Annuncio pubblicitario
Google è inarrestabile. In meno di tre settimane, Google ha rivelato un totale di quattro vulnerabilità zero day che interessano Windows, due delle quali pochi giorni prima che Microsoft fosse pronta a rilasciare una patch. Microsoft non è stata divertita e a giudicare dalla reazione di Google, è probabile che seguiranno altri casi simili.
Questo modo di Google di insegnare alla propria concorrenza è più efficiente? E gli utenti? La stretta aderenza di Google a scadenze arbitrarie è nel nostro interesse?
Perché Google segnala vulnerabilità di Windows?
Project Zero, un team di analisti della sicurezza di Google, ha effettuato ricerche exploit zero day Che cos'è una vulnerabilità zero day? [MakeUseOf Explains] Leggi di più dal 2014. Il progetto è stato fondato dopo che un gruppo di ricerca part-time aveva identificato diversi bug del software, incluso quello critico Vulnerabilità Heartbleed Heartbleed - Cosa puoi fare per stare al sicuro? Leggi di più .
Nel loro Annuncio Project Zero
, Google ha sottolineato che la loro massima priorità era rendere sicuri i propri prodotti. Poiché Google non funziona nel vuoto, la sua ricerca si estende a qualsiasi software utilizzato dai propri clienti.Finora, il team ha identificato oltre 200 bug in vari prodotti, tra cui Adobe Reader, Flash, OS X, Linux e Windows. Ogni vulnerabilità viene segnalata solo al fornitore del software e riceve un periodo di tolleranza di 90 giorni, dopo di che viene resa pubblica tramite il Forum di ricerca sulla sicurezza di Google.
Questo errore è soggetto a una scadenza di divulgazione di 90 giorni. Se trascorrono 90 giorni senza una patch ampiamente disponibile, la segnalazione di bug diventerà automaticamente visibile al pubblico.
Questo è quello che è successo a Microsoft. Quattro volte. La prima vulnerabilità di Windows (numero 118) è stato identificato il 30 settembre 2014 ed è stato successivamente pubblicato il 29 dicembre 2014. L'11 gennaio, pochi giorni prima che Microsoft fosse pronta a inviare una correzione tramite Patch martedì Windows Update: tutto ciò che devi sapereWindows Update è abilitato sul tuo PC? Windows Update ti protegge dalle vulnerabilità della sicurezza mantenendo aggiornati Windows, Internet Explorer e Microsoft Office con le ultime patch di sicurezza e correzioni di bug. Leggi di più , la seconda vulnerabilità (numero 123) è stato reso pubblico, aprendo un dibattito sul fatto che Google non avrebbe potuto aspettare. Solo pochi giorni dopo, altre due vulnerabilità (numero 128 & numero # 138) è apparso sul database pubblico, aumentando ulteriormente la situazione.
Cosa è successo dietro le quinte?
Il primo problema (n. 118) era una vulnerabilità di escalation di privilegi critici, che influiva su Windows 8.1. Secondo Le notizie di Hacker, "potrebbe consentire a un hacker di modificare i contenuti o persino di assumere completamente il controllo dei computer delle vittime, lasciando vulnerabili milioni di utenti“. Google non ha rivelato alcuna comunicazione con Microsoft in merito a questo problema.
Per il secondo numero (n. 123), Microsoft ha chiesto un'estensione e, quando Google l'ha negata, hanno fatto sforzi per rilasciare la patch un mese prima. Questi erano i commenti di James Forshaw:
Microsoft ha confermato che sono in procinto di fornire soluzioni a questi problemi nel febbraio 2015. Hanno chiesto se ciò avrebbe causato un problema con la scadenza di 90 giorni. Microsoft è stata informata che la scadenza di 90 giorni è fissata per tutti i fornitori e le classi di bug e quindi non può essere estesa. Inoltre, sono stati informati che il termine di 90 giorni per questo numero scade l'11 gennaio 2015.
Microsoft ha rilasciato le patch per entrambi i problemi con l'aggiornamento martedì di gennaio.
Con il terzo problema (n. 128), Microsoft ha dovuto ritardare una patch a causa di problemi di compatibilità.
Microsoft ci ha informato che era stata pianificata una correzione per le patch di gennaio ma che doveva essere estratta a causa di problemi di compatibilità. Pertanto la correzione è ora prevista nelle patch di febbraio.
Anche se Microsoft ha informato Google che stavano lavorando al problema, ma affrontando difficoltà, Google è andato avanti e ha pubblicato la vulnerabilità. Nessuna negoziazione, nessuna pietà.
Per l'ultimo numero (n. 138), Microsoft ha deciso di non risolverlo. James Forshaw ha aggiunto il seguente commento:
Microsoft ha concluso che il problema non soddisfa la barra di un bollettino sulla sicurezza. Dichiarano che richiederebbe troppo controllo da parte dell'attaccante e non considerano le impostazioni dei criteri di gruppo come una funzionalità di sicurezza.
Il comportamento di Google è accettabile?
