Tehnografi.com - Технологические новости, обзоры и советы

Более 95% из 1600 уязвимостей, обнаруженных Google Project Zero, были исправлены в течение 90 дней

Почему это важно: Project Zero – это ужасная команда исследователей в области безопасности, печально известная тремя вещами: обнаружение наихудших уязвимостей, обнаружение новых уязвимостей каждый день и предоставление компаниям всего 90 дней, чтобы найти исправление, прежде чем обнародовать их полностью. Одинаково восхищенные и ненавидимые большинством сообщества безопасности, они недавно нарушили свое молчание, чтобы защитить свою нелогичную политику и объяснить, что они действительно делают.

Каждая крупная технологическая компания, от Microsoft до Apple в Intel получил сообщение об ошибке от Project Zero, содержащее следующее утверждение: «Эта ошибка подлежит 90-дневному сроку раскрытия. После истечения 90 дней или широкого распространения патча (в зависимости от того, что наступит раньше) отчет об ошибке станет видимым для общественности ». С этого момента компания может решить исправить ошибку с помощью Project Zero самостоятельно или совсем нет – в этом случае отчет об ошибке публикуется немедленно.

Каждый отчет об ошибке содержит почти все, что Project Zero может собрать об уязвимости, от того, как он был впервые обнаружен, до кода для проверки концепции, который использует его для демонстрации проблемы.

По состоянию на 30 июля Project Zero опубликовал отчеты об ошибках в 1585 исправленных и 66 нефиксированных уязвимостях. 1411 из 1585 были опубликованы в течение 90 дней, и еще 174 были выпущены в течение 14-дневного льготного периода, когда Project Zero разрешает, когда, по их мнению, компания близка к завершению исправления. Только два превзошли это: Spectre & Meltdown и task_t, оба из которых, при использовании, позволяли программам получать доступ к самым высоким секретам операционной системы.

Project Zero признает, что выпуск отчета об ошибках до исправления несколько вреден, но в этом-то и дело: он пугает компании, чтобы фактически исправить его, что, по их словам, не будет сделано, если они ожидают, что отчет об ошибках останется скрытым.

«Если вы предполагаете, что об этой уязвимости знают только продавец и репортер, тогда проблему можно исправить без срочности. Тем не менее, у нас появляется все больше доказательств того, что злоумышленники обнаруживают (или приобретают) многие из тех же уязвимостей, о которых сообщают исследователи в области защиты. Мы не можем точно знать, когда ранее обнаруженная нами ошибка безопасности была обнаружена злоумышленником, но мы знаем, что она происходит достаточно регулярно, чтобы учитывать нашу политику раскрытия.

По сути, крайние сроки раскрытия информации позволяют исследователям безопасности устанавливать ожидания и дают явный стимул для поставщиков и проектов с открытым исходным кодом для улучшения их усилий по устранению уязвимости. Мы попытались откорректировать сроки раскрытия, чтобы они были амбициозными, справедливыми и реально достижимыми ».

Project Zero имеет четкую линию доказательств этого. Одно исследование проанализировало более 4300 уязвимостей и обнаружило, что от 15% до 20% уязвимостей обнаруживаются независимо, по крайней мере, дважды в течение года. Например, для Android 14% уязвимостей повторно обнаруживаются в течение 60 дней, а 20% – в течение 90, для Chrome повторное обнаружение 13% в течение 60 дней. Это говорит о том, что, хотя исследователь в области безопасности может быть впереди, существует разумная вероятность того, что все, что они обнаружат, вскоре будет обнаружено злоумышленниками.

Но не опасно ли публиковать отчет об ошибках перед патчем?

«Поначалу ответ нелогичен: раскрытие небольшого числа незафиксированных уязвимостей не увеличивает и не уменьшает возможности злоумышленника. Раскрытие, основанное на крайних сроках, имеет краткосрочный нейтральный эффект на возможности атакующего.

Мы, конечно, знаем, что есть группы и отдельные лица, которые ожидают использования публичных атак для нанесения вреда пользователям (например, авторам комплектов эксплойтов), но мы также знаем, что стоимость превращения типичного отчета об уязвимости Project Zero в практическую реальную атаку не -тривиален «.

Project Zero не публикует пошаговое руководство по взлому, они публикуют то, что они описывают как «только одну часть цепочки эксплойтов». Теоретически злоумышленнику потребуются значительные ресурсы и навыки, чтобы превратить эти уязвимости в надежный эксплойт, и Project Zero утверждает, что злоумышленник, способный на это, мог бы сделать это, даже если бы он не выявил ошибку. Возможно, злоумышленникам просто лень начинать самостоятельно, потому что, как показало исследование 2017 года, среднее время от уязвимости до «полностью функционирующего эксплойта» составляет 22 дня.

Это только одна проблема, это большая проблема, но большинство компаний все равно выживают в течение 90 дней. Вторая критика, которой подвергаются многие исследователи, это политика Project Zero по публикации отчета об ошибках после выпуска патча, главным образом потому, что патчи, как правило, несовершенны, и потому что та же самая уязвимость может возникать в других местах. Project Zero считает, что это выгодно для защитников, позволяя им лучше понять уязвимости и не имеет большого значения для злоумышленников, которые в любом случае смогут заново спроектировать эксплойт из патча.

«У злоумышленников есть явный стимул тратить время на анализ исправлений безопасности, чтобы узнать об уязвимостях (как с помощью анализа исходного кода, так и двоичного обратного инжиниринга), и они быстро установят полную информацию, даже если поставщик и исследователь попытаются скрыть технические данные ,

Поскольку полезность информации об уязвимостях очень различна для защитников и злоумышленников, мы не ожидаем, что защитники, как правило, могут позволить себе такой же глубокий анализ, как и злоумышленники.

Информация, которую мы публикуем, обычно может использоваться защитниками для немедленного улучшения защиты, проверки точности исправлений ошибок и всегда может использоваться для принятия обоснованных решений о принятии исправлений или краткосрочных мерах ».

Иногда на войне нужно идти на риск, чтобы достичь общего успеха. И не заблуждайтесь, битва между исследователями безопасности и хакерами реальна и имеет серьезные, реальные последствия. До сих пор Project Zero успешно работал без каких-либо существенных последствий своей агрессивной политики, и они, без сомнения, будут продолжать действовать аналогичным образом, если только это не вызовет серьезную проблему. Будем надеяться, что этого не произойдет.