Oglas
Google je nezaustavljiv. U roku od manje od tri tjedna, Google je otkrio ukupno četiri nula dana koja su utjecala na Windows, od kojih su dvije bile samo nekoliko dana prije nego što je Microsoft bio spreman izdati zakrpu. Microsoft se nije zabavljao i sudeći po Googleovoj reakciji, vjerovatno će uslijediti još takvih slučajeva.
Je li to način na koji Google može naučiti svoju konkurenciju biti učinkovitiji? A što je s korisnicima? Je li Google strogo pridržavanje proizvoljnih rokova u našem najboljem interesu?
Zašto je Google Reporting Windows Ranjivosti?
Nula projekta, tim Googleovih sigurnosnih analitičara, istraživao je iskorištava nula dana Što je ranjivost od nule? [MakeUseOf objašnjava] Čitaj više od 2014. Projekt je osnovan nakon što je istraživačka skupina honorarno utvrdila nekoliko softverskih grešaka, uključujući kritične Srčana ranjivost Srčano srce - što možete učiniti da ostanete sigurni? Čitaj više .
U njihovim Najava projekta Zero, Google je naglasio da im je glavni prioritet zaštita vlastitih proizvoda. Budući da Google ne radi u vakuumu, njihovo se istraživanje proširuje na bilo koji softver koji korisnici koriste.
Do sada je tim identificirao preko 200 bugova u raznim proizvodima, uključujući Adobe Reader, Flash, OS X, Linux i Windows. Svaka ranjivost prijavljuje se samo dobavljaču softvera i dobija razdoblje od 90 dana počeka, nakon čega se objavljuje putem Forum o sigurnosnom istraživanju Googlea.
Taj bug podliježe roku od 90 dana za objavljivanje. Ako prođe 90 dana bez široko dostupne zakrpe, izvještaj o bugama automatski će postati vidljiv javnosti.
To se dogodilo s Microsoftom. Četiri puta. Prva ranjivost sustava Windows (broj # 118) identificiran je 30. rujna 2014. i naknadno je objavljen 29. prosinca 2014. 11. siječnja, samo nekoliko dana prije nego što je Microsoft bio spreman izbaciti ispravku putem Patch utorak Ažuriranje sustava Windows: Sve što trebate znatiJe li na vašem računalu omogućeno Windows Update? Windows Update štiti vas od sigurnosnih ranjivosti tako što će Windows, Internet Explorer i Microsoft Office biti u tijeku s najnovijim sigurnosnim zakrpama i ispravkama pogrešaka. Čitaj više , druga ranjivost (broj # 123) javno je pokrenuta rasprava o tome je li Google mogao čekati. Samo nekoliko dana kasnije, još dvije ranjivosti (broj # 128 & broj # 138) pojavio se u javnoj bazi podataka, dodatno eskalirajući situaciju.
Što se dogodilo iza scene?
Prvo izdanje (# 118) predstavljalo je kritičnu ranjivost eskalacije privilegija, a pokazalo se da utječe na Windows 8.1. Prema Hakerske vijesti, to „mogao omogućiti hakeru da izmijeni sadržaj ili čak potpuno preuzme računala žrtava, a milijune korisnika čini ranjivima“. Google nije otkrio nikakvu komunikaciju s Microsoftom u vezi s tim problemom.
Za drugi broj (# 123) Microsoft je zatražio proširenje, a kad je Google to odbio, uložili su napore da otpuste zakrpu mjesec dana ranije. Ovo su bili komentari Jamesa Forshawa:
Microsoft je potvrdio da su u cilju pružanja rješenja za te probleme u veljači 2015. godine. Pitali su hoće li to stvoriti problem s rokom od 90 dana. Microsoft je obaviješten da je rok od 90 dana utvrđen za sve prodavce i klase bugova i da ih se ne može produžavati. Nadalje, obaviješteni su da rok od 90 dana za ovo izdanje ističe 11. siječnja 2015. godine.
Microsoft je izdao zakrpe za oba problema s Updateom u utorak u siječnju.
Trećim brojem (# 128) Microsoft je morao odgoditi zakrpu zbog problema sa kompatibilnošću.
Microsoft nas je obavijestio da je planirano ispravljanje januarskih zakrpa, ali da ih treba povući zbog problema sa kompatibilnošću. Stoga se ispravak sada očekuje u veljačama.
Iako je Microsoft obavijestio Google da radi na tom problemu, ali se suočio s poteškoćama, Google je nastavio i objavio ranjivost. Nema pregovora, nema milosti.
Za posljednji broj (# 138), Microsoft je odlučio da ga ne riješi. James Forshaw dodao je sljedeći komentar:
Microsoft je zaključio da izdanje ne ispunjava traku sigurnosnog biltena. Navode da bi to zahtijevalo previše kontrole od strane napadača te ne smatraju postavke grupnih politika kao sigurnosno obilježje.
Je li Googleovo ponašanje prihvatljivo?
Microsoft ne misli tako. Na temeljni odgovor Chris Betz, stariji direktor Microsoftovog sigurnosnog istraživačkog centra, poziva bolje koordinirano otkrivanje ranjivosti. Naglašava da Microsoft vjeruje u to Koordinirano otkrivanje ranjivosti (CVD), praksa u kojoj istraživači i tvrtke surađuju na ranjivosti kako bi umanjili rizik za kupce.
