פרסומת

Google אינה ניתנת לעצירה. תוך פחות משלושה שבועות חשפה גוגל בסך הכל ארבע פגיעויות באפס יום שמשפיעות על חלונות, שניים מהן ימים ספורים לפני שמיקרוסופט הייתה מוכנה לשחרר תיקון. מיקרוסופט לא השתעשעה ושפטה לפי תגובתה של גוגל, יותר מקרים כאלה עשויים להופיע.

האם זו הדרך של גוגל ללמד את התחרות שלהם להיות יעילה יותר? ומה עם המשתמשים? האם הדבקות הקפדנית של גוגל במועדים שרירותיים לטובתנו?

מדוע גוגל מדווח על פגיעויות של חלונות?

פרויקט אפס, צוות של אנליסטים בתחום האבטחה של גוגל, חקר אפס מנצל יום מהי פגיעות של יום אפס? [MakeUseOf מסביר] קרא עוד מאז 2014. הפרויקט הוקם לאחר שקבוצת מחקר חלקית זיהתה כמה באגי תוכנה, כולל הקריטיים פגיעות מרוב לב פעורי לב - מה אתה יכול לעשות כדי להישאר בטוח? קרא עוד .

אצלם הכרזת פרויקט אפס, גוגל הדגישה כי העדיפות העליונה שלהם היא להפוך את המוצרים שלהם לבטוחים. מכיוון שגוגל אינה פועלת בוואקום, המחקר שלהם מתייחס לכל תוכנה שהלקוחות שלהם משתמשים בה.

עד כה הצוות זיהה למעלה מ- 200 באגים במוצרים שונים, כולל Adobe Reader, Flash, OS X, Linux ו- Windows. כל פגיעות מדווחת לספק התוכנה בלבד ומקבלת תקופת חסד של 90 יום, שלאחריה היא מתפרסמת באמצעות ה- פורום מחקר אבטחה של גוגל.

instagram viewer

באג זה כפוף למועד האחרון לחשיפה של 90 יום. אם חלפו 90 יום ללא תיקון זמין באופן נרחב, דוח הבאג יופיע באופן אוטומטי לציבור.

זה מה שקרה למיקרוסופט. ארבע פעמים. הפגיעות הראשונה של Windows (גיליון מס '118) זוהה ב- 30 בספטמבר 2014 ופורסמה לאחר מכן ב- 29 בדצמבר 2014. ב- 11 בינואר, ימים ספורים לפני שמיקרוסופט הייתה מוכנה לדחוף תיקון דרך תיקון יום שלישי עדכון Windows: כל מה שאתה צריך לדעתהאם Windows Update מופעל במחשב האישי שלך? עדכון Windows מגן עליך מפני פגיעויות אבטחה על ידי שמירה על עדכניות של Windows, Internet Explorer ו- Microsoft Office עם תיקוני האבטחה האחרונים ותיקוני באגים. קרא עוד , הפגיעות השנייה (גיליון 123) פורסם בציבור והתחיל דיון בשאלה האם גוגל לא הייתה יכולה לחכות. רק ימים לאחר מכן, שתי פגיעויות נוספות (גיליון מס '128 & גיליון מס '138) הופיע במאגר הציבורי והסלל את המצב עוד יותר.

פרוץ

מה קרה מאחורי הקלעים?

הגיליון הראשון (מס '118) היה פגיעות בהסלמת הרשאות קריטית, שהוכחה כי היא משפיעה על Windows 8.1. לפי חדשות ההאקר, זה "יכול לאפשר להאקר לשנות תוכן או אפילו להשתלט על מחשבי הקורבן לחלוטין, ולהשאיר מיליוני משתמשים פגיעים“. גוגל לא חשפה שום תקשורת עם מיקרוסופט בנושא זה.

