İnternette İstediğiniz Gibi Çevrimiçi Para Kazanma!

Google’ın Proje Sıfırında bulunan 1.600 güvenlik açığının% 95'inden fazlası 90 gün içinde giderildi

Şu an okuyorsunuz: Google’ın Proje Sıfırında bulunan 1.600 güvenlik açığının% 95'inden fazlası 90 gün içinde giderildi

Neden önemli: Zero Projesi, üç şey için korkunç olan korkunç güvenlik araştırma ekibidir: oradaki en kötü kırılganlıkları keşfetmek, her gün yeni bir kırılganlık bulmak ve şirketlere tam bir kamuoyu açığa çıkmadan önce düzeltmeleri bulmak için sadece 90 gün vermek. Güvenlik topluluğunun çoğu tarafından eşit derecede beğenilip nefret edildikleri gibi, yakın zamanda karşı sezgisel politikalarını savunmak ve gerçekte ne yaptıklarını açıklamak için sessizliklerini kırdılar.

Microsoft’tan Microsoft’a her büyük teknoloji şirketi Apple Intel’e, Project Zero’dan aşağıdaki ifadeyi içeren bir hata raporu alındı: “Bu hata 90 günlük bir son bildirim tarihine tabi. 90 gün geçtikten veya bir yama genel olarak kullanıma sunulduktan sonra (hangisi daha erkense), hata raporu halka görünür hale gelecektir. ”O zamandan itibaren şirket, hatayı Proje Sıfırının yardımı ile kendi başlarına çözmeyi seçebilir veya hiç değil – bu durumda hata raporu derhal yayınlanır.

Her bir hata raporu, Project Zero’nun güvenlik açığında toplayabileceği hemen hemen her şeyi içerir; ilk olarak nasıl bulunduğunu, sorunu göstermek için kullanan kavram kanıtı koduna kadar.

30 Temmuz itibariyle, Project Zero, 1.585 sabit güvenlik açığı ve 66 düzeltilmemiş rapor içeren hata raporlarını yayınladı. 1.585’in 1.411’i 90 gün içinde yayınlandı ve 14 gün ödemesiz bir süre içinde Proje Sıfırının izin verdiği, şirketin bir düzeltmeyi tamamlamaya yakın olduğuna inandıklarında ilave bir 174 adet yayımlandı. Bunlardan yalnızca ikisi aşıldı, ikisi de istismar edildiğinde, programların işletim sisteminin en yüksek sırlarına erişmesini sağlayan Spectre & Meltdown ve task_t.

Project Zero, hata raporunun bir düzeltme öncesinde yayınlanmasının biraz zararlı olduğunu kabul ediyor, ancak mesele şu ki: şirketleri hata raporunun gizli kalmasını bekledikleri takdirde yapamayacaklarını söyleyeceklerini düzeltmeye zorluyor.

“Yalnızca satıcı ve muhabirin güvenlik açığı bilgisine sahip olduğunu varsayarsanız, sorun acil olmadan giderilebilir. Bununla birlikte, saldırganların savunucu güvenlik araştırmacılarının bildirdiği güvenlik açıklarının çoğunu bulduğuna (veya edindiğine) giderek artan bir şekilde kanıtlıyoruz. Daha önce bildirdiğimiz bir güvenlik hatasının bir saldırgan tarafından ne zaman bulunduğunu kesin olarak bilemeyiz, ancak ifşa politikamıza etmene neden olacak kadar düzenli olduğunu biliyoruz.

Temel olarak, açıklama son tarihleri ​​güvenlik araştırmacılarının beklentileri belirlemesi ve satıcılar ve açık kaynaklı projeler için kırılganlıklarını giderici çabalarını iyileştirmeleri için net bir teşvik sunmanın bir yoludur. Açıklama zamanlarımızı iddialı, adil ve gerçekçi bir şekilde ulaşılabilir olacak şekilde kalibre etmeye çalıştık. ”

Sıfır projesinin bunun için açık bir kanıtı var. Bir çalışmada 4.300’den fazla güvenlik açığı analiz edildi ve güvenlik açıklarının% 15 ila% 20’sinin yılda en az iki kez bağımsız olarak keşfedildiği bulundu. Örneğin Android için, güvenlik açıklarının% 14’ü 60 gün içinde ve% 20’si 90 içinde yeniden keşfedildi, Chrome için 60 gün içinde% 13 yeniden keşif yapıldı. Bu, bir güvenlik araştırmacısının eğrinin önünde olmasına rağmen, keşfettikleri her şeyin saldırganlar tarafından kısa süre sonra bulunabileceği konusunda makul bir şans olduğunu göstermektedir.