U vezi s nedavnim događajima, Betz potvrđuje da je Microsoft posebno tražio od Googlea da radi s njima i zadržava detalje dok popravci ne budu distribuirani tijekom Patch Utorak. Google je ignorirao zahtjev.
Iako slijedi Googleov najavljeni vremenski rok objavljivanja, odluka se čini manje poput načela i više poput "gotcha", a kupci bi mogli patiti kao rezultat.
Prema Betzu, javno otkrivene ranjivosti doživljavaju orkestrirane napade cyber kriminalaca, an djelovati jedva kada se pitanja objavljuju privatno putem CVD-a i krpaju prije nego što informacije postanu javnost. Dalje kaže Betz, nisu sve ranjivosti izjednačene, što znači da vremenski okvir unutar kojeg se problem zakrpa ovisi o njegovoj složenosti.
Njegov poziv na suradnju je glasan i jasan, a njegovi argumenti solidni. Razmišljanje da nijedan softver nije savršen jer su ga napravili jednostavni ljudi koji rade sa složenim sustavima. Betz udari noktom u glavu kad kaže:
Ono što je ispravno za Google nije uvijek u redu za kupce. Pozivamo Google da učini zaštitu kupaca našim zajedničkim primarnim ciljem.
Drugo je gledište to Google ima utvrđena pravila i ne želi popustiti iznimkama. To nije vrsta nefleksibilnosti kakvu biste očekivali od ultra moderne tvrtke poput Googlea. Štoviše, objavljivanje ne samo ranjivosti, već i eksploatacijskog koda neodgovorno je, s obzirom na to da bi milion korisnika mogao biti pogođen usklađenim napadom.
Ako se ovo dogodi opet, što možete učiniti da zaštitite svoj sustav?
Ni jedan softver nikada neće biti siguran od podviga koji nisu u toku dana. Možete povećati vlastitu sigurnost prihvaćanjem sigurnosne higijene zdravog razuma. Ovo preporučuje Microsoft:
Ohrabrujemo kupce da zadrže svoje antivirusni softver Najbolji PC softver za vaše Windows računaloŽelite najbolji softver za vaše računalo na računalu sa sustavom Windows? Naš ogromni popis prikuplja najbolje i najsigurnije programe za sve potrebe. Čitaj više do danas, instalirajte sve dostupne sigurnosne nadogradnje 3 razloga zašto biste trebali pokrenuti najnovije sigurnosne zakrpe i nadopune sustava WindowsKôd koji čini Windows operativni sustav sadrži rupe, sigurnosne petlje, pogreške, nekompatibilnosti ili zastarjele softverske elemente. Ukratko, Windows nije savršen, to svi znamo. Sigurnosne zakrpe i ažuriranja popravljaju ranjivosti ... Čitaj više i omogućiti vatrozid Najbolji PC softver za vaše Windows računaloŽelite najbolji softver za vaše računalo na računalu sa sustavom Windows? Naš ogromni popis prikuplja najbolje i najsigurnije programe za sve potrebe. Čitaj više na njihovom računalu.
Naša presuda: Google je trebao surađivati s Microsoftom
Google se pridržavao proizvoljnog roka, umjesto da bude fleksibilan i djeluje u najboljem interesu svojih korisnika. Mogli su produžiti razdoblje počeka za otkrivanje ranjivosti, posebno nakon što je Microsoft priopćio da su zakrpe (gotovo) spremne. Ako je Googleov plemeniti cilj učiniti Internet sigurnijim, moraju biti spremni surađivati s drugim tvrtkama.
U međuvremenu, Microsoft je mogao baciti više resursa u razvoj zakrpa. Pojedini se 90 dana smatraju dovoljnim vremenskim okvirom. Zbog pritiska Googlea, u stvari su potisnuli zakrpu mjesec dana ranije nego što je procijenjeno. Izgleda da originalno nisu dovoljno prioritizirali problem.
Općenito, ako dobavljač softvera signalizira da radi na tom problemu, istraživači poput Googleovog tima Project Zero trebali bi surađivati i produžavati razdoblja početaka. Zadržavanje uskoro zakrpljena ranjivost Korisnici Windows: Pazite: imate ozbiljan sigurnosni problem Čitaj više čini se da je tajna sigurnija od privlačenja pozornosti hakera. Ne bi li sigurnost kupaca trebao biti glavni prioritet bilo koje tvrtke?
Što misliš? Što bi bilo bolje rješenje ili je Google ipak učinio ispravnu stvar?
Slikovni krediti: čarobnjak Via Shutterstock, Hakirao wk1003mike putem Shutterstoka, Crveno uže Mega Piksela putem Shutterstoka
Tina o potrošačkoj tehnologiji piše više od desetljeća. Doktorirala je prirodne znanosti, diplomu iz Njemačke i magistrirala iz Švedske. Njezina analitička pozadina pomogla joj je da se istakne kao tehnološki novinar u MakeUseOf, gdje sada upravlja istraživanjem i operacijama ključnih riječi.
