Bör Google meddela sårbarheter innan de har blivit patchade?
Google är ostoppbart. Inom mindre än tre veckor avslöjade Google totalt fyra nolldagssårbarheter som påverkar Windows, två av dem bara några dagar innan Microsoft var redo att släppa en korrigeringsfil. Microsoft blev inte nöjd och dömd av Googles reaktion, fler sådana fall kommer sannolikt att följa.
Är det här Googles sätt att lära sin tävling att bli effektivare? Och vad sägs om användarna? Är Googles stränga efterlevnad av godtyckliga tidsfrister i vårt bästa intresse?
Varför rapporterar Google Säkerhetsproblem i Windows?
Project Zero, ett team av säkerhetsanalytiker från Google, har undersökt nolldagars exploiteringar. Vad är en noll dags säkerhetsproblem? [MakeUseOf Förklarar] Vad är en Säkerhetsproblem för nolldagen? [MakeUseOf Explains] Läs mer sedan 2014. Projektet grundades efter att en deltidsforskargrupp identifierat flera programvaruproblem, inklusive den kritiska Heartbleed vulnerability Heartbleed - Vad kan du göra för att vara säker? Heartbleed - Vad kan du göra för att vara säker? Läs mer .
I sitt projektnosmeddelande betonade Google att deras högsta prioritet var att säkra sina egna produkter. Eftersom Google inte arbetar i ett vakuum sträcker sig deras forskning till vilken programvara kunderna använder.
Hittills har laget identifierat över 200 buggar i olika produkter, inklusive Adobe Reader, Flash, OS X, Linux och Windows. Varje sårbarhet rapporteras endast till programvaruleverantören och tar emot en 90-dagars graceperiod, varefter den publiceras via Googles säkerhetsforskningsforum.
Denna bugg är föremål för en 90 dagars informationsfrist. Om 90 dagar förfaller utan en allmänt tillgänglig patch, kommer felrapporten automatiskt att synas för allmänheten.
Det var det som hände med Microsoft. Fyra gånger. Den första Windows-sårbarheten (problem nr 118) identifierades den 30 september 2014 och publicerades därefter den 29 december 2014. Den 11 januari var bara dagar före Microsoft redo att skjuta upp en fix via Patch Tuesday Windows Update: Allt du behöver att veta Windows Update: Allt du behöver veta Är Windows Update aktiverat på din dator? Windows Update skyddar dig mot säkerhetsproblem genom att hålla Windows, Internet Explorer och Microsoft Office uppdaterade med de senaste säkerhetsuppdateringarna och buggfixarna. Läs mer, den andra sårbarheten (nummer # 123) publicerades och startade en debatt om huruvida Google inte kunde ha väntat. Bara dagar senare uppstod ytterligare två sårbarheter (fråga nr 128 och utgåva # 138) i den offentliga databasen och eskalerade situationen ytterligare.
Vad hände bakom kulisserna?
Det första problemet (# 118) var en kritisk sårbarhet för privilegier, vilket visade sig påverka Windows 8.1. Enligt The Hacker News, det “kan tillåta en hackare att ändra innehållet eller till och med att ta över offrens datorer helt, vilket gör att miljontals användare är sårbara“. Google avslöjade inte någon kommunikation med Microsoft angående denna fråga.
För det andra problemet (# 123) bad Microsoft om en förlängning, och när Google nekade det gjorde de ansträngningar att släppa ut korrigeringen en månad tidigare. Dessa var James Forshaws kommentarer:
Microsoft bekräftade att de är på målet att tillhandahålla korrigeringar för dessa problem i februari 2015. De frågade om detta skulle orsaka problem med 90-dagars deadline. Microsoft informerades om att 90-dagars deadline är fastställd för alla leverantörer och bugklasser och så kan inte förlängas. Vidare informerades de om att 90 dagars sista dag för denna fråga löper ut den 11 januari 2015.
Microsoft släppte patchar för båda problemen med Update Tuesday i januari.
Med det tredje problemet (# 128) måste Microsoft fördröja en patch på grund av kompatibilitetsproblem.
Microsoft informerade oss om att en fix var planerad för januari-patchar men måste dras på grund av kompatibilitetsproblem. Därför förväntas fixen nu i februari-patchar.
Trots att Microsoft informerade Google om att de arbetade med problemet, gick Google fram och publicerade sårbarheten. Ingen förhandling, ingen nåd.
För det senaste problemet (# 138) beslutade Microsoft att inte fixa det. James Forshaw lade till följande kommentar:
Microsoft har kommit fram till att problemet inte uppfyller fältet i en säkerhetsbulletin. De anger att det skulle kräva för mycket kontroll från attackerens sida och de anser inte grupppolicyinställningar som en säkerhetsfunktion.
Är Googles beteende acceptabelt?
