O Google deve anunciar vulnerabilidades antes de serem corrigidos?

Por que as vulnerabilidades de relatórios do Google no Microsoft Windows? Essa maneira do Google de ensinar sua competição é mais eficiente? E os usuários? A adesão estrita do Google aos prazos é do nosso melhor interesse?

Por que as vulnerabilidades de relatórios do Google no Microsoft Windows?  Essa maneira do Google de ensinar sua competição é mais eficiente?  E os usuários?  A adesão estrita do Google aos prazos é do nosso melhor interesse?
Propaganda

O Google é imparável. Em menos de três semanas, o Google revelou um total de quatro vulnerabilidades de dia zero que afetam o Windows, duas delas apenas alguns dias antes de a Microsoft estar pronta para lançar um patch. A Microsoft não se divertiu e, a julgar pela reação do Google, é provável que mais casos semelhantes se sigam.

Essa maneira do Google de ensinar sua competição é mais eficiente? E os usuários? A adesão estrita do Google a prazos arbitrários é do nosso interesse?

Por que o Google está relatando vulnerabilidades no Windows?

O Project Zero, uma equipe de analistas de segurança do Google, pesquisa vulnerabilidades de dia zero. O que é uma vulnerabilidade de dia zero? [MakeUseOf explica] O que é uma vulnerabilidade de dia zero? [MakeUseOf Explains] Leia mais desde 2014. O projeto foi fundado após um grupo de pesquisa em tempo parcial ter identificado vários bugs de software, incluindo a vulnerabilidade Heartbleed Heartbleed - O que você pode fazer para permanecer seguro? Heartbleed - o que você pode fazer para ficar seguro? Consulte Mais informação .

Em seu anúncio no Project Zero, o Google enfatizou que sua principal prioridade era tornar seus próprios produtos seguros. Como o Google não está operando no vácuo, sua pesquisa se estende a qualquer software que seus clientes estejam usando.

Até agora, a equipe identificou mais de 200 bugs em vários produtos, incluindo o Adobe Reader, Flash, Mac OS X, Linux e Windows. Cada vulnerabilidade é informada apenas ao fornecedor do software e recebe um período de carência de 90 dias, após o qual é tornada pública por meio do fórum do Google Security Research.

Este bug está sujeito a um prazo de divulgação de 90 dias. Se transcorrerem 90 dias sem um patch amplamente disponível, o relatório de erros ficará automaticamente visível para o público.

Foi o que aconteceu com a Microsoft. Quatro vezes. A primeira vulnerabilidade do Windows (questão 118) foi identificada em 30 de setembro de 2014 e publicada posteriormente em 29 de dezembro de 2014. Em 11 de janeiro, poucos dias antes da Microsoft estava pronta para corrigir uma correção via Windows Update Update: Tudo o que você precisa saber o Windows Update: Tudo o que você precisa saber O Windows Update está habilitado no seu PC? O Windows Update protege você contra vulnerabilidades de segurança, mantendo o Windows, o Internet Explorer e o Microsoft Office atualizados com os mais recentes patches de segurança e correções de bugs. Leia mais, a segunda vulnerabilidade (número 123) foi publicada, lançando um debate sobre se o Google não poderia ter esperado. Apenas alguns dias depois, mais duas vulnerabilidades (número # 128 e edição # 138) apareceram no banco de dados público, aumentando ainda mais a situação.

Hackeado

O que aconteceu nos bastidores?

O primeiro problema (# 118) foi uma vulnerabilidade de escalonamento de privilégios crítica, que mostrou afetar o Windows 8.1. De acordo com o The Hacker News, “ poderia permitir que um hacker modificasse o conteúdo ou até mesmo que assumisse completamente os computadores das vítimas, deixando milhões de usuários vulneráveis ”. O Google não revelou qualquer comunicação com a Microsoft em relação a esse problema.

Para a segunda edição (nº 123), a Microsoft solicitou uma extensão e, quando o Google negou, eles fizeram esforços para lançar o patch um mês antes. Estes foram os comentários de James Forshaw:

A Microsoft confirmou que eles estão no alvo para fornecer correções para esses problemas em fevereiro de 2015. Eles perguntaram se isso causaria um problema com o prazo de 90 dias. A Microsoft foi informada de que o prazo de 90 dias é fixo para todos os fornecedores e classes de bugs e, portanto, não pode ser estendido. Além disso, foram informados de que o prazo de 90 dias para esta edição expira no dia 11 de janeiro de 2015.

A Microsoft lançou patches para os dois problemas com a atualização terça-feira de janeiro.

Com o terceiro problema (# 128), a Microsoft teve que atrasar um patch devido a problemas de compatibilidade.

A Microsoft nos informou que uma correção foi planejada para os patches de janeiro, mas que deve ser retirada devido a problemas de compatibilidade. Portanto, a correção agora é esperada nos patches de fevereiro.

Embora a Microsoft tenha informado ao Google que estava trabalhando no problema, mas enfrentando dificuldades, o Google seguiu em frente e publicou a vulnerabilidade. Nenhuma negociação, nenhuma piedade.

