Moet Google kwetsbaarheden melden voordat ze zijn gepatched?
Google is niet te stoppen. In minder dan drie weken onthulde Google in totaal vier zero-day-kwetsbaarheden voor Windows, twee ervan slechts enkele dagen voordat Microsoft klaar was om een patch uit te brengen. Microsoft was niet geamuseerd en te oordelen naar de reactie van Google, meer van dergelijke gevallen zullen waarschijnlijk volgen.
Is de manier van Google om hun competitie te leren efficiënter te werken? En hoe zit het met de gebruikers? Is de strikte naleving door Google van willekeurige deadlines in ons beste belang?
Waarom meldt Windows beveiligingslekken in Windows?
Project Zero, een team van Google-beveiligingsanalisten, heeft onderzoek gedaan naar het beveiligingslek Wat is een Zero Day-beveiligingslek op zero-day exploits? [MakeUseOf Explains] Wat is een Zero Day-beveiligingslek? [MakeUseOf Explains] Read More since 2014. Het project is opgericht nadat een deeltijdse onderzoeksgroep verschillende softwarefouten had vastgesteld, waaronder de kritieke Heartbleed-kwetsbaarheid Heartbleed - Wat kunt u doen om veilig te blijven? Heartbleed - Wat kunt u doen om veilig te blijven? Lees verder .
In hun Project Zero-aankondiging benadrukte Google dat hun topprioriteit was om hun eigen producten te beveiligen. Omdat Google niet in een vacuüm opereert, strekt hun onderzoek zich uit tot elke software die hun klanten gebruiken.
Tot nu toe heeft het team meer dan 200 bugs in verschillende producten geïdentificeerd, waaronder Adobe Reader, Flash, OS X, Linux en Windows. Elk beveiligingslek wordt alleen gerapporteerd aan de softwareleverancier en ontvangt een respijtperiode van 90 dagen, waarna het openbaar wordt gemaakt via het Google Security Research-forum.
Deze bug is onderworpen aan een deadline voor het vrijgeven van 90 dagen. Als 90 dagen verstrijken zonder een algemeen beschikbare patch, wordt het bugrapport automatisch zichtbaar voor het publiek.
Dat is wat er met Microsoft is gebeurd. Vier keer. De eerste Windows-kwetsbaarheid (nummer 118) werd geïdentificeerd op 30 september 2014 en werd vervolgens gepubliceerd op 29 december 2014. Op 11 januari, slechts enkele dagen voordat Microsoft klaar was om een fix uit te brengen via Patch Tuesday Windows Update: Everything You Need Windows Update kennen: alles wat u moet weten Is Windows Update ingeschakeld op uw pc? Windows Update beschermt u tegen beveiligingsproblemen door Windows, Internet Explorer en Microsoft Office up-to-date te houden met de nieuwste beveiligingspatches en bugfixes. Read More, de tweede kwetsbaarheid (kwestie # 123) werd openbaar gemaakt en startte een debat over de vraag of Google niet had kunnen wachten. Slechts enkele dagen later verschenen er nog twee kwetsbaarheden (kwestie # 128 & kwestie # 138) in de openbare database, waardoor de situatie verder escaleerde.
Wat is er gebeurd achter de schermen?
Het eerste probleem (# 118) was een kritiek beveiligingslek met betrekking tot escalatie van bevoegdheden, waarvan werd aangetoond dat het invloed had op Windows 8.1. Volgens The Hacker News, het “kan een hacker in staat stellen de inhoud aan te passen of zelfs de computers van de slachtoffers volledig over te nemen, waardoor miljoenen gebruikers kwetsbaar worden“. Google heeft hierover geen communicatie met Microsoft bekendgemaakt.
Voor het tweede nummer (# 123) vroeg Microsoft om een extensie en toen Google dit weigerde, deden ze inspanningen om de patch een maand eerder vrij te geven. Dit waren de opmerkingen van James Forshaw:
Microsoft heeft bevestigd dat ze op schema zijn om in februari 2015 oplossingen voor deze problemen te bieden. Ze vroegen of dit een probleem zou opleveren met de deadline van 90 dagen. Microsoft kreeg te horen dat de deadline van 90 dagen voor alle leveranciers en bugklassen is vastgesteld en dus niet kan worden verlengd. Verder kregen ze te horen dat de deadline van 90 dagen voor dit nummer vervalt op 11 januari 2015.
Microsoft heeft patches vrijgegeven voor beide problemen met Update Tuesday in januari.
Met het derde probleem (# 128) moest Microsoft een patch vertragen vanwege compatibiliteitsproblemen.
Microsoft heeft ons laten weten dat er een oplossing is gepland voor de januari-patches, maar deze moet worden verwijderd vanwege compatibiliteitsproblemen. Daarom wordt de oplossing nu verwacht in de februari-patches.
Hoewel Microsoft Google op de hoogte bracht van het probleem maar met problemen te maken kreeg, ging Google verder en publiceerde de kwetsbaarheid. Geen onderhandeling, geen genade.
Voor het laatste nummer (# 138) heeft Microsoft besloten het probleem niet op te lossen. James Forshaw heeft de volgende opmerking toegevoegd:
Microsoft heeft geconcludeerd dat het probleem niet voldoet aan de eisen van een beveiligingsbulletin. Ze geven aan dat dit te veel controle van het deel van de aanvaller vereist en beschouwen groepsbeleidsinstellingen niet als een beveiligingsfunctie.
Is het gedrag van Google acceptabel?
