Mainos
Google on pysäyttämätön. Alle kolmen viikon kuluessa Google paljasti yhteensä neljä nollapäivän haavoittuvuutta, jotka koskivat Windowsia, joista kaksi vain muutama päivä ennen kuin Microsoft oli valmis julkaisemaan korjaustiedoston. Microsoftia ei huvittu, ja Googlen reaktion perusteella voidaan arvioida, että enemmän tällaisia tapauksia seuraa.
Onko tämä Googlen tapa opettaa heidän kilpailuaan tehokkaammaksi? Entä käyttäjät? Onko meidän etujen mukaista, että Google noudattaa tiukasti mielivaltaisia määräaikoja?
Miksi Google raportoi Windowsin haavoittuvuuksia?
Projekti nolla, Googlen tietoturva-analyytikoiden ryhmä, on tehnyt tutkimusta nolla päivä hyväksikäytetään Mikä on nolla päivän haavoittuvuus? [MakeUseOf selittää] Lue lisää vuodesta 2014 lähtien. Projekti perustettiin sen jälkeen, kun osa-aikainen tutkimusryhmä oli löytänyt useita ohjelmistovirheitä, mukaan lukien kriittiset Sydämen haavoittuvuus Sydämen syke - Mitä voit tehdä pysyäksesi turvassa? Lue lisää .
Heidän Project Zero -ilmoitus
, Google korosti, että heidän ensisijaisena tavoitteenaan oli tehdä omat tuotteet turvallisiksi. Koska Google ei toimi tyhjiössä, heidän tutkimustyönsä kattaa kaikki heidän asiakkaidensa käyttämät ohjelmistot.Toistaiseksi joukkue on tunnistanut yli 200 virhettä eri tuotteissa, kuten Adobe Reader, Flash, OS X, Linux ja Windows. Jokaisesta haavoittuvuudesta ilmoitetaan vain ohjelmistotoimittajalle, ja se saa 90 päivän lisäajan, jonka jälkeen se julkistetaan Google Security Research -foorumi.
Tämän virheen julkistamiselle asetetaan 90 päivän määräaika. Jos 90 päivää kuluu ilman laajasti saatavilla olevaa laastaria, virheraportti tulee automaattisesti näkyviin yleisölle.
Näin tapahtui Microsoftille. Neljä kertaa. Ensimmäinen Windows-haavoittuvuus (numero # 118) tunnistettiin 30. syyskuuta 2014 ja julkaistiin myöhemmin 29. joulukuuta 2014. 11. tammikuuta, vain muutama päivä ennen kuin Microsoft oli valmis viemään korjaus kautta Paikka tiistaina Windows Update: kaikki mitä sinun tarvitsee tietääOnko Windows Update käytössä PC: lläsi? Windows Update suojaa sinua tietoturvahaavoilta pitämällä Windows, Internet Explorer ja Microsoft Office ajan tasalla uusimmilla tietoturvakorjauksilla ja virhekorjauksilla. Lue lisää , toinen haavoittuvuus (numero # 123) julkistettiin ja käynnistettiin keskustelu siitä, olisiko Google voinut odottaa. Vain päiviä myöhemmin, kaksi muuta haavoittuvuutta (numero # 128 & numero # 138) ilmestyi julkiseen tietokantaan ja eskaloi tilannetta entisestään.
Mitä tapahtui kulissien takana?
Ensimmäinen ongelma (# 118) oli kriittinen etuoikeuksien laajenemisen haavoittuvuus, jonka osoitettiin vaikuttavan Windows 8.1: ään. Mukaan Hacker-uutiset, se “voisi antaa hakkereille mahdollisuuden muokata sisältöä tai jopa ottaa uhrien tietokoneet kokonaan hallintaansa, jolloin miljoonat käyttäjät jäävät haavoittuviksi“. Google ei paljastanut mitään viestiä Microsoftin kanssa tästä asiasta.
