Oglas
Google je neustavljiv. V manj kot treh tednih je Google razkril skupno štiri ranljivosti, ki so vplivale na sistem Windows, dve od njih le nekaj dni, preden je bil Microsoft pripravljen izdati obliž. Microsoft ni bil zabaven in sodeč po Googlovi reakciji, več takšnih primerov bo verjetno sledilo.
Ali je to način, kako Google uči, da je njihova konkurenca učinkovitejša? Kaj pa uporabniki? Ali je Google dosledno upoštevanje poljubnih rokov v našem najboljšem interesu?
Zakaj je Google Reporting Ranljivosti Windows?
Projekt nič, skupina Googlovih analitikov za varnost raziskuje izkoriščanja nič dni Kaj je ranljivost Zero Day? [MakeUseOf pojasnjuje] Preberi več od leta 2014. Projekt je bil ustanovljen po tem, ko je raziskovalna skupina s krajšim delovnim časom odkrila več programskih napak, tudi kritičnih Srčna ranljivost Srčno srce - kaj lahko storite, da ostanete varni? Preberi več .
V njihovem Napoved projekta Zero, Google je poudaril, da je njihova glavna prednostna naloga varovanje lastnih izdelkov. Ker Google ne deluje v vakuumu, se njihovo raziskovanje razširi na katero koli programsko opremo, ki jo uporabljajo njene stranke.
Do zdaj je ekipa prepoznala več kot 200 napak v različnih izdelkih, vključno z Adobe Reader, Flash, OS X, Linux in Windows. O vsaki ranljivosti se poroča samo prodajalcu programske opreme in prejme 90-dnevni odlog, nato pa se objavi prek Forum za varnostno raziskavo Google.
Za to hrošče je potreben 90-dnevni rok za razkritje. Če mine 90 dni brez široko dostopnega popravka, bo poročilo o napakah samodejno vidno javnosti.
To se je zgodilo Microsoftu. Štirikrat. Prva ranljivost sistema Windows (številka 118) je bil identificiran 30. septembra 2014 in je bil naknadno objavljen 29. decembra 2014. 11. januarja, le nekaj dni, preden je bil Microsoft pripravljen izstaviti popravek prek Patch torek Windows Update: vse, kar morate vedetiAli je v računalniku omogočena posodobitev sistema Windows? Windows Update vas ščiti pred varnostnimi ranljivostmi tako, da Windows, Internet Explorer in Microsoft Office posodabljajo najnovejše varnostne popravke in popravke napak. Preberi več , druga ranljivost (številka 123) je bila javno objavljena in sprožila razpravo o tem, ali Google ni mogel čakati. Samo nekaj dni kasneje še dve ranljivosti (številka 128 & številka 138) se je pojavil v javni bazi podatkov, s čimer se je položaj še stopnjeval.
Kaj se je dogajalo za sceno?
V prvi številki (# 118) je bila kritična ranljivost stopnjevanja privilegijev, ki naj bi vplivala na Windows 8.1. Po navedbah Hakerske novice, to “bi lahko hekerju omogočil spreminjanje vsebine ali celo popoln prevzem računalnikov žrtev, kar bi na milijone uporabnikov postalo ranljivo“. Google ni razkril nobene komunikacije z Microsoftom v zvezi s to težavo.
Za drugo izdajo (# 123) je Microsoft zaprosil za razširitev, in ko je Google to zanikal, so si prizadevali, da bi obliž sprostili mesec prej. To so bili komentarji Jamesa Forshawa:
Microsoft je potrdil, da so na cilju, da bodo te težave odpravili februarja 2015. Vprašali so, ali bi to povzročilo težave z 90-dnevnim rokom. Microsoft je bil obveščen, da je 90-dnevni rok določen za vse prodajalce in razrede napak, zato ga ni mogoče podaljšati. Nadalje so bili obveščeni, da se 90-dnevni rok za to številko izteka 11. januarja 2015.
Microsoft je izdal popravke za obe težavi s posodobitvijo v torek januarja.
S tretjo številko (# 128) je moral Microsoft zaradi težav s kompatibilnostjo odložiti popravek.
Microsoft nam je sporočil, da je bil predviden popravek januarskih popravkov, vendar ga je treba zaradi težav z združljivostjo potegniti. Zato se popravek zdaj pričakuje v februarskih obližih.
Čeprav je Microsoft Googlu sporočil, da dela na tej težavi, vendar se sooča s težavami, je Google nadaljeval in objavil ranljivost. Brez pogajanj, brez usmiljenja.
Pri zadnji številki (# 138) se je Microsoft odločil, da je ne bo odpravil. James Forshaw je dodal naslednji komentar:
Microsoft je ugotovil, da izdaja ne ustreza vrstici varnostnega biltena. Navajajo, da bi zahteval preveč nadzora s strani napadalca, zato ne upoštevajo nastavitev skupinskih politik kot zaščitni element.
Ali je Google vedenje sprejemljivo?
Microsoft ne misli tako. Na temeljit odziv poziva Chris Betz, višji direktor Microsoftovega varnostnega raziskovalnega centra boljše usklajeno razkritje o ranljivosti. Poudarja, da Microsoft verjame v Usklajeno razkritje o ranljivosti (CVD), praksa, v kateri raziskovalci in podjetja sodelujejo pri ranljivostih, da zmanjšajo tveganje za kupce.
