Sollte Google Sicherheitslücken melden, bevor sie gepatcht wurden?

Werbung

Google ist nicht aufzuhalten. Innerhalb von weniger als drei Wochen hat Google insgesamt vier Zero-Day-Schwachstellen für Windows aufgedeckt, zwei davon nur wenige Tage bevor Microsoft bereit war, einen Patch zu veröffentlichen. Microsoft war nicht amüsiert und nach der Reaktion von Google zu urteilen, werden wahrscheinlich weitere solche Fälle folgen.

Ist dies die Art und Weise von Google, die Konkurrenz effizienter zu machen? Und was ist mit den Benutzern? Ist die strikte Einhaltung willkürlicher Fristen durch Google in unserem besten Interesse?

Warum meldet Google Windows-Sicherheitslücken?

Projekt Null, ein Team von Google-Sicherheitsanalysten, hat nachgeforscht Zero-Day-Exploits Was ist eine Zero Day-Sicherheitsanfälligkeit? [MakeUseOf erklärt] Weiterlesen seit 2014. Das Projekt wurde gegründet, nachdem eine Teilzeit-Forschungsgruppe mehrere Software-Fehler identifiziert hatte, einschließlich der kritischen Heartbleed Verwundbarkeit Herzbluten - Was können Sie tun, um sicher zu bleiben? Weiterlesen .

In ihrer Projekt Null AnkündigungGoogle betonte, dass ihre oberste Priorität darin bestehe, ihre eigenen Produkte sicher zu machen. Da Google nicht im luftleeren Raum arbeitet, erstreckt sich die Forschung auf jede Software, die Kunden verwenden.

Bisher hat das Team über 200 Fehler in verschiedenen Produkten identifiziert, darunter Adobe Reader, Flash, OS X, Linux und Windows. Jede Sicherheitsanfälligkeit wird nur dem Softwareanbieter gemeldet und erhält eine Nachfrist von 90 Tagen. Danach wird sie über das veröffentlicht Google Security Research-Forum.

Dieser Fehler unterliegt einer Offenlegungsfrist von 90 Tagen. Wenn 90 Tage ohne einen allgemein verfügbaren Patch vergehen, wird der Fehlerbericht automatisch für die Öffentlichkeit sichtbar.

Genau das ist Microsoft passiert. Vier Mal. Die erste Windows-Sicherheitslücke (Ausgabe Nr. 118) wurde am 30. September 2014 identifiziert und anschließend am 29. Dezember 2014 veröffentlicht. Am 11. Januar, nur wenige Tage bevor Microsoft bereit war, ein Update über zu veröffentlichen Patch Dienstag Windows Update: Alles, was Sie wissen müssenIst Windows Update auf Ihrem PC aktiviert? Windows Update schützt Sie vor Sicherheitslücken, indem Windows, Internet Explorer und Microsoft Office mit den neuesten Sicherheitspatches und Fehlerkorrekturen auf dem neuesten Stand gehalten werden. Weiterlesen , die zweite Sicherheitslücke (Ausgabe Nr. 123) wurde veröffentlicht und eine Debatte darüber eingeleitet, ob Google nicht hätte warten können. Nur Tage später zwei weitere Sicherheitslücken (Problem # 128 & Ausgabe Nr. 138) erschien in der öffentlichen Datenbank und eskalierte die Situation weiter.

Was geschah hinter den Kulissen?

Das erste Problem (Nr. 118) war eine Sicherheitsanfälligkeit bezüglich der Eskalation kritischer Berechtigungen, von der gezeigt wurde, dass sie Windows 8.1 betrifft. Gemäß Die Hacker News, es “könnte es einem Hacker ermöglichen, Inhalte zu ändern oder sogar die Computer der Opfer vollständig zu übernehmen, wodurch Millionen von Benutzern verwundbar werden“. Google hat keine Kommunikation mit Microsoft zu diesem Problem veröffentlicht.

