Google dovrebbe annunciare vulnerabilità prima che siano state cancellate?
Google è inarrestabile. In meno di tre settimane, Google ha rivelato un totale di quattro vulnerabilità zero day che interessano Windows, due dei quali pochi giorni prima che Microsoft fosse pronta a rilasciare una patch. Microsoft non è stata divertita e, a giudicare dalla reazione di Google, è probabile che seguiranno altri casi simili.
È questo il modo in cui Google insegna alla concorrenza per essere più efficiente? E gli utenti? La stretta adesione di Google alle scadenze arbitrarie è nel nostro migliore interesse?
Perché Google segnala le vulnerabilità di Windows?
Project Zero, un team di analisti della sicurezza di Google, ha fatto ricerche sugli exploit zero day Cos'è una vulnerabilità Zero Day? [MakeUseOf Explains] Che cos'è una vulnerabilità Zero Day? [MakeUseOf Explains] Leggi di più dal 2014. Il progetto è stato fondato dopo che un gruppo di ricerca part-time aveva identificato diversi bug software, tra cui la vulnerabilità fondamentale Heartbleed Heartbleed - Che cosa puoi fare per restare al sicuro? Heartbleed: cosa puoi fare per restare al sicuro? Leggi di più .
Nell'annuncio di Project Zero, Google ha sottolineato che la loro priorità principale era rendere sicuri i propri prodotti. Dal momento che Google non opera nel vuoto, la loro ricerca si estende a qualsiasi software utilizzato dai clienti.
Finora, il team ha identificato oltre 200 bug in vari prodotti, tra cui Adobe Reader, Flash, OS X, Linux e Windows. Ogni vulnerabilità viene segnalata al solo fornitore del software e riceve un periodo di tolleranza di 90 giorni, dopo di che viene reso pubblico tramite il forum di Google Security Research..
Questo bug è soggetto a una scadenza di divulgazione di 90 giorni. Se trascorrono 90 giorni senza una patch ampiamente disponibile, il bug report diventerà automaticamente visibile al pubblico.
Questo è quello che è successo a Microsoft. Quattro volte. La prima vulnerabilità di Windows (numero 118) è stata identificata il 30 settembre 2014 e successivamente è stata pubblicata il 29 dicembre 2014. L'11 gennaio, pochi giorni prima che Microsoft fosse pronta a inviare una correzione tramite Patch Tuesday Windows Update: Tutto ciò che serve sapere l'aggiornamento di Windows: tutto quello che c'è da sapere Windows Update è abilitato sul tuo PC? Windows Update ti protegge dalle vulnerabilità della sicurezza mantenendo Windows, Internet Explorer e Microsoft Office aggiornati con le ultime patch di sicurezza e correzioni di bug. Per saperne di più, la seconda vulnerabilità (numero 123) è stata resa pubblica, avviando un dibattito sull'eventuale attesa di Google. Solo pochi giorni dopo, altre due vulnerabilità (numero # 128 e numero 138) apparivano nel database pubblico, intensificando ulteriormente la situazione.
Cosa è successo dietro le quinte?
Il primo problema (n. 118) era una vulnerabilità critica di escalation dei privilegi, che si verificava in Windows 8.1. Secondo The Hacker News, è così “potrebbe consentire a un hacker di modificare i contenuti o addirittura di impossessarsi completamente dei computer delle vittime, lasciando vulnerabili milioni di utenti“. Google non ha rivelato alcuna comunicazione con Microsoft in merito a questo problema.
Per il secondo numero (n. 123), Microsoft ha chiesto un'estensione e, quando Google lo ha negato, ha compiuto sforzi per rilasciare la patch un mese prima. Questi erano i commenti di James Forshaw:
Microsoft ha confermato che sono sul bersaglio per fornire soluzioni a questi problemi nel febbraio 2015. Hanno chiesto se ciò avrebbe causato un problema con la scadenza dei 90 giorni. Microsoft è stata informata che la scadenza di 90 giorni è stata fissata per tutti i fornitori e le classi di bug e quindi non può essere estesa. Inoltre sono stati informati che il termine di 90 giorni per questo problema scade l'11 gennaio 2015.
Microsoft ha rilasciato patch per entrambi i problemi con l'aggiornamento di martedì di gennaio.
Con il terzo numero (# 128), Microsoft ha dovuto posticipare una patch a causa di problemi di compatibilità.
Microsoft ci ha informato che era stata pianificata una correzione per le patch di gennaio, ma è necessario eseguire il pull a causa di problemi di compatibilità. Pertanto la correzione è ora prevista nelle patch di febbraio.
Anche se Microsoft ha informato Google che stavano lavorando al problema, ma con difficoltà, Google è andato avanti e ha pubblicato la vulnerabilità. Nessuna trattativa, nessuna pietà.
Per l'ultimo numero (n. 138), Microsoft ha deciso di non risolverlo. James Forshaw ha aggiunto il seguente commento:
Microsoft ha concluso che il problema non soddisfa la barra di un bollettino sulla sicurezza. Affermano che richiederebbe un controllo eccessivo da parte dell'aggressore e non considerano le impostazioni dei criteri di gruppo come funzionalità di sicurezza.
Il comportamento di Google è accettabile?
