Google deve anunciar vulnerabilidades antes que eles foram corrigidos?
Google é imparável. Em menos de três semanas, o Google revelou um total de quatro de zero vulnerabilidades dia que afetam o Windows, dois deles poucos dias antes de a Microsoft estava pronto para lançar um patch. Microsoft não achou graça e, a julgar pela reação do Google, mais esses casos são propensos a seguir.
Conteúdo
- Por que o google reportando vulnerabilidades do windows?
- Video: lgr tech tales - the tragedy of eagle computer
- O que aconteceu nos bastidores?
- Video: reina isabel, cristo negro y la cábala 777 de las falsas banderas de berlín, turquía y jerusalen
- É o comportamento do google aceitável?
- Se isso acontecer novamente, o que você pode fazer para proteger seu sistema?
- Nosso veredicto: google deve ter cooperado com microsoft
É este o caminho do Google de ensinar a sua concorrência para ser mais eficiente? E sobre os usuários? É estrita observância do Google para prazos arbitrários no nosso melhor interesse?
Por que o Google Reportando vulnerabilidades do Windows?
Project Zero, uma equipe de analistas de segurança do Google, vem pesquisando exploits de dia zero desde 2014. O projeto foi fundada depois de um grupo de pesquisa em tempo parcial tinha identificado vários bugs de software, incluindo a crítica vulnerabilidade heartbleed.O que é uma vulnerabilidade de Dia Zero? [MakeUseOf Explica]O que é uma vulnerabilidade de Dia Zero? [MakeUseOf Explica]consulte Mais informação
Em seu anúncio Project Zero, Google sublinhou que a sua prioridade era fazer seus próprios produtos de seguro. Desde que o Google não está operando em um vácuo, a sua investigação se estende a qualquer software seus clientes estão usando.
Até agora, a equipe identificou mais de 200 bugs em vários produtos, incluindo Adobe Reader, Flash, OS X, Linux e Windows. Cada vulnerabilidade é relatado para apenas o fornecedor de software e recebe um período de carência de 90 dias, após o qual é tornado público através do fórum de pesquisa de segurança do Google.
Video: LGR Tech Tales - The Tragedy of Eagle Computer
Este bug está sujeito a um prazo de divulgação de 90 dias. Se 90 dias transcorrer sem um patch amplamente disponível, então o relatório de bug se tornará automaticamente visíveis para o público.
Isso é o que aconteceu com a Microsoft. Quatro vezes. A primeira vulnerabilidade do Windows (edição nº 118) foi identificado em 30 de setembro, 2014, e foi posteriormente publicado em 29 de dezembro de 2014. Em 11 de janeiro, poucos dias antes de a Microsoft estava pronto para empurrar para fora uma correção via patch Tuesday, A segunda vulnerabilidade (edição nº 123) foi tornado público, o lançamento de um debate sobre se o Google não poderia ter esperado. Apenas alguns dias depois, mais duas vulnerabilidades (edição nº 128 & edição # 138) apareceu no banco de dados público, escalada ainda mais a situação.Windows Update: Tudo Que Você Precisa SaberWindows Update: Tudo Que Você Precisa SaberÉ Windows Update habilitado no seu PC? Windows Update protege contra vulnerabilidades de segurança, mantendo o Windows, Internet Explorer e Microsoft Office up-to-date com as últimas correções de segurança e correções de bugs.consulte Mais informação
O que aconteceu nos bastidores?
O primeiro número (# 118) era uma vulnerabilidade de elevação de privilégios crítica, demonstrado que afetam o Windows 8.1. De acordo com The Hacker News, ele “poderia permitir que um hacker modificar o conteúdo ou mesmo para assumir computadores das vítimas completamente, deixando milhões de usuários vulneráveis“. Google não revelou qualquer comunicação com a Microsoft sobre este assunto.
Para a segunda edição (# 123), a Microsoft solicitou uma prorrogação, e quando o Google negou isso, eles fizeram esforços para liberar o patch no mês anterior. Estes foram os comentários de James Forshaw:
Microsoft confirmou que eles estão no alvo para fornecer correções para estas questões em Fevereiro de 2015. Eles perguntaram se isso iria causar um problema com o prazo de 90 dias. Microsoft foram informados de que o prazo de 90 dias é fixo para todos os fornecedores e classes de bugs e assim não pode ser prorrogado. Além disso eles foram informados de que o prazo de 90 dias para esta questão expira no 11 de janeiro de 2015.
Microsoft lançou patches para ambos os problemas com atualização de terça-feira em janeiro.
Com a terceira questão (# 128), a Microsoft teve de adiar uma correção, devido a problemas de compatibilidade.
Microsoft nos informou que uma correção foi planejado para os patches de janeiro, mas tem que ser puxado devido a problemas de compatibilidade. Portanto, a correção está agora prevista para os patches de fevereiro.