Microsoft denkt van niet. In een grondige reactie pleit Chris Betz, Senior Director van het Microsoft Security Research Center voor een beter gecoördineerde publicatie van kwetsbaarheden. Hij benadrukt dat Microsoft gelooft in Coordinated Vulnerability Disclosure (CVD), een praktijk waarin onderzoekers en bedrijven samenwerken aan kwetsbaarheden om het risico voor klanten te minimaliseren.
Betz bevestigt met betrekking tot de recente gebeurtenissen dat Microsoft specifiek aan Google heeft gevraagd om met hen samen te werken en details te onthouden totdat fixes werden verspreid tijdens Patch Tuesday. Google negeerde het verzoek.
Hoewel het volgen van de door Google aangekondigde tijdlijn voor openbaarmaking, de beslissing minder aanvoelt als principes en meer als een “Hebbes”, bij klanten die daardoor kunnen lijden.
Volgens Betz ervaren openbaar gemaakte kwetsbaarheden georkestreerde aanvallen van cybercriminelen, een handeling die nauwelijks wordt gezien wanneer kwesties privé via CVD worden onthuld en gepatcht voordat de informatie openbaar wordt. Verder zegt Betz dat niet alle kwetsbaarheden gelijk worden gemaakt, wat betekent dat de tijdlijn waarbinnen een probleem wordt hersteld afhankelijk is van de complexiteit.
Zijn oproep voor samenwerking is luid en duidelijk en zijn argumenten zijn solide. De weerspiegeling dat geen enkele software perfect is omdat deze is gemaakt door eenvoudige mensen die met complexe systemen werken, is vertederend. Betz slaat de spijker op zijn kop als hij zegt:
Wat goed is voor Google is niet altijd geschikt voor klanten. We dringen er bij Google op aan om onze collectieve primaire doelstelling te beschermen tegen klanten.
Het andere standpunt is dat Google een vastgesteld beleid heeft en niet wil wijken voor uitzonderingen. Dit is niet het soort inflexibiliteit dat je zou verwachten van een ultra modern bedrijf als Google. Bovendien is het niet verantwoord om niet alleen de kwetsbaarheid, maar ook de exploitcode te publiceren, aangezien miljoenen gebruikers kunnen worden geraakt door een gezamenlijke aanval.
Als dit nog eens gebeurt, wat kunt u doen om uw systeem te beschermen?
Geen enkele software zal ooit veilig zijn voor zero-day exploits. U kunt uw eigen veiligheid vergroten door een gezonde hygiëne-veiligheid te hanteren. Dit is wat Microsoft aanbeveelt:
We moedigen klanten aan om hun antivirussoftware te behouden De beste Windows-software De beste Windows-software Windows zwemt in een zee van gratis applicaties. Welke kun je vertrouwen en welke zijn de beste? Als u niet zeker weet of een specifieke taak moet oplossen, raadpleeg dan deze lijst. Meer informatie up-to-date, installeer alle beschikbare beveiligingsupdates 3 Redenen waarom u de nieuwste Windows-beveiligingspatches en -updates moet uitvoeren 3 Redenen waarom u de nieuwste Windows-beveiligingspatches en -updates moet uitvoeren De code in het Windows-besturingssysteem bevat beveiliging lusgaten, fouten, onverenigbaarheden of verouderde software-elementen. Kortom, Windows is niet perfect, dat weten we allemaal. Beveiligingspatches en updates lossen de kwetsbaarheden op ... Lees meer en activeer de firewall De beste Windows-software De beste Windows-software Windows zwemt in een zee van gratis applicaties. Welke kun je vertrouwen en welke zijn de beste? Als u niet zeker weet of een specifieke taak moet oplossen, raadpleeg dan deze lijst. Meer lezen op hun computer.
Ons oordeel: Google had moeten samenwerken met Microsoft
Google hield vast aan zijn willekeurige deadline, in plaats van flexibel te zijn en te handelen in het belang van zijn gebruikers. Ze hadden de respijtperiode kunnen verlengen om de kwetsbaarheden te onthullen, vooral nadat Microsoft had medegedeeld dat patches (bijna) gereed waren. Als het nobele doel van Google is om internet veiliger te maken, moeten ze klaar staan om samen te werken met andere bedrijven.
Ondertussen zou Microsoft mogelijk meer middelen hebben gegooid bij het ontwikkelen van patches. 90 dagen wordt door sommigen beschouwd als een voldoende tijdsbestek. Als gevolg van de druk van Google duwden ze één patch eerder één maand eerder dan aanvankelijk werd geschat. Het lijkt er bijna op dat ze het probleem oorspronkelijk niet voldoende prioriteit gaven.
Over het algemeen geldt dat als de softwareleverancier aangeeft dat ze aan het probleem werken, onderzoekers zoals het Project Zero-team van Google moeten samenwerken en de respijtperiode moeten verlengen. Binnen handbereik van patches blijven Windows-gebruikers Opgelet: u hebt een ernstig beveiligingsprobleem Windows-gebruikers Let op: u hebt een ernstige beveiligingskwestie Meer informatie geheim lijkt veiliger dan de aandacht van hackers te trekken. Zou klantveiligheid niet de hoogste prioriteit van een bedrijf moeten zijn??
Wat denk je? Wat zou een betere oplossing zijn geweest of deed Google toch het goede?
Image Credits: Wizard via Shutterstock, gehackt door wk1003mike via Shutterstock, Red Rope door Mega Pixel via Shutterstock
Ontdek meer over: Google, Microsoft, online beveiliging.