Reklāma
Google ir neapturams. Nepilnu trīs nedēļu laikā Google atklāja pavisam četras nulles dienas ievainojamības, kas ietekmē Windows, divas no tām tikai dažas dienas pirms Microsoft bija gatavs izlaist ielāpu. Microsoft nebija uzjautrināts, un, spriežot pēc Google reakcijas, domājams, ka sekos vairāk šādu gadījumu.
Vai šis Google veids ir iemācīt viņu konkurencei būt efektīvākai? Un kā ar lietotājiem? Vai Google interesēs ir stingri ievērot patvaļīgus termiņus?
Kāpēc Google ziņo par Windows ievainojamībām?
Projekta nulle, Google drošības analītiķu komanda, veic pētījumu nulle dienu izmanto Kas ir nulles dienas ievainojamība? [MakeUseOf skaidrojumi] Lasīt vairāk kopš 2014. gada. Projekts tika dibināts pēc tam, kad nepilna laika pētījumu grupa bija identificējusi vairākas programmatūras kļūdas, tostarp kritiskās Sirdsdarbības neaizsargātība Sirdsdarbība - ko jūs varat darīt, lai saglabātu drošību? Lasīt vairāk .
Viņos Projekta nulles paziņojums, Google uzsvēra, ka viņu galvenā prioritāte bija padarīt savus produktus drošus. Tā kā Google nedarbojas vakuumā, viņu pētījumi attiecas uz jebkuru programmatūru, ko izmanto viņu klienti.
Līdz šim komanda ir identificējusi vairāk nekā 200 kļūdu dažādos produktos, ieskaitot Adobe Reader, Flash, OS X, Linux un Windows. Par katru ievainojamību tiek ziņots tikai programmatūras pārdevējam, un tas saņem 90 dienu labvēlības periodu, pēc kura tā tiek publiskota, izmantojot Google drošības pētījumu forums.
Šai kļūdai ir noteikts 90 dienu termiņš. Ja paiet 90 dienas bez plaši pieejama ielāpa, ziņojums par kļūdu automātiski kļūs redzams sabiedrībai.
Tas notika ar Microsoft. Četras reizes. Pirmā Windows ievainojamība (jautājums Nr. 118) tika identificēts 2014. gada 30. septembrī un vēlāk tika publicēts 2014. gada 29. decembrī. 11. janvārī, tikai dažas dienas pirms Microsoft bija gatavs ieviest labojumu, izmantojot Patch otrdiena Windows atjaunināšana: viss, kas jums jāzinaVai datorā ir iespējota Windows atjaunināšana? Windows atjauninājums aizsargā jūs no drošības ievainojamībām, atjauninot Windows, Internet Explorer un Microsoft Office ar jaunākajiem drošības ielāpiem un kļūdu labojumiem. Lasīt vairāk , otrā ievainojamība (izdošanas Nr.123) tika publiskots, uzsākot debates par to, vai Google nebūtu varējis gaidīt. Tikai pēc dažām dienām vēl divas ievainojamības (izdošana # 128 & izdevums # 138) parādījās publiskajā datu bāzē, eskalējot situāciju vēl vairāk.
Kas notika aiz ainas?
Pirmais jautājums (Nr. 118) bija kritiska privilēģiju saasināšanās ievainojamība, kas, kā pierādīts, ietekmē Windows 8.1. Saskaņā ar Hakeru ziņas, tas “varētu ļaut hakerim mainīt saturu vai pat pilnībā pārņemt upuru datorus, miljoniem lietotāju atstājot neaizsargātus“. Google neatklāja nekādu saziņu ar Microsoft par šo problēmu.
