Annons
Google kan inte stoppas. Inom mindre än tre veckor avslöjade Google totalt fyra sårbarheter med noll dag som drabbar Windows, två av dem bara några dagar innan Microsoft var redo att släppa en patch. Microsoft blev inte roade och bedömde efter Googles reaktion, fler sådana fall kommer sannolikt att följa.
Är det Googles sätt att lära ut deras konkurrens att vara mer effektiv? Och hur är det med användarna? Är Googles strikta efterlevnad av godtyckliga tidsfrister i vårt bästa intresse?
Varför rapporterar Google sårbarheter i Windows?
Projekt noll, ett team av Googles säkerhetsanalytiker, har forskat noll dag utnyttjar Vad är en sårbarhet i nolldag? [MakeUseOf Explains] Läs mer sedan 2014. Projektet grundades efter att en forskargrupp på deltid hade identifierat flera programvarufel, inklusive de kritiska Hjärtsatt sårbarhet Heartbleed - Vad kan du göra för att hålla dig säker? Läs mer .
I deras Projekt noll tillkännagivande, Google betonade att deras högsta prioritet var att göra sina egna produkter säkra. Eftersom Google inte fungerar i ett vakuum sträcker sig deras forskning till all mjukvara som deras kunder använder.
Hittills har teamet identifierat över 200 buggar i olika produkter, inklusive Adobe Reader, Flash, OS X, Linux och Windows. Varje sårbarhet rapporteras endast till mjukvaruförsäljaren och får en 90-dagars frihetsperiod, varefter den offentliggörs via Googles säkerhetsforskningsforum.
Detta fel är föremål för en tidsfrist på 90 dagar. Om det går 90 dagar utan ett stort tillgängligt program, kommer felrapporten automatiskt att bli synlig för allmänheten.
Det är vad som hände med Microsoft. Fyra gånger. Den första Windows-sårbarheten (nummer nr 118) identifierades den 30 september 2014 och publicerades därefter den 29 december 2014. Den 11 januari, bara några dagar innan Microsoft var redo att driva ut en fix via Lapp tisdag Windows Update: Allt du behöver vetaÄr Windows Update aktiverat på din dator? Windows Update skyddar dig mot säkerhetssårbarheter genom att hålla Windows, Internet Explorer och Microsoft Office uppdaterade med de senaste säkerhetsfixerna och felfixerna. Läs mer , den andra sårbarheten (nummer 123) offentliggjordes och inledde en debatt om Google inte kunde ha väntat. Bara några dagar senare har ytterligare två sårbarheter (nummer # 128 & nummer # 138) dök upp i den offentliga databasen och eskalerade situationen ytterligare.
Vad hände bakom kulisserna?
Den första utgåvan (# 118) var en kritisk sårbarhet för kritiska privilegier som visat sig påverka Windows 8.1. Enligt The Hacker News, den "kan göra det möjligt för en hackare att ändra innehållet eller till och med ta över offrens datorer helt och lämna miljoner användare sårbara“. Google avslöjade ingen kommunikation med Microsoft angående det här problemet.
För det andra numret (nr 123) bad Microsoft om en förlängning, och när Google förnekade det gjorde de ansträngningar för att släppa lappen en månad tidigare. Dessa var James Forshaws kommentarer:
Microsoft bekräftade att de är i mål att tillhandahålla korrigeringar för dessa problem i februari 2015. De frågade om detta skulle orsaka problem med tidsfristen på 90 dagar. Microsoft informerades om att 90-dagarsfristen är fast för alla leverantörer och felklasser och därför inte kan förlängas. Vidare informerades de om att 90-dagarsfristen för denna fråga löper ut den 11 januari 2015.
Microsoft släppte patchar för båda problemen med Update Tuesday i januari.
Med den tredje utgåvan (# 128) var Microsoft tvungen att försena en korrigeringsfil på grund av kompatibilitetsproblem.
Microsoft informerade oss om att en fix var planerad för januari-lapparna men måste dras på grund av kompatibilitetsproblem. Därför förväntas fixen nu i februari-lapparna.
Trots att Microsoft informerade Google om att de arbetade med frågan, men står inför svårigheter, fortsatte Google och publicerade sårbarheten. Ingen förhandling, ingen nåd.
För det senaste numret (# 138) beslutade Microsoft att inte fixa det. James Forshaw lade till följande kommentar:
Microsoft har kommit fram till att problemet inte uppfyller fältet i en säkerhetsbulletin. De säger att det skulle kräva för mycket kontroll från angriparens del och att de inte anser grupppolicyinställningar som en säkerhetsfunktion.
Är Googles beteende acceptabelt?