Toisessa numerossa (nro 123) Microsoft pyysi laajennusta, ja kun Google kielsi sen, he yrittivät vapauttaa korjaustiedoston kuukautta aiemmin. Nämä olivat James Forshaw'n kommentit:
Microsoft vahvisti, että heidän on tarkoitus toimittaa korjauksia näihin ongelmiin helmikuussa 2015. He kysyivät, aiheuttaisiko tämä ongelmaa 90 päivän määräajassa. Microsoftille ilmoitettiin, että 90 päivän määräaika on vahvistettu kaikille toimittajille ja virheluokille, joten sitä ei voida pidentää. Lisäksi heille ilmoitettiin, että 90 päivän määräaika kyseiselle numerolle päättyy 11. tammikuuta 2015.
Microsoft julkaisi päivitykset molemmille ongelmille päivityksen tiistaina tammikuussa.
Kolmannen numeron (# 128) kanssa Microsoft joutui lykkäämään korjausta yhteensopivuusongelmien takia.
Microsoft ilmoitti meille, että tammikuun korjauksiin oli tarkoitus tehdä korjaus, mutta se on poistettava yhteensopivuusongelmien takia. Siksi korjausta odotetaan nyt helmikuun korjaustiedoissa.
Vaikka Microsoft kertoi Googlelle, että he työskentelevät asian parissa, mutta kohtaavat vaikeuksia, Google meni eteenpäin ja julkaisi haavoittuvuuden. Ei neuvotteluja, ei armoa.
Viimeisimmästä numerosta (# 138) Microsoft päätti olla korjaamatta sitä. James Forshaw lisäsi seuraavan kommentin:
Microsoft on päätellyt, että kysymys ei täytä tietoturvatiedotteen palkkia. He väittävät, että se vaatisi hyökkääjän liiallista hallintaa, ja he eivät pidä ryhmäkäytäntöasetuksia turvaominaisuutena.
Onko Googlen käyttäytyminen hyväksyttävä?
Microsoft ei usko. Perusteellisessa vastauksessaan Chris Betz, Microsoftin tietoturvatutkimuskeskuksen vanhempi johtaja vaatii paremmin koordinoitu haavoittuvuuksien paljastaminen. Hän korostaa, että Microsoft uskoo Koordinoidun haavoittuvuuden julkistaminen (CVD), käytäntö, jossa tutkijat ja yritykset tekevät yhteistyötä haavoittuvuuksien kanssa asiakkaiden riskien minimoimiseksi.
Viimeaikaisten tapahtumien osalta Betz vahvistaa, että Microsoft pyysi erityisesti Googlea työskentelemään heidän kanssaan ja pidättämään yksityiskohdat, kunnes korjaukset jaettiin Patch-tiistaina. Google sivuutti pyynnön.
Vaikka Googlen ilmoittaman julkistamisen aikataulun noudattaminen noudattaa päätöstä, se tuntuu vähemmän periaatteelta ja pikemminkin "getchalta", kun asiakkaat kärsivät seurauksena.
Betzin mukaan julkisesti paljastetuissa haavoittuvuuksissa esiintyy verkkorikollisten järjestämiä hyökkäyksiä, toimia tuskin, kun asiat paljastetaan yksityisesti CVD: n kautta ja korjataan ennen kuin tiedoista tulee julkinen. Betz toteaa edelleen, että kaikkia haavoittuvuuksia ei tehdä tasa-arvoisiksi, mikä tarkoittaa, että ajanjakso, jonka kuluessa ongelma korjataan, riippuu sen monimutkaisuudesta.
Hänen yhteistyöpyyntönsä on äänekäs ja selkeä, ja hänen argumenttinsa ovat vakaat. Heijastus, että mikään ohjelmisto ei ole täydellinen, koska sen ovat tehneet yksinkertaiset ihmiset, jotka toimivat monimutkaisilla järjestelmillä, on rakastettava. Betz lyö naulaa päähän sanoessaan:
Mikä Googlelle sopii, ei aina ole oikein asiakkaille. Kehotamme Googlea tekemään asiakkaiden suojaamisesta yhteisen päätavoitteen.
Toinen näkökulma on se Googlella on vakiintunut käytäntö eikä halua antaa tietä poikkeuksille. Tämä ei ole sellaista joustamattomuutta, jota voisit odottaa huippumoderniselta yrityksestä kuten Google. Lisäksi haavoittuvuuden ja hyödyntämiskoodien julkaiseminen on vastuutonta, koska miljoonat käyttäjät voivat saada yhteisen hyökkäyksen.