Glede nedavnih dogodkov Betz potrjuje, da je Microsoft posebej zahteval od Googla, naj sodeluje z njimi in zadrži podrobnosti, dokler popravki niso bili razdeljeni med torkom Patch. Google je zahtevo prezrl.
Čeprav sledimo Googlovemu objavljenemu časovnemu razporedu za razkritje, je odločitev videti manj kot načela in bolj kot "gotcha", pri čemer bodo kupci tisti, ki zaradi tega lahko trpijo.
Po Betzovih besedah so javno razkrite ranljivosti doživele orkestrirane napade kibernetskih kriminalcev dejanja komaj opazimo, ko se vprašanja razkrijejo zasebno prek CVD in jih popravijo, preden informacije postanejo javnosti. Nadalje Betz pravi, da niso vse ranljivosti enakovredne, kar pomeni, da je časovna premica, v kateri je težava zakrpana, odvisna od njene zapletenosti.
Njegov poziv k sodelovanju je glasen in jasen, njegovi argumenti pa trdni. Razmišljanje, da nobena programska oprema ni popolna, ker jo naredijo preprosti ljudje, ki delujejo s kompleksnimi sistemi, je rado. Betz udari v žebelj po glavi, ko reče:
Kar je pravilno za Google, ni vedno prav za stranke. Google pozivamo, naj zaščiti kupce kot naš skupni primarni cilj.
Drugo stališče je to Google ima ustaljeno politiko in ne želi popustiti izjem. To ni takšna neprožnost, ki bi jo pričakovali od ultra modernega podjetja, kot je Google. Poleg tega je objavljanje ne samo ranljivosti, temveč tudi kode eksploatacije neodgovorno, saj bi milijone uporabnikov lahko prizadeli usklajeni napad.
Če se to spet zgodi, kaj lahko storite, da zaščitite svoj sistem?
Nobena programska oprema ne bo nikoli varna pred ničelnimi podvigi. Svojo varnost lahko povečate s sprejetjem varnostne higiene zdrave pameti. To priporoča Microsoft:
Stranke spodbujamo, da ohranijo svoje protivirusna programska oprema Najboljša programska oprema za računalnik za vaš računalnik WindowsŽelite najboljšo programsko opremo za računalnik za Windows? Naš obsežen seznam zbira najboljše in najvarnejše programe za vse potrebe. Preberi več posodobljen, namestite vse razpoložljive varnostne posodobitve 3 razlogi, zakaj bi morali zagnati najnovejše varnostne popravke in posodobitve sistema WindowsKoda, ki sestavlja operacijski sistem Windows, vsebuje varnostne luknje, napake, nezdružljivosti ali zastarele programske elemente. Skratka, Windows ni popoln, to vsi vemo. Varnostni popravki in posodobitve odpravijo ranljivosti ... Preberi več in omogočite požarni zid Najboljša programska oprema za računalnik za vaš računalnik WindowsŽelite najboljšo programsko opremo za računalnik za Windows? Naš obsežen seznam zbira najboljše in najvarnejše programe za vse potrebe. Preberi več na njihovem računalniku.
Naša razsodba: Google bi moral sodelovati z Microsoftom
Google se je držal svojega arbitrarnega roka, namesto da bi bil prilagodljiv in deluje v najboljšem interesu svojih uporabnikov. Lahko bi podaljšali obdobje mirovanja za razkritje ranljivosti, zlasti potem, ko je Microsoft sporočil, da so obliži (skoraj) pripravljeni. Če je Googlov plemenit cilj narediti internet varnejši, morajo biti pripravljeni sodelovati z drugimi podjetji.
Medtem bi lahko Microsoft vrgel več sredstev za razvoj popravkov. 90 dni nekateri ocenjujejo kot zadosten časovni okvir. Zaradi pritiska Googla so dejansko en mesec iztisnili en obliž prej, kot so ocenili na začetku. Skoraj izgleda, kot da prvotno niso bili dovolj pozorni na zadevo.
Če na splošno prodajalec programske opreme sporoči, da se ukvarja s težavo, bi morali raziskovalci, kot je Googlova ekipa Projekt Zero, sodelovati in podaljšati čas podaljševanja. Kmalu še naprej zakrpa ranljivost Uporabniki operacijskega sistema Windows Pazite: dobili ste resno varnostno težavo Preberi več zdi se, da je skrivnost varnejša od privlačenja pozornosti hekerjev. Ali ne bi morala biti varnost strank glavna prioriteta podjetja?
Kaj misliš? Kaj bi bila boljša rešitev ali je Google navsezadnje storil pravilno?
Slikovni krediti: Čarovnik Via Shutterstock, Napadal je wk1003mike prek Shutterstocka, Rdeča vrv Mega Pixel prek Shutterstocka
Tina o potrošniški tehnologiji piše že več kot desetletje. Ima doktorat iz naravoslovja, diplom iz Nemčije in magisterij iz Švedske. Njeno analitično znanje ji je pomagalo, da se je kot tehnološka novinarka zaposlila v MakeUseOf, kjer zdaj upravlja raziskave ključnih besed in operacije.