Advertentie
Google is niet te stoppen. Binnen minder dan drie weken onthulde Google in totaal vier zero day-kwetsbaarheden die van invloed waren op Windows, waarvan twee slechts enkele dagen voordat Microsoft klaar was om een patch uit te brengen. Microsoft was niet geamuseerd en te oordelen naar de reactie van Google, zullen waarschijnlijk meer van dergelijke gevallen volgen.
Is dit de manier waarop Google hun concurrentie leert om efficiënter te zijn? En hoe zit het met de gebruikers? Is het in ons belang dat Google zich strikt houdt aan willekeurige deadlines?
Waarom meldt Google Windows-kwetsbaarheden?
Project Zero, heeft een team van beveiligingsanalisten van Google onderzoek gedaan zero day exploits Wat is een Zero Day-kwetsbaarheid? [MakeUseOf Explains] Lees verder sinds 2014. Het project is opgericht nadat een parttime onderzoeksgroep verschillende softwarefouten had geïdentificeerd, waaronder de kritieke Heartbleed kwetsbaarheid Heartbleed - Wat kunt u doen om veilig te blijven? Lees verder .
In hun Aankondiging van Project Zero, Benadrukte Google dat hun hoogste prioriteit het beveiligen van hun eigen producten was. Aangezien Google niet in een vacuüm verkeert, strekt hun onderzoek zich uit tot alle software die hun klanten gebruiken.
Tot dusver heeft het team meer dan 200 bugs in verschillende producten geïdentificeerd, waaronder Adobe Reader, Flash, OS X, Linux en Windows. Elk beveiligingslek wordt alleen aan de softwareleverancier gemeld en krijgt een respijtperiode van 90 dagen, waarna het via de website openbaar wordt gemaakt Google Security Research-forum.
Deze bug is onderworpen aan een deadline van 90 dagen voor openbaarmaking. Als er 90 dagen verstrijken zonder een algemeen beschikbare patch, wordt het bugrapport automatisch zichtbaar voor het publiek.
Dat is wat er met Microsoft is gebeurd. Vier keer. Het eerste Windows-beveiligingslek (kwestie # 118) werd geïdentificeerd op 30 september 2014 en werd vervolgens gepubliceerd op 29 december 2014. Op 11 januari, slechts enkele dagen voordat Microsoft klaar was om een oplossing door te geven via Patch dinsdag Windows Update: alles wat u moet wetenIs Windows Update ingeschakeld op uw pc? Windows Update beschermt u tegen beveiligingsproblemen door Windows, Internet Explorer en Microsoft Office up-to-date te houden met de nieuwste beveiligingspatches en bugfixes. Lees verder , de tweede kwetsbaarheid (kwestie # 123) werd openbaar gemaakt en lanceerde een debat over de vraag of Google niet had kunnen wachten. Slechts enkele dagen later, nog twee kwetsbaarheden (kwestie # 128 & kwestie # 138) verscheen in de openbare database, waardoor de situatie verder escaleerde.
Wat gebeurde er achter de schermen?
Het eerste probleem (# 118) was een kwetsbaarheid voor het escaleren van kritieke bevoegdheden, waarvan werd aangetoond dat het van invloed was op Windows 8.1. Volgens The Hacker News, het "kan een hacker de inhoud aanpassen of zelfs de computers van slachtoffers volledig overnemen, waardoor miljoenen gebruikers kwetsbaar worden“. Google heeft geen communicatie met Microsoft bekendgemaakt over dit probleem.
Voor het tweede nummer (# 123) vroeg Microsoft om een extensie en toen Google dit weigerde, deden ze hun best om de patch een maand eerder uit te brengen. Dit waren de opmerkingen van James Forshaw:
Microsoft heeft bevestigd dat ze op schema zijn om in februari 2015 oplossingen voor deze problemen te bieden. Ze vroegen of dit een probleem zou opleveren met de deadline van 90 dagen. Microsoft werd meegedeeld dat de deadline van 90 dagen voor alle leveranciers en bugklassen is vastgesteld en dus niet kan worden verlengd. Verder werd hen meegedeeld dat de deadline van 90 dagen voor dit nummer op 11 januari 2015 afloopt.
Microsoft heeft patches uitgebracht voor beide problemen met update dinsdag in januari.
Met het derde probleem (# 128) moest Microsoft een patch uitstellen vanwege compatibiliteitsproblemen.
Microsoft heeft ons laten weten dat er een oplossing was gepland voor de patches van januari, maar dat deze moet worden verwijderd vanwege compatibiliteitsproblemen. Daarom wordt de oplossing nu verwacht in de patches van februari.
Hoewel Microsoft Google had laten weten dat ze aan het probleem werkten, maar moeilijkheden ondervond, ging Google door en publiceerde het beveiligingslek. Geen onderhandeling, geen genade.
Voor het laatste nummer (# 138) besloot Microsoft het niet te repareren. James Forshaw voegde het volgende commentaar toe:
Microsoft heeft geconcludeerd dat het probleem niet voldoet aan de lat van een beveiligingsbulletin. Ze stellen dat het van de kant van de aanvaller te veel controle zou vereisen en ze beschouwen groepsbeleidsinstellingen niet als een beveiligingsfunctie.
Is het gedrag van Google acceptabel?