Microsoft non la pensa così. In una risposta esauriente, Chris Betz, direttore senior del Microsoft Security Research Center, chiede una divulgazione più coordinata delle vulnerabilità. Sottolinea che Microsoft ci crede Divulgazione coordinata della vulnerabilità (CVD), una pratica in cui ricercatori e aziende collaborano sulle vulnerabilità per ridurre al minimo il rischio per i clienti.
Per quanto riguarda gli eventi recenti, Betz conferma che Microsoft ha specificamente chiesto a Google di collaborare con loro e di nascondere i dettagli fino alla distribuzione delle correzioni durante la patch martedì. Google ha ignorato la richiesta.
Sebbene seguire la cronologia annunciata da Google per la divulgazione, la decisione sembra meno come dei principi e più come un "gotcha", con i clienti quelli che potrebbero soffrire di conseguenza.
Secondo Betz, le vulnerabilità divulgate pubblicamente subiscono attacchi orchestrati da criminali informatici, un agire a malapena quando i problemi vengono divulgati privatamente tramite CVD e modificati prima che le informazioni diventino pubblico. Inoltre Betz afferma che non tutte le vulnerabilità sono uguali, il che significa che la sequenza temporale entro la quale un problema viene corretto dipende dalla sua complessità.
La sua richiesta di collaborazione è forte e chiara e le sue argomentazioni sono solide. La riflessione che nessun software è perfetto perché prodotto da semplici umani che operano con sistemi complessi, è accattivante. Betz colpisce l'unghia sulla testa quando dice:
Ciò che è giusto per Google non è sempre giusto per i clienti. Esortiamo Google a rendere la protezione dei clienti il nostro obiettivo primario collettivo.
L'altro punto di vista è quello Google ha una politica stabilita e non vuole lasciare spazio alle eccezioni. Questo non è il tipo di inflessibilità che ti aspetteresti da un'azienda ultra moderna come Google. Inoltre, pubblicare non solo la vulnerabilità, ma anche il codice di exploit è irresponsabile, dato che milioni di utenti potrebbero essere colpiti da un attacco concertato.
Se ciò accade di nuovo, cosa puoi fare per proteggere il tuo sistema?
Nessun software sarà mai al sicuro dagli exploit zero day. Puoi aumentare la tua sicurezza adottando un'igiene della sicurezza di buon senso. Ecco cosa consiglia Microsoft:
Incoraggiamo i clienti a mantenere il loro programma antivirus Il miglior software per PC per il tuo computer WindowsDesideri il miglior software per PC per il tuo computer Windows? La nostra vasta lista raccoglie i programmi migliori e più sicuri per tutte le esigenze. Leggi di più aggiornato, installa tutti gli aggiornamenti di sicurezza disponibili 3 motivi per cui dovresti eseguire le ultime patch di sicurezza e gli aggiornamenti di WindowsIl codice che costituisce il sistema operativo Windows contiene buchi di sicurezza, errori, incompatibilità o elementi software obsoleti. In breve, Windows non è perfetto, lo sappiamo tutti. Patch e aggiornamenti di sicurezza risolvono le vulnerabilità ... Leggi di più e abilitare il firewall Il miglior software per PC per il tuo computer WindowsDesideri il miglior software per PC per il tuo computer Windows? La nostra vasta lista raccoglie i programmi migliori e più sicuri per tutte le esigenze. Leggi di più sul loro computer.
Il nostro verdetto: Google avrebbe dovuto collaborare con Microsoft
Google è rimasto fedele alla sua scadenza arbitraria, anziché essere flessibile e agire nel migliore interesse dei propri utenti. Avrebbero potuto prolungare il periodo di tolleranza per rivelare le vulnerabilità, soprattutto dopo che Microsoft ha comunicato che le patch erano (quasi) pronte. Se il nobile obiettivo di Google è di rendere Internet più sicuro, devono essere pronti a collaborare con altre società.
Nel frattempo, Microsoft avrebbe potuto gettare più risorse nello sviluppo di patch. 90 giorni sono considerati un periodo di tempo sufficiente da alcuni. A causa delle pressioni di Google, in effetti hanno eliminato una patch un mese prima di quanto inizialmente stimato. Sembra quasi che non abbiano dato la priorità al problema in modo abbastanza originale in origine.
In generale, se il fornitore del software segnala che stanno lavorando al problema, i ricercatori come il team Project Zero di Google dovrebbero collaborare ed estendere i periodi di tolleranza. Avere presto vulnerabilità patchata Gli utenti di Windows fanno attenzione: hai un serio problema di sicurezza Leggi di più il segreto sembra essere più sicuro che attirare l'attenzione degli hacker. La sicurezza dei clienti non dovrebbe essere la massima priorità di qualsiasi azienda?
Cosa ne pensi? Quale sarebbe stata una soluzione migliore o Google ha fatto la cosa giusta dopo tutto?
Crediti immagine: procedura guidata Via Shutterstock, Attaccato da wk1003mike tramite Shutterstock, Red Rope di Mega Pixel via Shutterstock
Tina ha scritto sulla tecnologia di consumo per oltre un decennio. Ha conseguito un dottorato in scienze naturali, un diploma tedesco e un master in Svezia. Il suo background analitico l'ha aiutata a eccellere come giornalista tecnologico presso MakeUseOf, dove ora gestisce la ricerca e le operazioni di parole chiave.