Microsoft tror inte det. Chris Betz, generaldirektör för Microsofts säkerhetsforskningscenter, kräver i ett noggrant svar en bättre samordnad sårbarhetsinformation. Han betonar att Microsoft tror på samordnade säkerhetsproblem (CVD), en praxis där forskare och företag samarbetar om sårbarheter för att minimera risken för kunder.
Betz de senaste händelserna bekräftar Betz att Microsoft specifikt bad Google att arbeta med dem och hålla in detaljer tills fixer distribuerades under Patch Tuesday. Google ignorerade begäran.
Även om vi följer med Googles tillkännagede tidslinje för offentliggörande, känns beslutet mindre som principer och mer som a “fick dig”, med kunderna som kan drabbas av detta.
Enligt Betz upplever de offentliggjorda sårbarheterna orkestrerade attacker från cyberkriminella, en handling som knappast ses när problem publiceras privat genom CVD och patchas innan informationen blir offentlig. Ytterligare Betz säger att inte alla sårbarheter görs lika, vilket innebär att tidslinjen inom vilken en fråga blir lappad beror på dess komplexitet.
Hans uppmaning till samarbete är högt och tydligt och hans argument är solida. Reflektionen att ingen mjukvara är perfekt eftersom den är tillverkad av enkla människor som arbetar med komplexa system, är uppmuntrande. Betz träffar spiken på huvudet när han säger:
Vad som är rätt för Google är inte alltid rätt för kunder. Vi uppmanar Google att skydda kunderna vårt kollektiva primära mål.
Den andra synvinkel är att Google har en etablerad policy och inte vill ge utrymme för undantag. Det här är inte den typ av inflexibilitet du förväntar dig av ett ultra modernt företag som Google. Dessutom publicerar inte bara sårbarheten utan också exploateringskoden oansvarig, eftersom miljontals användare kan drabbas av en samordnad attack.
Om detta händer igen, vad kan du göra för att skydda ditt system?
Ingen mjukvara kommer någonsin att vara säker från nolldagar. Du kan öka din egen säkerhet genom att anta en sundhetssäkerhetshygien. Det här är vad Microsoft rekommenderar:
Vi uppmuntrar kunder att behålla sin antivirusprogram Den bästa Windows-programvaran Den bästa Windows-programvaran Windows simmar i ett hav av gratis program. Vilka kan du lita på och vilka är de bästa? Om du är osäker eller behöver lösa en viss uppgift, konsultera den här listan. Läs mer uppdaterat, installera alla tillgängliga säkerhetsuppdateringar. 3 Anledningar till varför du bör köra De senaste Windows-säkerhetspatcherna och uppdateringarna. 3 Anledningar till varför du bör köra De senaste Windows-säkerhetspatcherna och uppdateringarna Koden som utgör Windows-operativsystemet innehåller säkerhet loophål, fel, inkompatibiliteter eller föråldrade programvaruelement. Kort sagt, Windows är inte perfekt, det vet vi alla. Säkerhetsuppdateringar och uppdateringar fixar sårbarheterna ... Läs mer och aktivera brandväggen Den bästa Windows-programvaran Den bästa Windows-programvaran Windows simmar i ett hav av gratis program. Vilka kan du lita på och vilka är de bästa? Om du är osäker eller behöver lösa en viss uppgift, konsultera den här listan. Läs mer på sin dator.
Vår dom: Google borde ha samarbetat med Microsoft
Google fastnade i sin godtyckliga tidsfrist, snarare än att vara flexibel och agera i användarnas bästa intresse. De kunde ha förlängt graceperioden för att avslöja sårbarheterna, särskilt efter att Microsoft meddelat att korrigeringar var nästan redo. Om Googles ädla mål är att göra Internet säkrare måste de vara redo att samarbeta med andra företag.
Under tiden kunde Microsoft eventuellt ha kastat mer resurser på att utveckla patchar. 90 dagar betraktas som en tillräcklig tidsram av vissa. På grund av tryck från Google, tryckte de faktiskt en patch ut en månad tidigare än beräknat i början. Det ser nästan ut som om de inte prioriterar problemet tillräckligt mycket ursprungligen.
Generellt, om programvaruleverantören signalerar att de arbetar med problemet, bör forskare som Googles Project Zero-team samarbeta och förlänga graceperioder. Håller snart en patched sårbarhet Windows-användare Varning: Du har fått ett allvarligt säkerhetsproblem Windows-användare Varning: Du har fått ett allvarligt säkerhetsproblem Läs mer hemlighet verkar vara säkrare än att locka uppmärksamhet hos hackare. Skulle inte kundsäkerhet vara ett företags högsta prioritet?
Vad tror du? Vad skulle ha varit en bättre lösning eller gjorde Google rätt sak trots allt?
Bildkrediter: Wizard Via Shutterstock, Hackad av wk1003mike via Shutterstock, Red Rope av Mega Pixel via Shutterstock
Utforska mer om: Google, Microsoft, Online-säkerhet.