Google Project Zero tarafından bulunan 1.600 güvenlik açığının% 95'inden fazlası …

Neden önemlidir? Project Zero, üç şeyle ünlü korkunç bir güvenlik araştırma ekibidir: en kötü güvenlik açıklarını bulmak, her gün yeni güvenlik açıklarını bulmak ve şirketlere, kamuoyunu tam olarak açıklamadan önce iyileştirmeler bulmaları için sadece 90 gün süre vermek. Güvenlik camiasının çoğunluğu tarafından eşit derecede hayran ve nefret edildi, yakın zamanda politikalarını içgörüye karşı savunmak ve gerçekte ne yaptıklarını açıklamak için sessizliği kırdılar.

Microsoft'tan tüm büyük teknoloji şirketleri Apple Intel, Project Zero'dan aşağıdaki bildirimi içeren bir hata raporu aldı: “Bu hata 90 günlük bir açıklama süresine tabidir. 90 gün geçtikten veya düzeltme eki yaygın olarak kullanıma sunulduktan sonra (hangisi daha erkense), hata raporu herkes tarafından görülebilir. “O andan itibaren şirketler, Project Zero'nun yardımıyla tek başına ya da hiç değil, hataları düzeltmeyi seçebilir, bu durumda hata raporu hemen yayınlanır.

Her hata raporu, Project Zero'nun ilk keşfedildiği yöntemden bir sorunu belirtmek için kullanan kavram kanıtı koduna kadar güvenlik açıkları hakkında toplayabileceği hemen hemen her şeyi içerir.

30 Temmuz itibarıyla Project Zero 1.585 onarılmış güvenlik açığı ve 66 onarılmamış hata raporu yayınladı. Project Zero'nun şirketin tamamlanmaya yaklaştığından emin olduklarında izin verdiği 14 gün içinde, 1485 adet 1.585 adet ve 14 gün ödemesiz süre içinde verilen 174 adet daha. Bunun ötesine geçen sadece ikisi, Spectre & Meltdown ve task_t, her ikisi de, istismar edildiğinde, programın işletim sisteminin en büyük sırlarına erişmesine izin verir.

Project Zero, düzeltmeden önce hata raporları göndermenin biraz tehlikeli olduğunu kabul eder, ancak mesele şu: Şirketleri düzeltmekten korkuyor ve hata raporlarının gizli kalmasını beklemediklerini söylemiyorlar.

“Sadece satıcıların ve muhabirlerin bu güvenlik açıklarının farkında olduğunu varsayarsanız, sorun acil olarak çözülebilir. Bununla birlikte, bir saldırganın savunma güvenlik araştırmacıları tarafından bildirilen aynı güvenlik açıklarının birçoğunu keşfettiğini (veya elde ettiğini) artan kanıtlarımız var. Saldırganın bildirdiğimiz güvenlik hatasını ne zaman keşfettiğinden emin olamayız, ancak açıklama politikamızı içermenin rutin olarak gerçekleştiğini biliyoruz.

Temel olarak, açıklama zaman çizelgeleri, güvenlik araştırmacılarının, güvenlik açığı iyileştirme çabalarını ölçeklendirmek için satıcılar ve açık kaynak projeleri için beklentileri belirlemesi ve açık teşvikler sağlamanın bir yoludur. İfşa zaman çerçevemizi iddialı, adil ve gerçekçi olacak şekilde kalibre etmeye çalışıyoruz. "

Sıfır Projesi'nin bunun için net bir kanıtı var. Bir çalışma 4.300'den fazla güvenlik açığını analiz etti ve güvenlik açıklarının% 15 ila% 20'sinin bağımsız olarak yılda en az iki kez bulunduğunu buldu. Örneğin, Android için, 60 gün içinde geri kazanılan güvenlik açıklarının% 14'ü ve 90'da% 20, Chrome için 60 gün içinde yeniden keşfedmenin% 13'ü var. Bu, bir güvenlik araştırmacısı eğrinin önünde olabilse de, buldukları her şeyin saldırgan tarafından kısa süre sonra bulunma olasılığının makul olduğunu gösterir.