Microsoft tror inte det. I ett grundligt svar kräver Chris Betz, Senior Director för Microsoft Security Research Center en bättre samordnad avslöjande av sårbarhet. Han betonar att Microsoft tror på Koordinerad sårbarhetsmeddelande (CVD), en praxis där forskare och företag samarbetar om sårbarheter för att minimera risken för kunderna.
Beträffande de senaste händelserna bekräftar Betz att Microsoft specifikt bad Google att arbeta med dem och innehålla information tills fixar distribuerades under Patch Tuesday. Google ignorerade begäran.
Trots att man följer Googles annonserade tidslinje för avslöjande, känns beslutet mindre som principer och mer som en "gotcha", med kunder de som kan drabbas av detta.
Enligt Betz upplever offentligt utsatta sårbarheter orkesterade attacker från cyberbrottslingar, en agerar knappast när frågor lämnas ut privat genom CVD och lappas innan informationen blir offentlig. Vidare säger Betz att inte alla sårbarheter görs lika, vilket innebär att tidslinjen inom vilken ett problem korrigeras beror på dess komplexitet.
Hans samtal är högt och tydligt och hans argument är solida. Reflektionen om att ingen mjukvara är perfekt eftersom den är gjord av enkla människor som arbetar med komplexa system är en glädjande. Betz slår spiken på huvudet när han säger:
Det som är rätt för Google är inte alltid rätt för kunderna. Vi uppmanar Google att skydda kunderna till vårt gemensamma primära mål.
Den andra synvinkeln är det Google har en fastställd policy och vill inte vika för undantag. Detta är inte den typen av flexibilitet du kan förvänta dig av ett ultramodernt företag som Google. Dessutom är det inte bara att publicera sårbarheten utan också exploateringskoden med tanke på att miljoner användare kan drabbas av en samordnad attack.
Om detta händer igen, vad kan du göra för att skydda ditt system?
Ingen mjukvara kommer någonsin att vara säker från nolldagar. Du kan öka din egen säkerhet genom att använda säkerhetshygien för sunt förnuft. Så här rekommenderar Microsoft:
Vi uppmuntrar kunderna att behålla sitt Antivirus mjukvara Den bästa PC-programvaran för din Windows-datorVill du ha den bästa PC-programvaran för din Windows-dator? Vår massiva lista samlar de bästa och säkraste programmen för alla behov. Läs mer aktuellt, installera alla tillgängliga säkerhetsuppdateringar 3 skäl till varför du bör köra de senaste Windows-säkerhetsuppdateringarna och uppdateringarnaKoden som utgör Windows-operativsystemet innehåller hål i säkerhetsslingor, fel, inkompatibilitet eller föråldrade programelement. Kort sagt, Windows är inte perfekt, det vet vi alla. Säkerhetsuppdateringar och uppdateringar fixar sårbarheterna ... Läs mer och aktivera brandvägg Den bästa PC-programvaran för din Windows-datorVill du ha den bästa PC-programvaran för din Windows-dator? Vår massiva lista samlar de bästa och säkraste programmen för alla behov. Läs mer på deras dator.
Vår bedömning: Google borde ha samarbetat med Microsoft
Google höll fast vid sin godtyckliga tidsfrist snarare än att vara flexibel och agera i deras användares bästa. De kunde ha förlängt nådeperioden för att avslöja sårbarheterna, särskilt efter att Microsoft meddelat att patchar (nästan) var klara. Om Googles ädla mål är att göra Internet säkrare måste de vara redo att samarbeta med andra företag.
Samtidigt kunde Microsoft eventuellt ha kastat mer resurser på att utveckla patchar. 90 dagar betraktas som en tillräcklig tidsram av vissa. På grund av press från Google drev de i själva verket ut en lapp en månad tidigare än uppskattat ursprungligen. Det verkar nästan som om de inte prioriterade frågan högt nog ursprungligen.
I allmänhet, om mjukvaruleverantören signalerar att de arbetar med frågan, bör forskare som Googles Project Zero-team samarbeta och förlänga graden. Håller snart korrigerad sårbarhet Windows-användare Se upp: du har ett allvarligt säkerhetsproblem Läs mer hemlighet verkar vara säkrare än att locka hackares uppmärksamhet. Borde inte kundsäkerhet vara något företags högsta prioritet?
Vad tror du? Vad skulle ha varit en bättre lösning eller gjorde Google trots allt rätt?
Bildkrediter: trollkarl Via Shutterstock, Hackad av wk1003mike via Shutterstock, Red Rope av Mega Pixel via Shutterstock
Tina har skrivit om konsumentteknik i över ett decennium. Hon har en doktorsexamen i naturvetenskap, en diplom från Tyskland och en civilingenjör från Sverige. Hennes analytiska bakgrund har hjälpt henne att utmärka sig som teknikjournalist på MakeUseOf, där hon nu hanterar sökordforskning och verksamhet.