בגיליון השני (מספר 123), מיקרוסופט ביקשה הארכה, וכשגוגל הכחישה, עשו מאמצים לשחרר את התיקון חודש קודם לכן. אלה היו הערותיו של ג'יימס פורשה:

מיקרוסופט אישרה כי הם עומדים ביעד לספק תיקונים לבעיות אלה בפברואר 2015. הם שאלו אם זה יגרום לבעיה במועד האחרון של 90 יום. מיקרוסופט התבשרה כי המועד האחרון ל 90 יום קבוע לכל הספקים ושיעורי הבאגים ולכן לא ניתן להאריך אותם. בהמשך לכך התבשרו כי המועד האחרון ל -90 יום לנושא זה פג ביום 11 בינואר 2015.

מיקרוסופט פרסמה טלאים לשני הגיליונות עם עדכון שלישי בינואר.

עם הגיליון השלישי (מס '128), מיקרוסופט נאלצה לעכב תיקון בגלל בעיות תאימות.

מיקרוסופט הודיעה לנו שתוכנן תיקון לתיקוני ינואר אך יש למשוך אותו בגלל בעיות תאימות. לכן התיקון צפוי כעת בתיקוני פברואר.

למרות שמיקרוסופט הודיעה לגוגל כי היא עובדת בנושא, אך מתמודדת עם קשיים, גוגל המשיכה לפרסם את הפגיעות. בלי משא ומתן, בלי רחמים.

בגיליון האחרון (מס '138), מיקרוסופט החליטה לא לתקן אותה. ג'יימס פורשה הוסיף את ההערה הבאה:

מיקרוסופט הגיעה למסקנה כי הבעיה אינה עומדת בסרגל עלון האבטחה. הם מציינים כי הדבר ידרוש שליטה רבה מדי מצד התוקף והם אינם רואים הגדרות מדיניות קבוצתית כתכונת אבטחה.

האם ההתנהגות של גוגל מקובלת?

מיקרוסופט לא חושבת כך. בתגובה מעמיקה קורא כריס בצ ', מנהל בכיר במרכז לחקר האבטחה של מיקרוסופט חשיפה מתואמת טובה יותר. הוא מדגיש שמיקרוסופט מאמינה בכך גילוי פגיעות מתואם (CVD), נוהג בו חוקרים וחברות משתפים פעולה על פגיעויות בכדי למזער את הסיכון עבור הלקוחות.

בנוגע לאירועים האחרונים, בץ מאשר כי מיקרוסופט ביקשה ספציפית מגוגל לעבוד איתם ולמנוע פרטים עד להפצת תיקונים במהלך תיקון יום שלישי. גוגל התעלמה מהבקשה.

למרות שעוקב אחר שמירה על ציר הזמן המוצהר של גוגל לגילוי, ההחלטה מרגישה פחות כמו עקרונות ויותר כמו "גחצ'ה", עם לקוחות אלה שעלולים לסבול כתוצאה מכך.

לדברי Betz, פגיעויות שנחשפו בפומבי חווים התקפות מתוזמרות של פושעי סייבר לפעול כמעט ולא נראה כשנושאים נחשפים באופן פרטי באמצעות CVD ומטופלים לפני שהמידע הופך ציבורי. עוד אומר בץ, לא כל הפגיעויות משוות, כלומר ציר הזמן שבתוכו סוגרת טלאים תלוי במורכבותו.

חבל אדום

קריאתו לשיתוף פעולה היא ברורה וברורה והוויכוחים שלו מוצקים. ההשתקפות שאף תוכנה אינה מושלמת מכיוון שהיא נעשית על ידי בני אדם פשוטים הפועלים עם מערכות מורכבות, מעוררת לב. בץ מכה את הציפורן בראש כשהוא אומר:

מה שנכון ל- Google לא תמיד מתאים ללקוחות. אנו קוראים ל- Google להפוך את ההגנה על הלקוחות למטרה העיקרית הקולקטיבית שלנו.

נקודת המבט האחרת היא זו לגוגל יש מדיניות קבועה ולא רוצה לפנות מקום לחריגים. זה לא מסוג הגמישות שהיית מצפה מחברה אולטרה מודרנית כמו גוגל. יתר על כן, פרסום לא רק של הפגיעות, אלא גם של קוד הניצול אינו אחראי, בהתחשב בכך שמיליוני משתמשים עלולים להיפגע מהתקפה מתואמת.