Ancak yamalamadan önce bir hata raporu yayınlamak tehlikeli değil mi?

“Cevap ilk başta çelişkilidir: az sayıda düzeltilmemiş güvenlik açığını ortaya çıkarmak saldırganın yeteneğini önemli ölçüde artırmaz veya azaltmaz. 'Son başvuru tarihi' açıklamalarımızın saldırganın yeteneği üzerinde tarafsız, kısa vadeli bir etkisi vardır.

Kullanıcılara zarar vermek için genel saldırıları kullanmayı bekleyen gruplar ve bireyler olduğunu kesinlikle biliyoruz (yazar kitini kullanmak gibi), ancak tipik bir Project Zero güvenlik açığı raporunu gerçek dünya saldırısına dönüştürmenin maliyetinin de olmadığını biliyoruz. pratik olarak önemsiz. "

Project Zero, adım adım bir kılavuz yayınlamaz, ancak "sömürü zincirinin yalnızca bir parçası" olarak tanımladığı şeyi yayınlar. Teorik olarak, saldırganların bu güvenlik açığını güvenilir istismarlara dönüştürmek için önemli kaynaklara ve becerilere ihtiyaçları olacaktır ve Project Zero, bunu yapabilecek saldırganların böcekleri açığa çıkarmasalar bile bunu yapabileceğine inanmaktadır. Belki de saldırgan kendi başına başlamak için çok tembeldir, çünkü 2017'deki bir araştırmaya göre, güvenlik açığından "tamamen işlevsel sömürüye" kadar ortalama süre 22 gündür.

Bu sadece bir problem, büyük bir problem, ama çoğu şirket 90 gün içinde zorlanıyor. Birçok araştırmacının sahip olduğu ikinci eleştiri, Project Zero'nun yamalar yayınlandıktan sonra hata raporları yayınlama politikasıdır, çünkü yamalar kusurlu olma eğilimindedir ve aynı güvenlik açığı diğer yerlerde de ortaya çıkabilir. Zero Projesi, savunmasızlığı daha iyi anlamalarına ve yama istismarlarını tersine çevirebilecek saldırganlara çok az sonuç vermelerine olanak tanıdığından bunun savunucular için faydalı olduğuna inanıyor.

"Saldırganlar, güvenlik açıklarını analiz etmek için zaman ayırmak için açık bir teşvike sahiptir (hem kaynak kodu incelemesi hem de ters ikili mühendislik yoluyla) ve satıcılar ve araştırmacılar denemelerine rağmen hızlı bir şekilde tüm ayrıntıları oluşturacaklardır teknik verileri sakla ”.

Güvenlik açığı bilgilerinin yararlılığı savunuculara karşı saldırganlara göre çok farklı olduğundan, savunucuların saldırganlarla aynı analiz derinliğini gerçekleştirmesini beklemiyoruz.

İfşa ettiğimiz bilgiler genellikle savunucular tarafından savunmaları hemen iyileştirmek, hata düzeltmelerinin doğruluğunu test etmek için kullanılabilir ve her zaman düzeltme ekinin benimsenmesi veya kısa vadeli azaltma hakkında bilinçli kararlar vermek için kullanılabilir. "

Bazen, savaşta, genel başarıyı elde etmek için riskler alınmalıdır. Ve hiç kuşkunuz olmasın, güvenlik araştırmacıları ve bilgisayar korsanları arasındaki savaş gerçektir, ciddi sonuçları ve gerçek yaşamı vardır. Project Zero, şimdiye kadar agresif politikalarının önemli sonuçları olmadan başarılı bir şekilde faaliyet gösteriyor ve ciddi sorunlara neden olmadıkça aynı şekilde ilerlemekte tereddüt etmeyecekler. Umarım bu olmaz.