Para o último problema (# 138), a Microsoft decidiu não consertá-lo. James Forshaw adicionou o seguinte comentário:

A Microsoft concluiu que o problema não atende à barra de um boletim de segurança. Eles afirmam que isso exigiria muito controle da parte do invasor e eles não consideram as configurações de política de grupo como um recurso de segurança.

O comportamento do Google é aceitável?

A Microsoft não pensa assim. Em uma resposta completa, Chris Betz, diretor sênior do Centro de Pesquisa de Segurança da Microsoft, pede uma melhor divulgação de vulnerabilidades coordenadas. Ele enfatiza que a Microsoft acredita no CVD (Coordinated Vulnerability Disclosure), uma prática na qual pesquisadores e empresas colaboram em vulnerabilidades para minimizar o risco para os clientes.

Em relação aos eventos recentes, Betz confirma que a Microsoft pediu especificamente ao Google para trabalhar com eles e reter os detalhes até que as correções fossem distribuídas durante o Patch Tuesday. O Google ignorou a solicitação.

Embora seguindo a linha cronológica anunciada do Google para divulgação, a decisão parece menos com princípios e mais como uma "pegadinha", com clientes que podem sofrer como resultado.

De acordo com Betz, as vulnerabilidades divulgadas publicamente experimentam ataques orquestrados de criminosos cibernéticos, um ato que dificilmente é visto quando os problemas são divulgados de forma privada através de DCV e corrigidos antes que a informação se torne pública. Além disso, Betz diz que nem todas as vulnerabilidades são iguais, o que significa que a linha do tempo dentro da qual um problema é corrigido depende de sua complexidade.

Corda vermelha

Seu pedido de colaboração é alto e claro e seus argumentos são sólidos. A reflexão de que nenhum software é perfeito porque é feito por humanos simples, operando com sistemas complexos, é cativante. Betz acerta a cabeça quando diz:

O que é certo para o Google nem sempre é certo para os clientes. Recomendamos que o Google proteja os clientes de nossa meta principal coletiva.

O outro ponto de vista é que o Google tem uma política estabelecida e não quer dar lugar a exceções. Este não é o tipo de inflexibilidade que você esperaria de uma empresa ultramoderna como o Google. Além disso, publicar não apenas a vulnerabilidade, mas também o código de exploração é irresponsável, uma vez que milhões de usuários podem ser atingidos por um ataque combinado.

Se isso acontecer de novo, o que você pode fazer para proteger seu sistema?

Nenhum software estará protegido contra explorações de dia zero. Você pode aumentar sua própria segurança adotando uma higiene de segurança de senso comum. Isso é o que a Microsoft recomenda:

Encorajamos os clientes a manter seu software antivírus O melhor software para Windows O melhor software para Windows O Windows está nadando em um mar de aplicativos gratuitos. Em quais você pode confiar e quais são os melhores? Se você não tiver certeza ou precisar resolver uma tarefa específica, consulte esta lista. Leia mais atualizado, instale todas as atualizações de segurança disponíveis 3 razões pelas quais você deve executar os últimos patches e atualizações de segurança do Windows 3 razões pelas quais você deve executar os patches e atualizações de segurança mais recentes do Windows O código que compõe o sistema operacional Windows contém segurança lacunas, erros, incompatibilidades ou elementos de software desatualizados. Em suma, o Windows não é perfeito, todos nós sabemos disso. Atualizações e correções de segurança corrigem as vulnerabilidades ... Leia mais e ative o firewall O melhor software para Windows O melhor software para Windows O Windows está nadando em um mar de aplicativos gratuitos. Em quais você pode confiar e quais são os melhores? Se você não tiver certeza ou precisar resolver uma tarefa específica, consulte esta lista. Leia mais no seu computador.

Nosso veredicto: o Google deveria ter cooperado com a Microsoft

O Google manteve seu prazo arbitrário, em vez de ser flexível e agir no melhor interesse de seus usuários. Eles poderiam ter estendido o período de carência para revelar as vulnerabilidades, especialmente depois que a Microsoft comunicou que os patches estavam (quase) prontos. Se o objetivo nobre do Google é tornar a Internet mais segura, eles devem estar prontos para cooperar com outras empresas.

Enquanto isso, a Microsoft poderia ter jogado mais recursos no desenvolvimento de patches. 90 dias é considerado um período de tempo suficiente por alguns. Devido à pressão do Google, eles de fato enviaram um patch um mês antes do estimado inicialmente. Quase parece que eles não priorizaram o problema inicialmente.

Geralmente, se o fornecedor de software sinalizar que está trabalhando no problema, pesquisadores como a equipe do Projeto Zero do Google devem cooperar e estender os períodos de carência. Mantendo um curto prazo para ser corrigido vulnerabilidade Usuários do Windows Cuidado: Você tem um grave problema de segurança Usuários do Windows Cuidado: Você tem um sério problema de segurança Leia mais O segredo parece ser mais seguro do que atrair a atenção de hackers. A segurança do cliente não deveria ser a principal prioridade de qualquer empresa?

O que você acha? O que teria sido uma solução melhor ou o Google fez a coisa certa depois de tudo?

Créditos da Imagem: Wizard Via Shutterstock, Hackeado por wk1003mike via Shutterstock, Red Rope por Mega Pixel via Shutterstock

In this article