Реклама
Гоогле је незаустављив У року од мање од три недеље, Гоогле је открио укупно четири рањивости од нула дана које су погодиле Виндовс, две од њих само неколико дана пре него што је Мицрософт био спреман да изда закрпу. Мицрософт није био забављен и судећи по Гооглеовој реакцији, вјероватно ће услиједити још таквих случајева.
Да ли је овај начин Гоогле-а да научи да њихова конкуренција буде ефикаснија? А шта је са корисницима? Да ли је Гооглеово строго придржавање произвољних рокова у нашем најбољем интересу?
Зашто је Гоогле Репортинг Виндовс Рањивости?
Пројецт Зеро, тим Гоогле аналитичара за сигурност, истраживао је искориштава нула дана Шта је рањивост на један дан? [МакеУсеОф објашњава] Опширније од 2014. Пројекат је основан након што је истраживачка група са скраћеним радним временом утврдила неколико софтверских грешака, укључујући критичне Рањивост срца Срчано срце - шта можете учинити да останете сигурни? Опширније .
У њиховом Најава пројекта Зеро, Гоогле је нагласио да им је главни приоритет безбедност сопствених производа. Будући да Гоогле не ради у вакууму, њихово се истраживање протеже на било који софтвер који користе његови купци.
До сада је тим идентификовао преко 200 грешака у различитим производима, укључујући Адобе Реадер, Фласх, ОС Кс, Линук и Виндовс. Свака рањивост се пријављује само добављачу софтвера и добија грешки од 90 дана, након чега се објављује путем Форум за истраживање безбедности Гоогле.
Овај буг подлеже року од 90 дана за откривање. Ако прође 90 дана без широко доступне закрпе, извештај о грешкама аутоматски ће постати видљив јавности.
То се догодило Мицрософту. Четири пута. Прва рањивост Виндовс-а (број 118) идентификован је 30. септембра 2014. и касније је објављен 29. децембра 2014. 11. јануара, само неколико дана пре него што је Мицрософт био спреман да изврши поправку Патцх Туесдаи Виндовс Упдате: све што треба да знатеДа ли је на рачунару омогућена Виндовс Упдате? Виндовс Упдате штити вас од безбедносних рањивости тако што ће Виндовс, Интернет Екплорер и Мицрософт Оффице бити у току са најновијим безбедносним закрпама и исправкама грешака. Опширније , друга рањивост (број 123) објављена је, покрећући расправу о томе да ли Гоогле није могао да чека. Само неколико дана касније, још две рањивости (број 128 & број 138) се појавио у јавној бази података, што је додатно ескалирало ситуацију.
Шта се догодило иза сцене?
Прво издање (# 118) представљало је критичну рањивост ескалације привилегија, за коју се показало да утиче на Виндовс 8.1. Према Тхе Хацкер Невс, то "могао би омогућити хакеру да измијени садржај или чак у потпуности преузме рачунаре жртава, а милионе корисника чини рањивим“. Гоогле није открио никакву комуникацију са Мицрософт-ом у вези са овим проблемом.
За други број (# 123), Мицрософт је затражио проширење, а када је Гоогле то одбио, они су уложили напоре да издају закрпу месец дана раније. Ово су били коментари Јамеса Форсхава:
Мицрософт је потврдио да су у циљу да обезбеде исправке за ове проблеме у фебруару 2015. Питали су да ли би то створило проблем са роком од 90 дана. Мицрософт је обавештен да је рок од 90 дана утврђен за све продавце и класе грешака и да их није могуће продужити. Даље су обавештени да рок од 90 дана за ово издање истиче 11. јануара 2015. године.
Мицрософт је издао закрпе за оба проблема са Упдатеом у уторак у јануару.
Трећим бројем (# 128), Мицрософт је морао да одложи закрпу због проблема са компатибилношћу.
Мицрософт нас је обавијестио да је планирано исправљање јануарских закрпа, али мора да се повуче због проблема са компатибилношћу. Стога се поправци сада очекују у фебруарским закрпама.
Иако је Мицрософт обавестио Гоогле да ради на том проблему, али се суочио са потешкоћама, Гоогле је наставио и објавио рањивост. Нема преговора, нема милости.
За последњи број (# 138), Мицрософт је одлучио да га не реши. Јамес Форсхав додао је следећи коментар:
Мицрософт је закључио да издање не испуњава траку безбедносног билтена. Они наводе да би јој било потребно превише надзора од стране нападача, а подешавања политике групе не сматрају сигурносним елементом.
Да ли је Гоогле-ово понашање прихватљиво?
