Ponad 95% z 1Luki .600 wykryte przez Google Project Zero …

Ponieważ to ważne: Project Zero to okropny zespół badawczy ds. Bezpieczeństwa, który słynie z trzech rzeczy: znajdowania najgorszych luk, znajdowania nowych luk każdego dnia i dawania firmom zaledwie 90 dni na znalezienie ulepszeń, zanim opinia publiczna w pełni je ujawni. Podziwiona i nienawidzona przez większość społeczności bezpieczeństwa, niedawno przerwała ciszę, aby bronić swoich zasad przed wglądem i wyjaśnić, co naprawdę robią.

Wszystkie główne firmy technologiczne, od Microsoft do Apple Firma Intel otrzymała raport o błędzie od Project Zero zawierający następujące oświadczenie: „Ten błąd podlega 90-dniowemu okresowi ujawnienia. Po upływie 90 dni lub gdy łatka będzie powszechnie dostępna (w zależności od tego, co nastąpi wcześniej), raport o błędzie będzie publicznie widoczny. „Od tego momentu firmy mogą samodzielnie korygować błędy za pomocą Project Zero, samodzielnie lub wcale, w takim przypadku raport o błędach jest natychmiast publikowany.

Każdy raport o błędach zawiera prawie wszystko, co Project Zero może zebrać na temat luk w zabezpieczeniach, od tego, jak został odkryty po kod sprawdzający koncepcję, który wykorzystuje go do wskazywania problemu.

Od 30 lipca Project Zero opublikował raport o błędzie 1.585 luk naprawionych i 66 nie naprawionych. 1.411 z 1.585 wydane w ciągu 90 dni, a dodatkowe 174 wydane w 14. okresie karencji w dniu, w którym Projekt Zero dopuścił, gdy byli pewni, że firma jest na ukończeniu. Tylko dwa, które wykraczają poza to, Spectre & Meltdown i task_t, oba, gdy są wykorzystywane, umożliwiają programowi dostęp do najwyższych tajemnic sistema operativo.

Project Zero zdaje sobie sprawę, że publikowanie raportów o błędach przed naprawą jest nieco niebezpieczne, ale o to chodzi: sprawia, że ​​firmy boją się go naprawić, a według nich nie zrobi tego, jeśli oczekują, że raporty o błędach pozostaną ukryte.

„Jeśli przyjmiesz, że tylko dostawcy i reporterzy znają luki, problem można rozwiązać w trybie pilnym. Mamy jednak coraz więcej dowodów na to, że atakujący odkrył (lub uzyskał) wiele takich samych luk w zabezpieczeniach zgłoszonych przez badaczy bezpieczeństwa defensywnego. Nie wiemy na pewno, kiedy atakujący odkrył zgłoszony przez nas błąd bezpieczeństwa, ale wiemy, że rutynowo pojawia się w nim nasza polityka ujawniania.

Zasadniczo terminy ujawnienia informacji są dla badaczy bezpieczeństwa sposobem na ustalenie oczekiwań i zapewnienie wyraźnych bodźców dla dostawców i projektów open source do zwiększenia wysiłków na rzecz poprawy podatności na zagrożenia. Staramy się skalibrować nasz czas ujawnienia, aby był ambitny, uczciwy i realistyczny. „

Projekt Zero ma na to wyraźne dowody. Jedno badanie dotyczyło więcej niż 4.300 podatności i stwierdzono, że 15–20% podatności wykrywa się niezależnie co najmniej dwa razy w roku. Na przykład w Androidzie 14% luk wykrytych w ciągu 60 dni i 20% w 90, w przypadku Chrome 13% ponownego wykrycia w ciągu 60 dni. To pokazuje, że chociaż badacz bezpieczeństwa może być o krok przed krzywą, istnieje uzasadniona szansa, że ​​atakujący znajdzie wkrótce wszystko, co znajdzie.

Ale czy publikowanie raportu o błędzie przed łataniem nie jest niebezpieczne?

„Odpowiedź jest z początku sprzeczna: ujawnienie niewielkiej liczby nieskorygowanych słabych punktów nie zwiększa znacząco ani nie zmniejsza zdolności atakującego. Nasze ujawnienia dotyczące „ostatecznego terminu” mają krótkoterminowy neutralny wpływ na możliwości atakującego.

Wiemy na pewno, że istnieją grupy i osoby prywatne, które chcą wykorzystać publiczne ataki w celu wyrządzenia krzywdy użytkownikom (np. Wykorzystanie zestawu autorskiego), ale wiemy również, że koszt przekształcenia typowego raportu podatności na ataki Project Zero w atak rzeczywisty nie jest praktycznie trywialne ”.

Project Zero nie publikuje przewodnika krok po kroku, ale publikuje to, co opisuje jako „tylko część łańcucha eksploatacji”. Teoretycznie atakujący będą potrzebować znacznych zasobów i umiejętności, aby przekształcić tę lukę w niezawodne exploity, a Project Zero uważa, że ​​atakujący, którzy mogą to zrobić, mogą to zrobić, nawet jeśli nie ujawnią błędów. Być może atakujący jest zbyt leniwy, aby zacząć sam, ponieważ według badania z 2017 r. Średni czas od podatności na „w pełni funkcjonalne wykorzystanie” wynosi 22 dni.

To tylko problem, to duży problem, ale większość firm naciska w ciągu 90 dni. Drugą krytyką wielu badaczy jest polityka Project Zero polegająca na publikowaniu raportów o błędach po wydaniu łat, głównie dlatego, że łatki są wadliwe, a ta sama luka może pojawić się w innych lokalizacjach. Project Zero uważa, że ​​jest to korzystne dla obrońców, ponieważ pozwala im lepiej zrozumieć lukę i nie ma większego znaczenia dla atakujących, którzy będą w stanie dokonać inżynierii wstecznej exploitów łatki.

„Atakujący mają wyraźną motywację do poświęcenia czasu na analizę poprawek bezpieczeństwa, aby dowiedzieć się o lukach (zarówno poprzez przegląd kodu źródłowego, jak i odwrotną inżynierię binarną), i szybko ustalą pełne szczegóły, nawet jeśli dostawcy i badacze spróbują zachowaj dane techniczne ”.

Ponieważ użyteczność informacji o podatności na zagrożenia jest bardzo różna dla obrońców i atakujących, nie oczekujemy, że obrońcy będą w stanie przeprowadzić taką samą głębokość analizy jak atakujący.

Informacje, które ujawniamy, mogą być na ogół wykorzystywane przez obrońców w celu natychmiastowej poprawy obrony, testowania poprawności błędów i zawsze mogą być wykorzystywane do podejmowania świadomych decyzji dotyczących przyjęcia łaty lub krótkoterminowego łagodzenia. „

Czasami na wojnie należy podjąć ryzyko, aby osiągnąć ogólny sukces. I nie pomylcie się, bitwa między badaczami bezpieczeństwa a hakerami jest prawdziwa, z poważnymi implikacjami, prawdziwym życiem. Do tej pory Project Zero działał z powodzeniem bez znaczących konsekwencji agresywnej polityki i nie zawahają się postępować w ten sam sposób, chyba że spowoduje to drastyczne problemy. Mam nadzieję, że tak się nie stanie.