Für die zweite Ausgabe (Nr. 123) bat Microsoft um eine Erweiterung. Als Google dies ablehnte, bemühte man sich, den Patch einen Monat zuvor zu veröffentlichen. Dies waren James Forshaws Kommentare:

Microsoft hat bestätigt, dass das Ziel darin besteht, im Februar 2015 Korrekturen für diese Probleme bereitzustellen. Sie fragten, ob dies ein Problem mit der 90-Tage-Frist verursachen würde. Microsoft wurde darüber informiert, dass die 90-Tage-Frist für alle Anbieter und Fehlerklassen festgelegt ist und daher nicht verlängert werden kann. Ferner wurde ihnen mitgeteilt, dass die 90-Tage-Frist für diese Ausgabe am 11. Januar 2015 abläuft.

Microsoft hat im Januar Patches für beide Probleme mit Update Tuesday veröffentlicht.

Bei der dritten Ausgabe (Nr. 128) musste Microsoft einen Patch aufgrund von Kompatibilitätsproblemen verzögern.

Microsoft teilte uns mit, dass ein Fix für die Januar-Patches geplant war, der jedoch aufgrund von Kompatibilitätsproblemen abgerufen werden muss. Daher wird das Update jetzt in den Februar-Patches erwartet.

Obwohl Microsoft Google darüber informiert hat, dass es an dem Problem arbeitet, aber mit Schwierigkeiten konfrontiert ist, hat Google die Sicherheitsanfälligkeit veröffentlicht. Keine Verhandlung, keine Gnade.

Für das letzte Problem (Nr. 138) hat Microsoft beschlossen, es nicht zu beheben. James Forshaw fügte den folgenden Kommentar hinzu:

Microsoft ist zu dem Schluss gekommen, dass das Problem nicht den Anforderungen eines Security Bulletins entspricht. Sie geben an, dass dies zu viel Kontrolle seitens des Angreifers erfordern würde, und sie betrachten Gruppenrichtlinieneinstellungen nicht als Sicherheitsmerkmal.

Ist das Verhalten von Google akzeptabel?

Microsoft glaubt das nicht. In einer gründlichen Antwort fordert Chris Betz, Senior Director des Microsoft Security Research Center eine besser koordinierte Offenlegung von Sicherheitslücken. Er betont, dass Microsoft daran glaubt Offenlegung koordinierter Sicherheitslücken (CVD), eine Praxis, bei der Forscher und Unternehmen bei Schwachstellen zusammenarbeiten, um das Risiko für Kunden zu minimieren.

In Bezug auf die jüngsten Ereignisse bestätigt Betz, dass Microsoft Google ausdrücklich gebeten hat, mit ihnen zu arbeiten und Details zurückzuhalten, bis während des Patch-Dienstags Korrekturen verteilt wurden. Google ignorierte die Anfrage.

Obwohl die Einhaltung des von Google angekündigten Zeitplans für die Offenlegung eingehalten wird, fühlt sich die Entscheidung weniger nach Prinzipien als nach einem „Gotcha“ an, wobei Kunden darunter leiden können.

Laut Betz erfahren öffentlich bekannt gegebene Sicherheitslücken orchestrierte Angriffe von Cyberkriminellen Handeln Sie kaum gesehen, wenn Probleme privat durch CVD offengelegt und gepatcht werden, bevor die Informationen vorliegen Öffentlichkeit. Laut Betz sind nicht alle Schwachstellen gleich, was bedeutet, dass der Zeitplan, innerhalb dessen ein Problem behoben wird, von seiner Komplexität abhängt.

Sein Aufruf zur Zusammenarbeit ist klar und deutlich und seine Argumente sind solide. Die Überlegung, dass keine Software perfekt ist, weil sie von einfachen Menschen erstellt wurde, die mit komplexen Systemen arbeiten, ist reizend. Betz trifft den Nagel auf den Kopf, als er sagt:

Was für Google richtig ist, ist für Kunden nicht immer richtig. Wir fordern Google dringend auf, den Kundenschutz zu unserem gemeinsamen Hauptziel zu machen.

