Reklaam

Google on peatamatu. Google avastas vähem kui kolme nädala jooksul Windowsi mõjutavaid neli nullpäevast turvaauku, neist kaks vahetult enne seda, kui Microsoft oli valmis plaastri välja andma. Microsofti ei lõbustatud ja otsustades Google'i reaktsiooni järgi, järgneb tõenäoliselt rohkem selliseid juhtumeid.

Kas see on Google'i viis õpetada nende konkurentsi olema tõhusam? Ja kuidas on kasutajatega? Kas Google on suvalistest tähtaegadest rangelt kinni pidades meie huvides?

Miks Google teatab Windowsi haavatavustest?

Projekt null, Google'i turbeanalüütikute meeskond, on uurinud null päeva ära kasutada Mis on nullpäeva haavatavus? [MakeUseOf selgitab] Loe rohkem aastast 2014. Projekt asutati pärast seda, kui osalise tööajaga uurimisrühm oli tuvastanud mitu tarkvara viga, sealhulgas kriitilised Südame haavatavus Südameveeb - mida saate teha, et turvaliselt püsida? Loe rohkem .

Nende Projekti nullkuulutus, Rõhutas Google, et nende peamine prioriteet oli muuta oma tooted turvaliseks. Kuna Google ei tegutse vaakumis, laieneb nende uurimine tarkvarale, mida kliendid kasutavad.

instagram viewer

Siiani on meeskond tuvastanud üle 200 vea erinevates toodetes, sealhulgas Adobe Reader, Flash, OS X, Linux ja Windows. Kõigist haavatavustest teatatakse ainult tarkvaratootjale ja neile antakse 90-päevane ajapikendus, mille järel see avalikustatakse veebisaidi kaudu Google'i turbeuuringute foorum.

Selle vea avalikustamise tähtaeg on 90 päeva. Kui 90 päeva möödub ilma laialdaselt saadaval oleva plaastrita, muutub veateade automaatselt avalikkusele nähtavaks.

Nii juhtus Microsoftiga. Neli korda. Esimene Windowsi haavatavus (väljaanne nr 118) tuvastati 30. septembril 2014 ja hiljem avaldati 29. detsembril 2014. 11. jaanuaril, vaid paar päeva enne seda, kui Microsoft oli valmis paranduse välja saatma via Pats teisipäev Windows Update: kõik, mida peate teadmaKas Windows Update on teie arvutis lubatud? Windows Update kaitseb teid turvaaukude eest, hoides Windowsi, Internet Explorerit ja Microsoft Office'i värskeimate turvapaikade ja veaparandustega ajakohasena. Loe rohkem , teine ​​haavatavus (väljaanne nr 123) avalikustati, käivitades arutelu selle üle, kas Google poleks osanud oodata. Ainult päevi hiljem on veel kaks turvaaukuväljaanne nr 128 & väljaanne nr 138) ilmus avalikku andmebaasi, eskaleerides olukorda veelgi.

Häkitud

Mis juhtus stseenide taga?

Esimene probleem (nr 118) oli kriitiline privileegi eskalatsiooni haavatavus, mis näitas mõjutavat Windows 8.1. Vastavalt Häkkerite uudised, see “võib häkkeril lubada sisu muuta või isegi ohvrite arvuteid täielikult üle võtta, jättes miljonid kasutajad haavatavaks“. Google ei avaldanud Microsoftiga selle teemaga seotud suhtlemist.

Teise numbri (# 123) jaoks palus Microsoft pikendamist ja kui Google seda keelas, üritasid nad kuu varem plaastri vabastada. Need olid James Forshaw kommentaarid:

Microsoft kinnitas, et neil on eesmärk pakkuda neile probleemidele parandusi 2015. aasta veebruaris. Nad küsisid, kas see tekitaks probleeme 90-päevase tähtajaga. Microsofti teavitati, et 90-päevane tähtaeg on kõigi müüjate ja veaklasside jaoks fikseeritud ning seetõttu ei saa seda pikendada. Lisaks teavitati neid, et selle väljaandmise 90-päevane tähtaeg saabub 11. jaanuaril 2015.

Jaanuari värskenduste teisipäeval avaldas Microsoft mõlema probleemi jaoks plaastrid.

Kolmanda numbriga (# 128) pidi Microsoft ühilduvusprobleemide tõttu plaastri edasi lükkama.

Microsoft teatas meile, et jaanuari plaastritele oli kavas parandus teha, kuid ühilduvusprobleemide tõttu tuleb see parandada. Seetõttu on parandust oodata nüüd veebruari plaastrites.

Ehkki Microsoft teatas Google'ile, et nad tegelevad selle probleemiga, kuid silmitsi raskustega, läks Google edasi ja avaldas selle haavatavuse. Ei mingeid läbirääkimisi ega armu.

Viimase numbri (nr 138) osas otsustas Microsoft seda mitte parandada. James Forshaw lisas järgmise kommentaari:

Microsoft on jõudnud järeldusele, et probleem ei vasta turbelehe ribale. Nad väidavad, et see nõuaks ründajalt liiga palju kontrolli ja nad ei pea grupipoliitika sätteid turvaelemendiks.

Kas Google'i käitumine on aktsepteeritav?

Microsoft ei arva seda. Põhjaliku vastusena kutsub üles Microsofti turbeuuringute keskuse vanemdirektor Chris Betz paremini koordineeritud haavatavuse avalikustamine. Ta rõhutab, et Microsoft usub Kooskõlastatud haavatavuse avalikustamine (CVD) - praktika, kus teadlased ja ettevõtted teevad turvaaukude osas koostööd, et minimeerida klientidele tekkivat riski.