Microsoft denkt van niet. Chris Betz, Senior Director van het Microsoft Security Research Center, roept op tot een grondige reactie een beter gecoördineerde openbaarmaking van kwetsbaarheden. Hij benadrukt dat Microsoft erin gelooft Gecoördineerde openbaarmaking van beveiligingslekken (CVD), een praktijk waarbij onderzoekers en bedrijven samenwerken aan kwetsbaarheden om het risico voor klanten te minimaliseren.
Betz bevestigt, met betrekking tot de recente gebeurtenissen, dat Microsoft Google specifiek heeft gevraagd met hen samen te werken en details achter te houden totdat de fixes werden verspreid tijdens Patch Tuesday. Google negeerde het verzoek.
Hoewel het volgen van de door Google aangekondigde tijdlijn voor openbaarmaking doorloopt, voelt de beslissing minder als principes en meer als een 'gotcha', met klanten die er mogelijk onder lijden.
Volgens Betz ervaren openbaar gemaakte kwetsbaarheden georkestreerde aanvallen van cybercriminelen, een handelen nauwelijks gezien wanneer kwesties privé worden onthuld via CVD en gepatcht voordat de informatie wordt openbaar. Verder zegt Betz dat niet alle kwetsbaarheden gelijk worden gemaakt, wat betekent dat de tijdlijn waarbinnen een probleem wordt gepatcht, afhangt van de complexiteit ervan.
Zijn oproep tot samenwerking is luid en duidelijk en zijn argumenten zijn solide. De weerspiegeling dat geen enkele software perfect is omdat deze is gemaakt door eenvoudige mensen die met complexe systemen werken, is vertederend. Betz slaat de spijker op zijn kop als hij zegt:
Wat goed is voor Google, is niet altijd geschikt voor klanten. We dringen er bij Google op aan om bescherming van klanten ons collectieve primaire doel te maken.
Het andere standpunt is dat Google heeft een vastgesteld beleid en wil geen plaats maken voor uitzonderingen. Dit is niet het soort inflexibiliteit dat je van een ultramodern bedrijf als Google zou verwachten. Bovendien is het publiceren van niet alleen de kwetsbaarheid, maar ook de exploitcode onverantwoord, aangezien miljoenen gebruikers geraakt zouden kunnen worden door een gezamenlijke aanval.
Als dit opnieuw gebeurt, wat kunt u dan doen om uw systeem te beschermen?
Geen enkele software is ooit veilig voor zero-day exploits. U kunt uw eigen veiligheid verhogen door een gezonde beveiligingshygiëne te hanteren. Dit is wat Microsoft aanbeveelt:
We moedigen klanten aan om hun te houden antivirus software De beste pc-software voor uw Windows-computerWilt u de beste pc-software voor uw Windows-computer? Onze enorme lijst bevat de beste en veiligste programma's voor alle behoeften. Lees verder actueel, installeer alle beschikbare beveiligingsupdates 3 redenen waarom u de nieuwste Windows-beveiligingspatches en -updates zou moeten gebruikenDe code waaruit het Windows-besturingssysteem bestaat, bevat gaten in de beveiliging, fouten, incompatibiliteit of verouderde software-elementen. Kortom, Windows is niet perfect, dat weten we allemaal. Beveiligingspatches en updates verhelpen de kwetsbaarheden ... Lees verder en schakel de firewall De beste pc-software voor uw Windows-computerWilt u de beste pc-software voor uw Windows-computer? Onze enorme lijst bevat de beste en veiligste programma's voor alle behoeften. Lees verder op hun computer.
Ons oordeel: Google had moeten samenwerken met Microsoft
Google hield vast aan zijn willekeurige deadline, in plaats van flexibel te zijn en in het belang van hun gebruikers te handelen. Ze hadden de respijtperiode kunnen verlengen om de kwetsbaarheden te onthullen, vooral nadat Microsoft had meegedeeld dat patches (bijna) klaar waren. Als het nobele doel van Google is om internet veiliger te maken, moeten ze bereid zijn samen te werken met andere bedrijven.
Ondertussen had Microsoft mogelijk meer middelen kunnen besteden aan het ontwikkelen van patches. Sommigen beschouwen 90 dagen als een voldoende tijdsbestek. Onder druk van Google hebben ze in feite één maand eerder een patch uitgebracht dan aanvankelijk was geraamd. Het lijkt er bijna op dat ze het probleem oorspronkelijk niet sterk genoeg hadden geprioriteerd.
Als de softwareleverancier aangeeft dat ze aan het probleem werken, moeten onderzoekers zoals het Project Zero-team van Google over het algemeen samenwerken en de respijtperioden verlengen. Binnenkort te blijven herstelde kwetsbaarheid Windows-gebruikers Let op: u heeft een ernstig beveiligingsprobleem Lees verder geheim lijkt veiliger dan de aandacht van hackers te trekken. Moet klantveiligheid niet de hoogste prioriteit zijn van een bedrijf?
Wat denk je? Wat zou een betere oplossing zijn geweest of heeft Google toch het juiste gedaan?
Afbeeldingscredits: Wizard Via Shutterstock, Gehackt door wk1003mike via Shutterstock, Red Rope van Mega Pixel via Shutterstock
Tina schrijft al meer dan een decennium over consumententechnologie. Ze heeft een doctoraat in de natuurwetenschappen, een diploma uit Duitsland en een MSc uit Zweden. Haar analytische achtergrond heeft haar geholpen uit te blinken als technologiejournalist bij MakeUseOf, waar ze nu trefwoordonderzoek en -activiteiten beheert.