são propensos a seguir.

É este o caminho de Google de ensinar a sua concorrência para ser mais eficiente? E o que dizer dos usuários? É o cumprimento rigoroso do Google para prazos arbitrários no nosso melhor interesse?

Por que o Google Reportando vulnerabilidades do Windows?

Project Zero, uma equipe de analistas de segurança do Google, vem pesquisando exploits de dia zero desde 2014. O projeto foi fundada depois de um grupo de pesquisa em tempo parcial tinha identificado vários bugs de software, incluindo a crítica vulnerabilidade heartbleed.

Na sua anúncio do Project Zero, Google sublinhou que a sua prioridade era fazer seus próprios produtos de seguro. Desde que o Google não está operando em um vácuo, a sua investigação se estende a qualquer software seus clientes estão usando.

Até agora, a equipe identificou mais de 200 bugs em vários produtos, incluindo Adobe Reader, Flash, OS X, Linux e Windows. Cada vulnerabilidade é relatada a apenas o fornecedor de software e recebe um período de carência de 90 dias, após o que é tornado público através do Fórum de Pesquisa de Segurança Google.

Este bug está sujeito a um prazo de divulgação de 90 dias. Se 90 dias transcorrer sem um patch amplamente disponível, em seguida, o relatório de erro se tornará automaticamente visíveis para o público.

Isso é o que aconteceu com a Microsoft. Quatro vezes. A primeira vulnerabilidade do Windows (edição # 118) Foi identificado em 30 de setembro, 2014 e foi posteriormente publicado em 29 de dezembro de 2014. Em 11 de janeiro, poucos dias antes de a Microsoft estava pronto para empurrar para fora uma correção via patch Tuesday, A segunda vulnerabilidade (edição # 123) Foi tornado público, o lançamento de um debate sobre se o Google não poderia ter esperado. Apenas alguns dias depois, dois mais vulnerabilidades (edição # 128 edição # 138) Apareceu na base de dados pública, aumentando ainda mais a situação.

hacked

O que aconteceu nos bastidores?

O primeiro número (# 118) era uma vulnerabilidade de elevação de privilégios crítica, demonstrado que afetam o Windows 8.1. De acordo com O Hacker News, isto "poderia permitir que um hacker modificar o conteúdo ou mesmo para assumir computadores das vítimas completamente, deixando milhões de usuários vulneráveis". Google não revelou qualquer comunicação com a Microsoft sobre este assunto.



Para a segunda edição (# 123), a Microsoft solicitou uma prorrogação, e quando o Google negou, eles fizeram esforços para liberar o patch no mês anterior. Estes foram os comentários de James Forshaw:

Microsoft confirmou que eles estão no alvo para fornecer correções para estas questões em Fevereiro de 2015. Eles perguntaram se isso iria causar um problema com o prazo de 90 dias. Microsoft foram informados de que o prazo de 90 dias é fixo para todos os fornecedores e classes de bugs e por isso não pode ser estendido. Além disso eles foram informados de que o prazo de 90 dias para esta questão expira no 11 de janeiro de 2015.

Microsoft lançou patches para ambos os problemas com atualização de terça-feira em janeiro.

Com a terceira questão (# 128), a Microsoft teve de adiar uma correção devido a problemas de compatibilidade.

Microsoft nos informou que uma correção foi planejado para os patches de janeiro, mas tem que ser puxado devido a problemas de compatibilidade. Portanto, a correção está agora previsto para os patches de fevereiro.

Embora a Microsoft informou Google estavam trabalhando sobre a questão, mas enfrenta dificuldades, o Google foi em frente e publicou a vulnerabilidade. Nenhuma negociação, sem misericórdia.

Para a última edição (nº 138), a Microsoft decidiu não corrigi-lo. James Forshaw acrescentou o seguinte comentário:

Microsoft concluíram que a questão não cumprir o bar de um boletim de segurança. Eles afirmam que isso exigiria muito controle da parte do atacante e eles não consideram as definições de política de grupo como um recurso de segurança.