Jos tämä tapahtuu jälleen, mitä voit tehdä järjestelmän suojaamiseksi?
Mikään ohjelmisto ei ole koskaan turvassa nollapäivän hyväksikäytöltä. Voit lisätä omaa turvallisuutta ottamalla huomioon terveen järjen turvahygienian. Tätä Microsoft suosittelee:
Kannustamme asiakkaita pitämään virustorjuntaohjelmisto Paras tietokoneohjelmisto Windows-tietokoneellesiHaluatko parhaan PC-ohjelmiston Windows-tietokoneellesi? Massiivisessa luettelossamme on parhaat ja turvallisimmat ohjelmat kaikille tarpeille. Lue lisää ajantasalla, asenna kaikki saatavilla olevat tietoturvapäivitykset 3 syytä, miksi sinun pitäisi suorittaa uusimmat Windows-tietoturvakorjaukset ja päivityksetWindows-käyttöjärjestelmän muodostava koodi sisältää tietoturvapiirejä, virheitä, yhteensopimattomuuksia tai vanhentuneita ohjelmistoelementtejä. Lyhyesti sanottuna, Windows ei ole täydellinen, me kaikki tiedämme sen. Suojauskorjaukset ja päivitykset korjaavat haavoittuvuudet ... Lue lisää ja ota käyttöön palomuuri Paras tietokoneohjelmisto Windows-tietokoneellesiHaluatko parhaan PC-ohjelmiston Windows-tietokoneellesi? Massiivisessa luettelossamme on parhaat ja turvallisimmat ohjelmat kaikille tarpeille. Lue lisää heidän tietokoneellaan.
Tuomiostamme: Googlen olisi pitänyt tehdä yhteistyötä Microsoftin kanssa
Google pysyi mielivaltaisessa määräajassaan sen sijaan, että olisi joustava ja käyttäjiensä edun mukaista. He olisivat voineet pidentää suoja-ajan haavoittuvuuksien paljastamiseksi, varsinkin kun Microsoft ilmoitti, että korjaustiedostot olivat (melkein) valmiita. Jos Googlen jalo päämäärä on tehdä Internetistä turvallisempaa, heidän on oltava valmiita tekemään yhteistyötä muiden yritysten kanssa.
Samaan aikaan Microsoft olisi voinut heittää enemmän resursseja korjaustiedostojen kehittämiseen. Jotkut pitävät 90 päivää riittävänä ajanjaksona. Googlen painostuksen takia he todellakin purkavat yhden korjaustiedoston kuukautta aikaisemmin kuin alun perin arvioitiin. Näyttää melkein siltä, että he eivät priorisoineet asiaa alun perin tarpeeksi.
Yleensä, jos ohjelmistotoimittaja ilmoittaa työskentelevänsä asian parissa, tutkijoiden, kuten Googlen Project Zero -tiimin, tulisi tehdä yhteistyötä ja jatkaa lisäaikaa. Pidetään pian paikallaan oleva haavoittuvuus Windows-käyttäjät varovat: Sinulla on vakava tietoturvaongelma Lue lisää salaisuus näyttää olevan turvallisempaa kuin hakkereiden huomion herättäminen. Eikö asiakkaiden turvallisuus pitäisi olla minkään yrityksen ensisijainen tavoite?
Mitä mieltä sinä olet? Mikä olisi ollut parempi ratkaisu vai tekikö Google oikein oikein?
Kuvapisteet: velho Shutterstockin kautta, Hakkeroitu wk1003mike kautta Shutterstock, Mega Pixelin punainen köysi Shutterstockin kautta
Tina on kirjoittanut kuluttajateknologiasta jo yli kymmenen vuoden ajan. Hänellä on luonnontieteiden tohtori, tutkintotodistus Saksasta ja diplomi-insinööri Ruotsista. Hänen analyyttinen tausta on auttanut häntä menestymään teknologiatoimittajana MakeUseOfissa, jossa hän nyt hallinnoi avainsanatutkimusta ja -toimintoja.