Ancak bir yamadan önce bir hata raporu yayınlamak tehlikeli değil mi?

“Cevap ilk başta sezgiseldir: az sayıda düzeltilmemiş güvenlik açığı bildirilmesi, saldırganın kapasitesini anlamlı şekilde artırmaz veya azaltmaz. ‘Son tarih bazlı’ açıklamalarımızın saldırganın yeteneği üzerinde nötr bir kısa vadeli etkisi var.

Kullanıcılara zarar vermek için genel saldırıları kullanmayı bekleyen grupların ve bireylerin olduğunu kesinlikle biliyoruz (istismar kiti yazarları gibi), ancak aynı zamanda tipik bir Project Zero güvenlik açığı raporunun pratik bir gerçek dünya saldırısına dönüştürülmesinin maliyetinin önemli olmadığını biliyoruz. -trivial.”

Project Zero, adım adım rehber korsanlığı rehberi yayınlamıyor, “sömürme zincirinin yalnızca bir parçası” olarak tanımladıklarını yayınlıyorlar. Teorik olarak, saldırgan bu güvenlik açıklarını güvenilir bir açığa çıkarmak için önemli kaynaklar ve beceriler gerektirecek, ve Project Zero, bunu yapabilen bir saldırganın, hatayı açığa çıkarmamış olsalar bile yapmış olabileceğini savunuyor. Belki de saldırganlar kendi başlarına başlayamayacak kadar tembeldir, çünkü bir 2017 çalışmasının tespit edildiği gibi, güvenlik açığından “tamamen işleyen bir sömürüye” kadar geçen medyan süre 22 gündür.

Bu sadece bir sorun, büyük bir sorun, ancak çoğu şirket 90 gün içinde yine de sıkılıyor. Birçok araştırmacının sahip olduğu ikinci eleştiri, Project Zero’nun bir düzeltme eki yayınlandıktan sonra hata raporunu yayınlama politikasıdır, çünkü yamalar kusurlu olma eğilimindedir ve aynı kırılganlığın başka yerlerde ortaya çıkma olasılığı vardır. Zero Projesi bunun savunucular için avantajlı olduğuna, kırılganlıklarını daha iyi anlamalarına olanak tanıyan ve yine de istismarın yamadan tersine mühendislik uygulayabilecek saldırganların çok az sonucuna sahip olduğuna inanıyor.

“Saldırganlar, güvenlik açıklarını (hem kaynak kod incelemesi hem de ikili ters mühendislik yoluyla) öğrenmek için güvenlik düzeltme eklerini analiz etmek için zaman harcamak için net bir teşvike sahipler ve satıcı ve araştırmacı teknik verileri durdurmaya çalışsalar bile tam ayrıntıları hızlı bir şekilde belirleyecekler. .

Güvenlik açıkları hakkındaki bilgilerin kullanımı, saldırganlara karşı savunmacılar için çok farklı olduğundan, savunucuların genellikle saldırganlarla aynı derinlikte analiz yapmasını beklemiyoruz.

Yayımladığımız bilgiler, savunmacılar tarafından hemen savunmaları geliştirmek, hata düzeltmelerinin doğruluğunu test etmek için kullanılabilir ve her zaman düzeltme eki kullanımı veya kısa vadeli azaltmalar hakkında bilinçli kararlar vermek için kullanılabilir. ”

Bazen savaşta, genel başarıya ulaşmak için risk alınmalıdır. Ve hata yapmayın, güvenlik araştırmacıları ve bilgisayar korsanları arasındaki savaş ciddi, gerçek yaşamla ilgili gerçeklerle birlikte gerçek. Şimdiye kadar Zero Projesi, agresif politikalarının önemli sonuçları olmadan başarılı bir şekilde faaliyet gösterdi ve ciddi bir soruna yol açmadıkça, benzer şekilde devam edeceğinden şüphe duymayacaklar. Bunun gerçekleşmeyeceğini umalım.