Hiljutiste sündmuste kohta kinnitab Betz, et Microsoft palus Google'il spetsiaalselt nendega koostööd teha ja üksikasju hoidma, kuni Paranduse teisipäeval parandusi levitatakse. Google eiras seda taotlust.

Ehkki järgides Google'i avaldatud avalikustamise tähtaega, on otsus pigem põhimõtteliselt sarnane ja pigem nn „getcha“, mille tagajärjel võivad kannatada kliendid.

Betzi sõnul kogevad avalikult avalikustatud haavatavused küberkurjategijate korraldatud rünnakuid, an tegutsege vaevalt, kui probleemid avaldatakse CVD kaudu privaatselt ja enne teabe muutmist paika avalik. Betzi sõnul ei ole kõik haavatavused võrdsustatud, mis tähendab, et aja laius, mille jooksul probleem laigutatakse, sõltub selle keerukusest.

Punane köis

Tema üleskutse koostööks on vali ja selge ning argumendid kindlad. Arvamus, et ükski tarkvara pole täiuslik, kuna selle on teinud keerukate süsteemidega töötavad lihtsad inimesed, on kadetav. Betz lööb küünte pähe, kui ta ütleb:

See, mis sobib Google'ile, pole alati õige klientidele. Kutsume Google'i üles seadma klientide kaitse oma peamiseks eesmärgiks.

Teine seisukoht on see Google'il on väljakujunenud eeskirjad ega taha järele anda eranditele. See pole selline paindumatus, mida võiksite oodata selliselt ülimaoodsalt ettevõttelt nagu Google. Pealegi on mitte ainult haavatavuse, vaid ka ekspluatatsioonikoodi avaldamine vastutustundetu, arvestades, et miljonid kasutajad võivad rünnaku alla sattuda.

Kui see juhtub jälle, mida saate teha oma süsteemi kaitsmiseks?

Ükski tarkvara pole kunagi nullpäeva ekspluateerimise ajal turvaline. Saate omaenda turvalisust suurendada, kui võtate vastu mõistuse turvahügieeni. Seda soovitab Microsoft:

Me julgustame kliente hoidma oma viirusetõrjetarkvara Parim arvutitarkvara teie Windowsi arvutileKas soovite parimat arvutitarkvara teie Windowsi arvutile? Meie tohutu nimekiri kogub parimaid ja ohutumaid programme kõigi vajaduste jaoks. Loe rohkem ajakohane, installige kõik saadaolevad turvavärskendused 3 põhjust, miks peaksite käitama uusimaid Windowsi turvapaiku ja värskendusiWindowsi opsüsteemi moodustav kood sisaldab turvaahelaid, vigu, ühildumatust või vananenud tarkvaraelemente. Lühidalt, Windows pole täiuslik, me kõik teame seda. Turvapaigad ja värskendused parandavad turvaauke ... Loe rohkem ja lubage tulemüür Parim arvutitarkvara teie Windowsi arvutileKas soovite parimat arvutitarkvara teie Windowsi arvutile? Meie tohutu nimekiri kogub parimaid ja ohutumaid programme kõigi vajaduste jaoks. Loe rohkem nende arvutis.

Meie otsus: Google oleks pidanud tegema Microsoftiga koostööd

Google pidas kinni omavolilisest tähtajast, selle asemel et olla paindlik ja tegutseda nende kasutajate parimates huvides. Nad oleksid võinud turvaaukude paljastamiseks ajapikendust pikendada, eriti pärast seda, kui Microsoft teatas, et plaastrid olid (peaaegu) valmis. Kui Google'i üllas eesmärk on muuta Internet turvalisemaks, peavad nad olema valmis tegema koostööd teiste ettevõtetega.

Samal ajal oleks Microsoft võinud visata rohkem ressursse patchide arendamiseks. 90 päeva peetakse mõne jaoks piisavaks ajaraamistikuks. Google'i surve tõttu lükkasid nad tegelikult ühe plaastri välja kuu aega varem, kui esialgu arvati. Tundub, et nad ei tähtsustanud seda küsimust algselt piisavalt kõrgelt.

Üldiselt peaksid tarkvaratootjad märku andma, et nad tegelevad selle probleemiga, näiteks teadlased, näiteks Google’i Project Zero meeskond, koostööd tegema ja ajapikendusi pikendama. Peame varsti olema paigatud haavatavus Windowsi kasutajad hoiduge: teil on olnud tõsine turvaprobleem Loe rohkem saladus näib olevat ohutum kui häkkerite tähelepanu äratamine. Kas klientide turvalisus ei peaks olema ühegi ettevõtte prioriteet?

Mida sa arvad? Mis oleks olnud parem lahendus või kas Google tegi lõppude lõpuks õigesti?

Pildikrediidid: Nõustaja Shutterstocki kaudu, Häkkinud wk1003mike kaudu Shutterstock, Punane köis, autor Mega Pixel, Shutterstocki kaudu

Tina on tarbijate tehnoloogiast kirjutanud juba üle kümne aasta. Tal on loodusteaduste doktorikraad, diplom Saksamaalt ja MSc Rootsist. Tema analüütiline taust on aidanud tal silma paista MakeUseOfi tehnoloogiaajakirjanikuna, kus ta nüüd juhib märksõnade uurimist ja toiminguid.