Google, Güvenlik Açıklarını Düzeltilmeden Önce Bildirmeli mi?

  • Michael Cain
  • 0
  • 5121
  • 396
reklâm

Google durdurulamaz. Üç haftadan kısa bir süre içinde, Google, Windows'u bir düzeltme eki yayınlamaya hazır olduğu günlerden sadece iki gün önce, Windows'u etkileyen toplam dört sıfır gün güvenlik açığı ortaya çıkardı. Microsoft, Google'ın tepkisine göre eğlendirilmedi ve yargılanmadı, bu tür vakaların devam etmesi muhtemel.

Bu, Google’ın rekabetlerini daha verimli bir şekilde öğretme yöntemi midir? Peki ya kullanıcılar? Google'ın, ilgi alanımızdaki keyfi sürelere sıkı sıkıya bağlı kalması?

Google Neden Windows Güvenlik Açıklarını Rapor Ediyor??

Google güvenlik analistlerinden oluşan bir ekip olan Project Zero, sıfır gün istismarları araştırıyor Sıfır Gün Güvenlik Açığı Nedir? [MakeUseOf Açıklar] Sıfır Gün Güvenlik Açığı Nedir? 2014'ten beri [MakeUseOf Açıklar]. Proje, yarı zamanlı bir araştırma grubunun, kritik Heartbleed güvenlik açığı olan Heartbleed - Güvende Kalmak İçin Ne Yapabilirsiniz? Heartbleed - Güvende Kalmak İçin Ne Yapabilirsiniz?? .

Proje Sıfır duyurularında, Google, öncelikli önceliklerinin kendi ürünlerini güvenli hale getirmek olduğunu vurguladı. Google bir boşlukta çalışmadığından, araştırmaları, müşterilerinin kullandığı herhangi bir yazılımı kapsar..

Ekip şu ana kadar Adobe Reader, Flash, OS X, Linux ve Windows dahil olmak üzere çeşitli ürünlerde 200'den fazla hata tespit etti. Her bir güvenlik açığı yalnızca yazılım satıcısına bildirilir ve 90 gün ödemesiz süreyi alır ve sonrasında Google Güvenlik Araştırmaları Forumu aracılığıyla kamuya duyurulur..

Bu hata 90 günlük bir son bildirim tarihine tabidir. Geniş bir düzeltme eki olmadan 90 gün geçerse, hata raporu otomatik olarak herkese görünür hale gelir.

Microsoft'a olan da buydu. Dört kere. İlk Windows güvenlik açığı (118 no'lu sorun) 30 Eylül 2014'te tanımlanmış ve daha sonra 29 Aralık 2014'te yayımlanmıştır. Microsoft, Salı Yaması Windows Update: Düzeltme Ekiyle düzeltme eklemeye hazır olan günlerden 11 gün önce, 11 Ocak'ta Windows Update'i Bilmeniz Gereken: Bilmeniz Gereken Her Şey Windows Update bilgisayarınızda etkin mi? Windows Update, Windows'u, Internet Explorer'ı ve Microsoft Office'i en son güvenlik düzeltme ekleri ve hata düzeltmeleri ile güncel tutmak suretiyle sizi güvenlik açıklarından korur. ikinci güvenlik açığı (sorun # 123) kamuoyuna açıklandı ve Google’ın bekleyemeyeceği konusunda bir tartışma başlattı. Yalnızca günler sonra, kamu veritabanında durumu daha da arttıran iki güvenlik açığı (sorun # 128 ve sorun # 138) ortaya çıktı.

Sahne Arkasında Ne Oldu??

İlk sorun (# 118), Windows 8.1'i etkilediği gösterilen kritik bir ayrıcalık yükseltme güvenlik açığıydı. Hacker News’e göre “bir hackerın içeriğini değiştirmesine veya hatta kurbanların bilgisayarlarını tamamen ele geçirmesine izin vererek milyonlarca kullanıcıyı savunmasız bırakabilir“. Google, bu konuyla ilgili Microsoft ile hiçbir iletişim açıklamadı.