Der andere Gesichtspunkt ist der Google hat eine etablierte Richtlinie und will Ausnahmen nicht weichen. Dies ist nicht die Art von Inflexibilität, die Sie von einem hochmodernen Unternehmen wie Google erwarten. Darüber hinaus ist es unverantwortlich, nicht nur die Sicherheitsanfälligkeit, sondern auch den Exploit-Code zu veröffentlichen, da Millionen von Benutzern von einem konzertierten Angriff betroffen sein könnten.

Wenn dies erneut geschieht, was können Sie tun, um Ihr System zu schützen?

Keine Software wird jemals vor Zero-Day-Exploits geschützt sein. Sie können Ihre eigene Sicherheit erhöhen, indem Sie eine vernünftige Sicherheitshygiene anwenden. Microsoft empfiehlt Folgendes:

Wir ermutigen Kunden, ihre zu behalten Antiviren Software Die beste PC-Software für Ihren Windows-ComputerMöchten Sie die beste PC-Software für Ihren Windows-Computer? Unsere umfangreiche Liste enthält die besten und sichersten Programme für alle Anforderungen. Weiterlesen auf dem neusten Stand, Installieren Sie alle verfügbaren Sicherheitsupdates 3 Gründe, warum Sie die neuesten Windows-Sicherheitspatches und -Updates ausführen solltenDer Code, aus dem das Windows-Betriebssystem besteht, enthält Sicherheitslücken, Fehler, Inkompatibilitäten oder veraltete Softwareelemente. Kurz gesagt, Windows ist nicht perfekt, das wissen wir alle. Sicherheitspatches und -updates beheben die Sicherheitslücken ... Weiterlesen und aktivieren Sie die Firewall Die beste PC-Software für Ihren Windows-ComputerMöchten Sie die beste PC-Software für Ihren Windows-Computer? Unsere umfangreiche Liste enthält die besten und sichersten Programme für alle Anforderungen. Weiterlesen auf ihrem Computer.

Unser Fazit: Google hätte mit Microsoft zusammenarbeiten sollen

Google hielt sich an seine willkürliche Frist, anstatt flexibel zu sein und im besten Interesse seiner Nutzer zu handeln. Sie hätten die Nachfrist für die Aufdeckung der Sicherheitslücken verlängern können, insbesondere nachdem Microsoft mitgeteilt hatte, dass Patches (fast) bereit waren. Wenn Googles vorrangiges Ziel darin besteht, das Internet sicherer zu machen, müssen sie bereit sein, mit anderen Unternehmen zusammenzuarbeiten.

In der Zwischenzeit hätte Microsoft möglicherweise mehr Ressourcen für die Entwicklung von Patches bereitstellen können. 90 Tage werden von einigen als ausreichender Zeitrahmen angesehen. Aufgrund des Drucks von Google haben sie tatsächlich einen Patch einen Monat früher als ursprünglich angenommen veröffentlicht. Es sieht fast so aus, als hätten sie das Thema ursprünglich nicht hoch genug priorisiert.

Wenn der Softwareanbieter signalisiert, dass er an dem Problem arbeitet, sollten Forscher wie das Project Zero-Team von Google im Allgemeinen zusammenarbeiten und die Nachfrist verlängern. Halten Sie eine bald zu sein gepatchte Sicherheitslücke Windows-Benutzer Achtung: Sie haben ein ernstes Sicherheitsproblem Weiterlesen Geheimnis scheint sicherer zu sein, als die Aufmerksamkeit von Hackern auf sich zu ziehen. Sollte die Kundensicherheit nicht die oberste Priorität eines Unternehmens sein?

Was denken Sie? Was wäre eine bessere Lösung gewesen oder hat Google doch das Richtige getan?

Bildnachweis: Magier Über Shutterstock, Von wk1003mike über Shutterstock gehackt, Rotes Seil von Mega Pixel über Shutterstock