É o comportamento do Google aceitável?

A Microsoft não penso assim. Em uma resposta completa, Chris Betz, diretor sênior do Centro de Pesquisa de Segurança da Microsoft, exige uma vulnerabilidade de divulgação de uma melhor coordenação. Ele enfatiza que a Microsoft acredita em Divulgação coordenada de vulnerabilidades (CVD), uma prática em que pesquisadores e empresas colaboram em vulnerabilidades para minimizar os riscos para os clientes.

Em relação aos recentes acontecimentos, Betz confirma que a Microsoft especificamente pediu ao Google para trabalhar com eles e reter detalhes até que as correções foram distribuídos durante o Patch Tuesday. Google ignorou o pedido.

Embora através do seguinte mantém a linha do tempo anunciado pela Google para a divulgação, a decisão parece menos princípios e mais como uma "pegadinha", com os clientes os únicos que podem sofrer como resultado.



De acordo com Betz, vulnerabilidades divulgadas publicamente experiência ataques orquestrados de criminosos virtuais, um ato mal visto quando as questões são divulgados em privado através de CVD e corrigido antes que a informação se torna pública. Além disso Betz diz, nem todas as vulnerabilidades são iguais, o que significa que a linha de tempo dentro do qual uma questão fica remendado depende de sua complexidade.

Corda vermelha

Seu chamado para a colaboração é alta e clara e os seus argumentos são sólidos. A reflexão que nenhum software é perfeito porque é feito por seres humanos simples operando com sistemas complexos, é cativante. Betz bate o prego na cabeça quando ele diz:

O que é certo para o Google não é sempre certa para os clientes. Instamos Google para fazer protecção dos clientes o nosso principal objetivo coletivo.

O outro ponto de vista é que O Google tem uma política estabelecida e não quer para dar lugar a excepções. Este não é o tipo de inflexibilidade que você esperaria de uma companhia ultra moderno como o Google. Além disso, a publicação não só a vulnerabilidade, mas também o código de exploração é irresponsável, dado que milhões de usuários poderia ser atingido por um ataque concertado.

Se isso acontecer novamente, o que você pode fazer para proteger seu sistema?

Nenhum software nunca estarão a salvo de exploits de dia zero. Você pode aumentar sua própria segurança através da adopção de uma higiene de segurança de senso comum. Isto é o que a Microsoft recomenda:

Nós incentivar os clientes a manter a sua software anti-vírus atualizado, Instale todas as atualizações de segurança disponíveis e permitir que o firewall em seu computador.

Nosso Veredicto: Google deve ter cooperado com Microsoft

Google manteve sua prazo arbitrário, ao invés de ser flexível e de agir no melhor interesse de seus usuários. Eles poderiam ter alargado o período de carência para revelar as vulnerabilidades, especialmente depois que a Microsoft comunicou que os patches foram (quase) pronto. Se nobre objetivo do Google é tornar a Internet mais segura, eles devem estar prontos a cooperar com outras empresas.

Enquanto isso, a Microsoft poderia ter jogado mais recursos à remendos em desenvolvimento. 90 dias é considerado um período de tempo suficiente por alguns. Devido à pressão do Google, eles fizeram na verdade empurrar um adesivo para fora um mês mais cedo do que o estimado inicialmente. Parece quase como se não priorizar a questão altamente suficiente inicialmente.

Geralmente, se os sinais de fornecedor de software que eles estão trabalhando sobre a questão, pesquisadores como equipe de Project Zero do Google devem cooperar e estender prazos de carência. Mantendo a logo a ser vulnerabilidade corrigida segredo parece ser mais seguro do que atrair a atenção dos hackers. A segurança do cliente não deve ser prioridade de qualquer empresa?

O que você acha? O que teria sido uma solução melhor ou que o Google faça a coisa certa, afinal?


» » Google deve anunciar vulnerabilidades antes que foram corrigidos?