İkinci sayı için (# 123), Microsoft bir uzantı istedi ve Google bunu reddettiğinde, yamayı bir ay önce serbest bırakmak için çaba sarf ettiler. Bunlar James Forshaw'ın yorumlarıydı:

Microsoft, Şubat 2015'te bu sorunların düzeltilmesi konusunda hedeflediklerini doğruladı. 90 gün sonundaki bir soruna neden olup olmayacağını sordular. Microsoft'a 90 günlük son tarihin tüm satıcılar ve hata sınıfları için sabit olduğu ve bu nedenle genişletilemediği bildirildi. Ayrıca, bu konu için 90 günlük son sürenin 11 Ocak 2015 tarihinde sona erdiği bildirildi..

Microsoft, Ocak ayında Salı Güncellemesi ile ilgili her iki sorun için de düzeltme eki yayınladı.

Üçüncü sayıyla (# 128), Microsoft uyumluluk sorunları nedeniyle bir düzeltme ekini geciktirmek zorunda kaldı.

Microsoft, Ocak düzeltme ekleri için bir düzeltme yapılması gerektiğini, ancak uyumluluk sorunları nedeniyle ele alınması gerektiğini bildirdi. Bu nedenle Şubat düzeltme eklerinde düzeltme bekleniyor.

Microsoft, Google’a konuyla ilgili çalıştıklarını ancak zorluklarla karşılaştıklarını bildirmesine rağmen, Google devam etti ve bu güvenlik açığını yayınladı. Pazarlık yok, merhamet yok.

Son sayı (# 138) için Microsoft düzeltmemeye karar verdi. James Forshaw, aşağıdaki yorumu ekledi:

Microsoft, sorunun bir güvenlik bülteni çubuğuna uymadığı sonucuna vardı. Saldırganın bölümünden çok fazla kontrole ihtiyaç duyulacağını belirtti ve grup ilkesi ayarlarını güvenlik özelliği olarak görmüyorlar..

Google'ın Davranışı Kabul Edilebilir mi?

Microsoft öyle düşünmüyor. Tam bir yanıt olarak, Microsoft Güvenlik Araştırma Merkezi Kıdemli Direktörü Chris Betz, daha iyi bir koordineli güvenlik açığı bildirimi için çağrıda bulunuyor. Microsoft'un, araştırmacıların ve şirketlerin müşterilerin risklerini en aza indirmek için güvenlik açıkları üzerinde işbirliği yaptığı bir uygulama olan Koordineli Güvenlik Açığı Açıklaması'na (CVD) inandığını vurgulamaktadır..

Son olaylarla ilgili olarak, Betz, Microsoft’un Google’dan onlarla çalışmasını ve düzeltmeler Salı günü yapılan düzeltme dağıtılıncaya kadar ayrıntıları durdurmasını özellikle istedi. Google isteği görmezden geldi.

Her ne kadar takip etmek Google’ın açıklama için açıkladığı zaman çizelgesine uysa da, karar daha az prensip ve daha çok benzer “yakaladım”, müşterileri ile sonuç olarak muzdarip olanlar.

Betz’e göre, kamuoyunda açıklanan güvenlik açıkları, siber suçluların düzenlediği saldırılara maruz kalıyor, sorunların CVD yoluyla özel olarak açıklanması ve bilgilerin kamuya açıklanmasından önce yamalanması zorlukla görülüyor. Ayrıca Betz, tüm güvenlik açıklarının eşit yapılmamasını, yani bir sorunun eklendiği zaman çizelgesinin karmaşıklığına bağlı olduğunu söylüyor.

İşbirliği çağrısı yüksek ve net ve argümanları sağlam. Hiçbir yazılımın mükemmel olmadığı düşüncesi, karmaşık sistemler ile çalışan basit insanlar tarafından yapıldığı için çok sevindiricidir. Betz, söylediğinde kafasına çiviyi vurur:

Google için doğru olan, müşteriler için her zaman doğru değildir. Google’ı müşterileri kolektif birincil hedefimiz haline getirmeye teşvik ediyoruz.

Diğer bakış açısı, Google’ın yerleşik bir politikaya sahip olduğu ve istisnalara yol açmak istemediği yönündedir. Bu, Google gibi ultra modern bir şirketten bekleyeceğiniz türden bir esneklik değildir. Dahası, milyonlarca kullanıcının gizli bir saldırıya maruz kalması durumunda yalnızca güvenlik açığını değil, aynı zamanda yararlanma kodunu yayınlamak da sorumsuzdur..