Мицрософт не мисли тако. На темељни одговор, Цхрис Бетз, старији директор Мицрософтовог истраживачког центра за безбедност, позива боље координисано откривање рањивости. Он наглашава да Мицрософт верује у то Координирано откривање рањивости (ЦВД), пракса у којој истраживачи и компаније сарађују на рањивости како би умањили ризик за купце.
Што се тиче недавних догађаја, Бетз потврђује да је Мицрософт посебно тражио од Гоогле-а да сарађује са њима и задржава детаље док поправци не буду дистрибуирани током Патцх-а у уторак. Гоогле је игнорисао захтев.
Иако се придржава Гоогле-овог најављеног временског распореда за објављивање, одлука се чини мање попут принципа и више као "готцха", а купци би могли патити као резултат.
Према Бетзу, јавно објављене рањивости доживе оркестриране нападе сајбер криминалаца, ан делују једва да се види када се питања приватно откривају путем ЦВД-а и закрпе пре него што информације постану јавни. Надаље, Бетз каже да нису све рањивости изједначене, што значи да ће временски оквир унутар којег се проблем закрпати овисити о његовој сложености.
Његов позив на сарадњу је гласан и јасан, а његови аргументи солидни. Размишљање да ниједан софтвер није савршен, јер су га направили једноставни људи који раде са сложеним системима. Бетз удара ноктом по глави када каже:
Оно што је исправно за Гоогле није увек добро за купце. Захтијевамо од Гоогле-а да заштити клијенте нашим заједничким примарним циљем.
Друго гледиште је то Гоогле има утврђену политику и не жели да уступи место изузецима. Ово није врста нефлексибилности коју бисте очекивали од ултра модерне компаније попут Гооглеа. Штавише, објављивање не само рањивости, већ и експлоатационог кода је неодговорно, с обзиром на то да би милион корисника могао бити погођен усаглашеним нападом.
Ако се ово поново догоди, шта можете учинити да заштитите свој систем?
Ни један софтвер никада неће бити безбедан од подвига од нула дана. Можете повећати сопствену безбедност усвајањем безбедносне хигијене здравог разума. Ово препоручује Мицрософт:
Охрабрујемо купце да задрже своје антивирусни софтвер Најбољи софтвер за рачунар за ваш Виндовс рачунарЖелите најбољи софтвер за ваш рачунар? Наша масовна листа сакупља најбоље и најсигурније програме за све потребе. Опширније савремен, инсталирајте све доступне безбедносне исправке 3 разлога зашто бисте требали покренути најновије сигурносне закрпе за Виндовс и ажурирањаКод који чини Виндовс оперативни систем садржи рупе, сигурносне петље, грешке, некомпатибилности или застареле елементе софтвера. Укратко, Виндовс није савршен, то сви знамо. Сигурносне закрпе и исправке исправљају рањивости ... Опширније и омогућити ватрени зид Најбољи софтвер за рачунар за ваш Виндовс рачунарЖелите најбољи софтвер за ваш рачунар? Наша масовна листа сакупља најбоље и најсигурније програме за све потребе. Опширније на свом рачунару.
Наша пресуда: Гоогле је требао сарађивати с Мицрософтом
Гоогле се придржавао произвољног рока, уместо да буде флексибилан и делује у најбољем интересу својих корисника. Могли су продужити грејс период за откривање рањивости, посебно након што је Мицрософт саопштио да су закрпе (скоро) спремне. Ако је Гооглеов племенити циљ да учини Интернет сигурнијим, они морају бити спремни да сарађују са другим компанијама.
У међувремену, Мицрософт би могао бацити више ресурса у развој закрпа. Неке 90 дана неки сматрају довољним временским оквиром. Због притиска компаније Гоогле, у ствари су потиснули закрпу месец дана раније него што је првобитно процењено. Скоро изгледа да првобитно нису довољно приоритизирали то питање.
Генерално, ако добављач софтвера сигнализира да раде на том проблему, истраживачи попут Гоогле-овог Пројецт Зеро тима требало би да сарађују и продуже грејс периоде. Задржавамо то ускоро закрпљена рањивост Корисници Виндовс-а: Пазите: имате озбиљан безбедносни проблем Опширније чини се да је тајна сигурнија од привлачења пажње хакера. Зар сигурност купаца не би требала бити главни приоритет неке компаније?
Шта мислиш? Шта би било боље решење или је Гоогле ипак урадио исправну ствар?
Имаге Цредитс: Чаробњак Виа Схуттерстоцк, Хакиран од стране вк1003мике преко Схуттерстоцк-а, Ред Ропе Мега Пикел преко Схуттерстоцка
Тина о потрошачкој технологији пише више од деценије. Има докторат природних наука, диплому из Немачке и докторат из Шведске. Њезина аналитичка позадина помогла јој је да се истакне као технолошки новинар у МакеУсеОф, где сада управља истраживањем и операцијама кључних речи.