אם זה קורה שוב, מה אתה יכול לעשות כדי להגן על המערכת שלך?

אף תוכנה לעולם לא תהיה בטוחה מפני ניצול של אפס יום. אתה יכול להגדיל את הבטיחות שלך על ידי אימוץ היגיינת ביטחון בשכל הישר. זה מה שממליצה מיקרוסופט:

אנו מעודדים לקוחות לשמור על שלהם תוכנת אנטיוירוס תוכנת המחשב הטובה ביותר למחשב Windows שלךרוצה את תוכנת המחשב הטובה ביותר למחשב Windows שלך? הרשימה המסיבית שלנו אוספת את התוכניות הטובות והבטוחות ביותר לכל הצרכים. קרא עוד עדכני, התקן את כל עדכוני האבטחה הזמינים 3 סיבות מדוע אתה צריך להריץ את תיקוני האבטחה והעדכונים האחרונים של Windowsהקוד המרכיב את מערכת ההפעלה Windows מכיל חורי לולאת אבטחה, שגיאות, חוסר תאימות או רכיבי תוכנה מיושנים. בקיצור, חלונות אינם מושלמים, כולנו יודעים זאת. תיקוני אבטחה ועדכונים פותרים את הפגיעויות ... קרא עוד ולאפשר את חומת אש תוכנת המחשב הטובה ביותר למחשב Windows שלךרוצה את תוכנת המחשב הטובה ביותר למחשב Windows שלך? הרשימה המסיבית שלנו אוספת את התוכניות הטובות והבטוחות ביותר לכל הצרכים. קרא עוד במחשב שלהם.

פסק הדין שלנו: גוגל הייתה צריכה לשתף פעולה עם מיקרוסופט

גוגל דבקה במועד האחרון שרירותי שלה, במקום להיות גמישה ולפעול לטובת המשתמשים שלהם. הם יכלו להאריך את תקופת החסד לגילוי הפגיעויות, במיוחד לאחר שמיקרוסופט פרסמה כי טלאים מוכנים (כמעט). אם המטרה האצילית של גוגל היא להפוך את האינטרנט לבטוח יותר, עליהם להיות מוכנים לשתף פעולה עם חברות אחרות.

בינתיים, ייתכן שמיקרוסופט הייתה יכולה להשליך משאבים רבים יותר לפיתוח טלאים. 90 יום נחשבים למסגרת זמן מספקת על ידי חלקם. בגלל הלחץ של גוגל הם למעשה דחפו טלאי אחד החודש לפני כן מהערכה בתחילה. נראה כמעט שהם לא העדיפו את הנושא בצורה מספיק גבוהה במקור.

באופן כללי, אם ספק התוכנה מאותת כי הם עובדים בנושא, על חוקרים כמו צוות Project Zero של גוגל לשתף פעולה ולהאריך תקופות חסד. ממשיך להיות בקרוב פגיעות תיקון משתמשי Windows היזהרו: יש לך נושא אבטחה רציני קרא עוד הסוד נראה בטוח יותר מאשר למשוך את תשומת ליבם של האקרים. האם בטיחות הלקוחות לא צריכה להיות בראש סדר העדיפויות של חברה?

מה אתה חושב? מה היה פיתרון טוב יותר או האם גוגל עשתה את הדבר הנכון אחרי הכל?

זיכויים לתמונה: הקוסם דרך Shutterstock, נפרץ על ידי wk1003mike דרך Shutterstock, חבל אדום מאת מגה פיקסל דרך Shutterstock

טינה כותבת על טכנולוגיית צריכה כבר למעלה מעשור. בעלת דוקטורט במדעי הטבע, דיפלומה מגרמניה ותואר שני משוודיה. הרקע האנליטי שלה עזר לה להצטיין כעיתונאית טכנולוגית ב- MakeUseOf, שם היא מנהלת כעת מחקר ותפעול מילות מפתח.