Microsoft non la pensa così. Con una risposta approfondita, Chris Betz, Senior Director del Microsoft Security Research Center, chiede una divulgazione delle vulnerabilità più coordinata. Sottolinea che Microsoft crede in Coordinated Vulnerability Disclosure (CVD), una pratica in cui ricercatori e aziende collaborano sulle vulnerabilità per minimizzare il rischio per i clienti.
Per quanto riguarda gli eventi recenti, Betz conferma che Microsoft ha chiesto espressamente a Google di lavorare con loro e di nascondere i dettagli fino a quando le correzioni non sono state distribuite durante il Patch Tuesday. Google ha ignorato la richiesta.
Anche se in seguito continua a rispettare la tempistica annunciata da Google per la divulgazione, la decisione si sente meno come principi e più simile a “Gotcha”, con i clienti quelli che potrebbero soffrire di conseguenza.
Secondo Betz, le vulnerabilità rivelate pubblicamente provano attacchi orchestrati da criminali informatici, un atto appena visto quando le questioni vengono divulgate privatamente tramite CVD e corrette prima che le informazioni diventino pubbliche. Inoltre, afferma Betz, non tutte le vulnerabilità sono rese uguali, il che significa che la linea temporale entro cui un problema viene risolto dipende dalla sua complessità.
La sua richiesta di collaborazione è forte e chiara e le sue argomentazioni sono solide. La riflessione che nessun software è perfetto perché è fatta da semplici umani che operano con sistemi complessi, è accattivante. Betz colpisce il chiodo sulla testa quando dice:
Ciò che è giusto per Google non è sempre giusto per i clienti. Esortiamo Google a proteggere i clienti dal nostro obiettivo primario collettivo.
L'altro punto di vista è che Google ha una politica consolidata e non vuole lasciare il posto alle eccezioni. Questo non è il tipo di inflessibilità che ti aspetteresti da un'azienda ultra moderna come Google. Inoltre, pubblicare non solo la vulnerabilità, ma anche il codice di exploit è irresponsabile, dato che milioni di utenti potrebbero essere colpiti da un attacco concertato.
Se dovesse succedere di nuovo, cosa puoi fare per proteggere il tuo sistema?
Nessun software sarà mai al sicuro dagli exploit zero day. È possibile aumentare la propria sicurezza adottando un'igiene di sicurezza di buon senso. Questo è ciò che Microsoft consiglia:
Incoraggiamo i clienti a mantenere il loro software anti-virus Il miglior software Windows Il miglior software Windows Windows sta nuotando in un mare di applicazioni gratuite. Di quali puoi fidarti e quali sono i migliori? Se non sei sicuro o hai bisogno di risolvere un compito specifico, consulta questo elenco. Per saperne di più aggiornati, installa tutti gli aggiornamenti di sicurezza disponibili 3 Ragioni per le quali dovresti eseguire le ultime patch di sicurezza e aggiornamenti di Windows 3 Ragioni per le quali dovresti eseguire le ultime patch di sicurezza e aggiornamenti di Windows Il codice che costituisce il sistema operativo Windows contiene sicurezza loop, errori, incompatibilità o elementi software obsoleti. In breve, Windows non è perfetto, lo sappiamo tutti. Le patch di sicurezza e gli aggiornamenti risolvono le vulnerabilità ... Leggi di più e attiva il firewall Il miglior software Windows Il miglior software Windows Windows sta nuotando in un mare di applicazioni gratuite. Di quali puoi fidarti e quali sono i migliori? Se non sei sicuro o hai bisogno di risolvere un compito specifico, consulta questo elenco. Maggiori informazioni sul loro computer.
Il nostro verdetto: Google dovrebbe collaborare con Microsoft
Google ha mantenuto la sua scadenza arbitraria, anziché essere flessibile e agire nel migliore interesse dei propri utenti. Potrebbero aver esteso il periodo di tolleranza per rivelare le vulnerabilità, specialmente dopo che Microsoft ha comunicato che le patch erano (quasi) pronte. Se il nobile obiettivo di Google è rendere Internet più sicuro, devono essere pronti a collaborare con altre società.
Nel frattempo, Microsoft potrebbe aver gettato più risorse nello sviluppo di patch. 90 giorni sono considerati da alcuni un intervallo di tempo sufficiente. A causa delle pressioni di Google, hanno infatti spinto una patch fuori un mese prima rispetto a quanto stimato inizialmente. Sembra quasi che inizialmente non abbiano dato la priorità alla questione.
In generale, se il fornitore di software segnala che stanno lavorando al problema, i ricercatori come il team di Project Zero di Google dovrebbero collaborare e prolungare i periodi di grazia. Mantenere una vulnerabilità presto patchata Utenti Windows Attenzione: hai un serio problema di sicurezza Utenti Windows Attenzione: hai ottenuto un serio problema di sicurezza Leggi altro segreto sembra essere più sicuro dell'attirare l'attenzione degli hacker. La sicurezza del cliente non dovrebbe essere la massima priorità di un'azienda?
Cosa pensi? Quale sarebbe stata una soluzione migliore o Google ha fatto la cosa giusta dopo tutto?
Crediti immagine: Wizard Via Shutterstock, Hacked di wk1003mike via Shutterstock, Red Rope di Mega Pixel via Shutterstock
Scopri di più su: Google, Microsoft, Sicurezza online.