Bu Tekrar Olursa, Sisteminizi Korumak İçin Ne Yapabilirsiniz??

Hiçbir yazılım sıfır günlük uygulamalardan asla güvenli olmaz. Sağduyulu bir güvenlik hijyeni benimseyerek kendi güvenliğinizi artırabilirsiniz. Microsoft'un önerdiği şey:

Müşterileri virüsten koruma yazılımlarını korumaya teşvik ediyoruz Windows Bilgisayarınız için En İyi PC Yazılımı Windows Bilgisayarınız için En İyi PC Yazılımı Windows bilgisayarınız için en iyi PC yazılımını mı istiyorsunuz? Büyük listemiz tüm ihtiyaçlar için en iyi ve en güvenli programları toplar. güncel, mevcut tüm güvenlik güncelleştirmelerini yükleyin 3 Neden Çalışmanız Gereken En Son Windows Güvenlik Düzeltme Ekleri ve Güncelleştirmeler 3 Sebepler Neden Çalışmalısınız? , hatalar, uyumsuzluklar veya güncel olmayan yazılım elemanları. Kısacası, Windows mükemmel değil, hepimiz biliyoruz. Güvenlik düzeltme ekleri ve güncellemeler bu güvenlik açıklarını giderir… ve güvenlik duvarını etkinleştirin Windows Bilgisayarınız için En İyi PC Yazılımı Windows Bilgisayarınız için En İyi PC Yazılımı Windows bilgisayarınız için en iyi PC yazılımını ister misiniz? Büyük listemiz tüm ihtiyaçlar için en iyi ve en güvenli programları toplar. bilgisayarlarında.

Kararımız: Google Microsoft ile İşbirliği Yapmalıydı

Google, esnek olmak ve kullanıcılarının çıkarlarına en uygun şekilde davranmak yerine, keyfi bir son tarihine sadık kaldı. Güvenlik açılarının açığa çıkması için ödemesiz süreyi uzatabilirlerdi, özellikle Microsoft yamalar (neredeyse) hazır olduklarını bildirdikten sonra. Google’ın asil amacı İnternet’i daha güvenli hale getirmekse, diğer şirketlerle işbirliğine hazır olmaları gerekir.

Bu arada, Microsoft muhtemelen yamaları geliştirirken daha fazla kaynak dağıtabilirdi. 90 gün, bazıları tarafından yeterli bir zaman dilimi olarak kabul edilir. Google’ın baskısı nedeniyle, aslında başlangıçta tahmin edilenden bir ay önce bir yamayı çıkardılar. Neredeyse meseleye başlangıçta yeterince öncelik vermemiş gibi görünüyorlar.

Genel olarak, yazılım satıcısı bu konuda çalıştıklarını belirtirse, Google’ın Proje Sıfır ekibi gibi araştırmacılar zarafet süresini uzatmalı ve işbirliği yapmalıdır. Yakında eklenmiş olacak bir güvenlik açığı olması Windows Kullanıcıları Dikkat: Ciddi bir Güvenlik Sorununuz Var Windows Kullanıcıları Dikkat: Ciddi bir Güvenlikiniz Vardır Sorunun sırrı bilgisayar korsanlarının dikkatini çekmekten daha güvenli görünüyor. Müşteri güvenliği, herhangi bir şirketin birinci önceliği olmamalıdır?

Ne düşünüyorsun? Daha iyi bir çözüm olurdu ya da Google sonuçta doğru olanı yaptıysa?

Görüntü Kredileri: Shutterstock Üzerinden Sihirbaz, Shutterstock'dan wk1003mike tarafından Hacked, Shutterstock'dan Mega Pixel'den Kırmızı Halat




Henüz no comments

Modern teknoloji hakkında basit ve uygun fiyatlı.
Modern teknoloji dünyasında rehberiniz. Her gün bizi çevreleyen teknolojileri ve araçları nasıl kullanacağınızı ve Internet'te ilginç şeyleri nasıl keşfedeceğinizi öğrenin.