Otrajam numuram (# 123) Microsoft lūdza pagarinājumu, un, kad Google to noraidīja, viņi centās mēnesi agrāk atbrīvot plāksteri. Šie bija Džeimsa Forshava komentāri:
Microsoft apstiprināja, ka viņi ir paredzējuši šo problēmu novēršanu nodrošināt 2015. gada februārī. Viņi vaicāja, vai tas rada problēmas ar 90 dienu termiņu. Microsoft tika informēts, ka visiem pārdevējiem un kļūdu klasēm ir noteikts 90 dienu termiņš, tāpēc to nevar pagarināt. Turklāt viņus informēja, ka 90 dienu termiņš šim jautājumam beidzas 2015. gada 11. janvārī.
Microsoft izlaida labojumus abiem jautājumiem ar atjaunināšanas otrdienu janvārī.
Ar trešo numuru (Nr. 128) korporācijai Microsoft nācās atlikt ielāpu savietojamības problēmu dēļ.
Microsoft mūs informēja, ka janvāra ielāpus bija paredzēts labot, taču tas ir jānovērš saderības problēmu dēļ. Tāpēc labojums tagad tiek gaidīts februāra ielāgos.
Kaut arī Microsoft informēja Google, ka viņi strādā pie šīs problēmas, taču, saskaroties ar grūtībām, Google devās uz priekšu un publicēja ievainojamību. Nav sarunu, nav žēlsirdības.
Par pēdējo numuru (Nr. 138) Microsoft nolēma to labot. James Forshaw pievienoja šādu komentāru:
Microsoft ir secinājuši, ka problēma neatbilst drošības biļetei. Viņi paziņo, ka no uzbrucēja puses būs nepieciešama pārāk liela kontrole, un viņi neuzskata grupas politikas iestatījumus par drošības līdzekli.
Vai Google rīcība ir pieņemama?
Microsoft tā nedomā. Pareizā atbildē aicina Chris Betz, Microsoft drošības pētījumu centra vecākais direktors labāk koordinēta neaizsargātības atklāšana. Viņš uzsver, ka Microsoft tic Koordinēta ievainojamības atklāšana (CVD) - prakse, kurā pētnieki un uzņēmumi sadarbojas ar ievainojamībām, lai mazinātu risku klientiem.
Attiecībā uz nesenajiem notikumiem Betz apstiprina, ka Microsoft īpaši lūdza Google sadarboties ar viņiem un ieturēt informāciju līdz brīdim, kad labojumi tika izplatīti Patch otrdienas laikā. Google ignorēja pieprasījumu.
Lai arī sekojot Google paziņotajam informācijas atklāšanas termiņam, lēmums jūtas mazāk līdzīgs principiem un drīzāk kā “gotcha”, jo klienti ir tie, kuri var ciest.
Pēc Betza teiktā, publiski atklātās neaizsargātības dēļ notiek kibernoziedznieku organizēti uzbrukumi, an rīkojieties tikpat kā nemanot, kad problēmas tiek atklātas privāti caur CVD un izlabotas, pirms informācija kļūst publiski. Tālāk Betzs saka, ka ne visas ievainojamības tiek pielīdzinātas, kas nozīmē, ka laika grafiks, kurā problēma tiek izlabota, ir atkarīgs no tā sarežģītības.
Viņa aicinājums sadarboties ir skaļš un skaidrs, un viņa argumenti ir pamatoti. Pārdomas par to, ka neviena programmatūra nav perfekta, jo to ir izstrādājuši vienkārši cilvēki, kas darbojas ar sarežģītām sistēmām, ir satraucošs. Becs sit pa galvu ar naglu, kad saka:
Tas, kas ir piemērots Google, ne vienmēr ir piemērots klientiem. Mēs aicinām Google padarīt klientu aizsardzību par mūsu galveno mērķi.
Otrs viedoklis ir tāds Google ir noteikta politika un nevēlas ļauties izņēmumiem. Tas nav tāds neelastīgums, kādu jūs varētu gaidīt no tik moderna uzņēmuma kā Google. Turklāt ne tikai ievainojamības, bet arī izmantošanas koda publicēšana ir bezatbildīga, ņemot vērā to, ka miljoniem lietotāju varētu nokļūt saskaņotā uzbrukumā.