Video: Reina Isabel, Cristo NEGRO y la cábala 777 de las falsas banderas de Berlín, Turquía y Jerusalen
Embora a Microsoft informou Google estavam trabalhando sobre a questão, mas enfrenta dificuldades, o Google foi em frente e publicou a vulnerabilidade. Nenhuma negociação, nenhuma piedade.
Para a última edição (nº 138), a Microsoft decidiu não corrigi-lo. James Forshaw acrescentou o seguinte comentário:
Microsoft concluíram que a questão não cumprir o bar de um boletim de segurança. Eles afirmam que isso exigiria muito controle da parte do atacante e eles não consideram definições de política de grupo como um recurso de segurança.
É o comportamento do Google aceitável?
A Microsoft não penso assim. Em uma resposta completa, Chris Betz, diretor sênior do Centro de Pesquisa de Segurança da Microsoft, exige uma vulnerabilidade de divulgação de melhor coordenada. Ele enfatiza que a Microsoft acredita em Coordinated Vulnerability Disclosure (CVD), uma prática em que pesquisadores e empresas colaboram em vulnerabilidades para minimizar os riscos para os clientes.
Em relação aos recentes acontecimentos, Betz confirma que Microsoft especificamente pediu ao Google para trabalhar com eles e reter detalhes até que as correções foram distribuídos durante o Patch Tuesday. Google ignorou o pedido.
Embora através do seguinte mantém a linha do tempo anunciada pela Google para a divulgação, a decisão sente menos como princípios e mais como uma “pegadinha”, com os clientes os únicos que podem sofrer como resultado.
De acordo com Betz, vulnerabilidades divulgadas publicamente experiência ataques orquestrados de criminosos, um ato mal visto quando as questões são divulgadas de forma privada através de CVD e remendado antes que as informações se torna público. Além disso Betz diz, nem todas as vulnerabilidades são iguais, ou seja, a linha do tempo em que um problema fica remendado depende de sua complexidade.
Seu chamado para a colaboração é alta e clara e os seus argumentos são sólidos. A reflexão que nenhum software é perfeito porque é feito por seres humanos simples operando com sistemas complexos, é cativante. Betz bate o prego na cabeça quando ele diz:
O que é certo para o Google nem sempre é bom para os clientes. Instamos Google para fazer protecção dos clientes o nosso principal objetivo coletivo.
O outro ponto de vista é que o Google tem uma política estabelecida e não quer dar lugar a exceções. Este não é o tipo de inflexibilidade que você esperaria de uma companhia de ultra moderno como o Google. Além disso, a publicação não só a vulnerabilidade, mas também o código de exploração é irresponsável, dado que milhões de usuários poderia ser atingido por um ataque concertado.
Se isso acontecer novamente, o que você pode fazer para proteger seu sistema?
Nenhum software já estarão a salvo de exploits de dia zero. Você pode aumentar sua própria segurança através da adopção de uma higiene de segurança de senso comum. Isto é o que a Microsoft recomenda:
Nós incentivar os clientes a manter a sua software anti-vírus atualizado, Instale todas as atualizações de segurança disponíveis e permitir que o firewall em seu computador.O Software Best WindowsO Software Best WindowsWindows está nadando em um mar de aplicativos gratuitos. Quais os que você pode confiar e quais são os melhores? Se você está inseguro ou precisa resolver uma tarefa específica, consulte esta lista.consulte Mais informação
Nosso Veredicto: Google deve ter cooperado com Microsoft
Google preso ao seu prazo arbitrário, ao invés de ser flexível e de agir no melhor interesse de seus usuários. Eles poderiam ter estendido o período de carência para revelar as vulnerabilidades, especialmente depois que a Microsoft comunicou que os patches foram (quase) pronto. Se nobre objetivo do Google é tornar a Internet mais segura, eles devem estar prontos a cooperar com outras empresas.
Enquanto isso, a Microsoft poderia ter jogado mais recursos à manchas em desenvolvimento. 90 dias é considerado um período de tempo suficiente por alguns. Devido à pressão do Google, eles fizeram na verdade empurrar um remendo para fora um mês mais cedo do que o estimado inicialmente. Parece quase como se não priorizar a questão altamente suficiente originalmente.
Geralmente, se os sinais de fornecedor de software que eles estão trabalhando sobre a questão, pesquisadores como equipe de Project Zero do Google devem cooperar e estender prazos de carência. Manter um logo para ser vulnerabilidade corrigida segredo parece ser mais seguro do que atrair a atenção dos hackers. segurança do cliente não deve ser prioridade de qualquer empresa?Utilizadores do Windows Cuidado: você tem um problema de segurança sério Utilizadores do Windows Cuidado: você tem um problema de segurança sério consulte Mais informação
O que você acha? O que teria sido uma solução melhor ou que o Google faça a coisa certa, afinal de contas?