Ja tas notiek atkal, ko jūs varat darīt, lai aizsargātu savu sistēmu?
Neviena programmatūra nekad nebūs droša no nulles dienas ekspluatācijas. Jūs varat palielināt savu drošību, pieņemot veselā saprāta drošības higiēnu. Tas ir tas, ko Microsoft iesaka:
Mēs mudinām klientus saglabāt savu pretvīrusu programmatūra Labākā datora programmatūra jūsu Windows datoramVai vēlaties labāko datoru programmatūru savam Windows datoram? Mūsu lielajā sarakstā ir apkopotas labākās un drošākās programmas visām vajadzībām. Lasīt vairāk aktuāla, instalējiet visus pieejamos drošības atjauninājumus 3 iemesli, kāpēc jums vajadzētu palaist jaunākos Windows drošības ielāpus un atjauninājumusKods, kas veido Windows operētājsistēmu, satur drošības cilpas caurumus, kļūdas, nesaderību vai novecojušus programmatūras elementus. Īsāk sakot, Windows nav perfekts, to mēs visi zinām. Drošības ielāpi un atjauninājumi novērš ievainojamības ... Lasīt vairāk un iespējot ugunsmūris Labākā datora programmatūra jūsu Windows datoramVai vēlaties labāko datoru programmatūru savam Windows datoram? Mūsu lielajā sarakstā ir apkopotas labākās un drošākās programmas visām vajadzībām. Lasīt vairāk viņu datorā.
Mūsu spriedums: Google vajadzēja sadarboties ar Microsoft
Google pieturējās pie sava patvaļīgā termiņa, tā vietā, lai būtu elastīgs un rīkotos savu lietotāju interesēs. Viņi varēja pagarināt labvēlības periodu, lai atklātu ievainojamības, it īpaši pēc tam, kad Microsoft paziņoja, ka ielāpi ir (gandrīz) gatavi. Ja Google cēlais mērķis ir padarīt internetu drošāku, viņiem jābūt gataviem sadarboties ar citiem uzņēmumiem.
Tikmēr Microsoft, iespējams, būtu izlicis vairāk resursu, lai izstrādātu ielāpus. Daži uzskata, ka 90 dienas ir pietiekams laika posms. Google spiediena dēļ viņi faktiski izlika vienu plāksteri mēnesi agrāk, nekā sākotnēji tika lēsts. Izskatās, ka viņi sākotnēji šai problēmai nav piešķīruši prioritāti.
Parasti, ja programmatūras piegādātājs paziņo, ka strādā pie problēmas, pētniekiem, piemēram, Google Project Zero komandai, vajadzētu sadarboties un pagarināt labvēlības periodus. Turpinot drīz būt ielāpota ievainojamība Windows lietotāji piesargāties: jums ir radusies nopietna drošības problēma Lasīt vairāk slepens šķiet drošāks par hakeru uzmanības piesaistīšanu. Vai klientu drošībai nevajadzētu būt kāda uzņēmuma galvenajai prioritātei?
Ko tu domā? Kāds būtu bijis labāks risinājums, vai galu galā Google rīkojās pareizi?
Attēlu kredīti: Vednis Caur Shutterstock, Uzlauzts wk1003mike caur Shutterstock, Mega Pikseļa sarkana virve, izmantojot Shutterstock
Tīna vairāk nekā desmit gadus ir rakstījusi par patērētāju tehnoloģijām. Viņai ir doktora grāds dabaszinātnēs, diploms no Vācijas un maģistra grāds no Zviedrijas. Viņas analītiskā pieredze palīdzēja viņai izcelties kā tehnoloģiju žurnālistei vietnē MakeUseOf, kur viņa tagad pārvalda atslēgvārdu izpēti un operācijas.
