Propaganda
O Google é imparável. Em menos de três semanas, o Google revelou um total de quatro vulnerabilidades de dia zero que afetam o Windows, duas delas apenas alguns dias antes da Microsoft estar pronta para lançar um patch. A Microsoft não se divertiu e, a julgar pela reação do Google, é provável que mais casos sejam seguidos.
Essa é a maneira do Google de ensinar a concorrência a ser mais eficiente? E os usuários? A estrita adesão do Google a prazos arbitrários é do nosso interesse?
Por que o Google está relatando vulnerabilidades no Windows?
Projeto Zero, uma equipe de analistas de segurança do Google, vem pesquisando explorações de dia zero O que é uma vulnerabilidade de dia zero? [MakeUseOf explica] consulte Mais informação desde 2014. O projeto foi fundado após um grupo de pesquisa em meio período ter identificado vários bugs de software, incluindo os críticos Vulnerabilidade Heartbleed Heartbleed - O que você pode fazer para se manter seguro? consulte Mais informação .
Na sua Anúncio do Project Zero
, O Google enfatizou que sua principal prioridade era tornar seus próprios produtos seguros. Como o Google não está operando no vácuo, suas pesquisas se estendem a qualquer software que seus clientes estejam usando.Até agora, a equipe identificou mais de 200 erros em vários produtos, incluindo Adobe Reader, Flash, OS X, Linux e Windows. Cada vulnerabilidade é relatada apenas ao fornecedor do software e recebe um período de carência de 90 dias, após o qual é tornada pública por meio do Fórum de pesquisa de segurança do Google.
Este bug está sujeito a um prazo de divulgação de 90 dias. Se decorridos 90 dias sem um patch amplamente disponível, o relatório de bug se tornará automaticamente visível ao público.
Foi o que aconteceu com a Microsoft. Quatro vezes. A primeira vulnerabilidade do Windows (edição # 118) foi identificado em 30 de setembro de 2014 e posteriormente publicado em 29 de dezembro de 2014. Em 11 de janeiro, poucos dias antes da Microsoft estar pronta para executar uma correção via Patch Tuesday Windows Update: tudo o que você precisa saberO Windows Update está ativado no seu PC? O Windows Update protege você contra vulnerabilidades de segurança, mantendo o Windows, Internet Explorer e Microsoft Office atualizados com as mais recentes correções de segurança e correções de bugs. consulte Mais informação , a segunda vulnerabilidade (edição # 123) foi tornado público, lançando um debate sobre se o Google não poderia ter esperado. Dias depois, mais duas vulnerabilidades (edição # 128 & edição 138) apareceu no banco de dados público, aumentando ainda mais a situação.
O que aconteceu nos bastidores?
O primeiro problema (nº 118) foi uma vulnerabilidade crítica de escalonamento de privilégios, que afetou o Windows 8.1. De acordo com The Hacker News, isto "pode permitir que um hacker modifique o conteúdo ou mesmo assuma o controle total dos computadores das vítimas, deixando milhões de usuários vulneráveis“. O Google não revelou nenhuma comunicação com a Microsoft sobre esse problema.
Para o segundo problema (nº 123), a Microsoft solicitou uma extensão e, quando o Google negou, eles se esforçaram para lançar o patch um mês antes. Estes foram os comentários de James Forshaw:
A Microsoft confirmou que está no objetivo de fornecer correções para esses problemas em fevereiro de 2015. Eles perguntaram se isso causaria um problema no prazo de 90 dias. A Microsoft foi informada de que o prazo de 90 dias é fixo para todos os fornecedores e classes de bugs e, portanto, não pode ser estendido. Além disso, eles foram informados de que o prazo de 90 dias para esse problema expiraria em 11 de janeiro de 2015.
A Microsoft lançou patches para os dois problemas com o Update Tuesday em janeiro.
Com o terceiro problema (nº 128), a Microsoft teve que adiar um patch devido a problemas de compatibilidade.
A Microsoft nos informou que uma correção foi planejada para os patches de janeiro, mas precisa ser corrigida devido a problemas de compatibilidade. Portanto, a correção agora é esperada nos patches de fevereiro.
Embora a Microsoft tenha informado ao Google que eles estavam trabalhando no problema, mas enfrentando dificuldades, o Google foi adiante e publicou a vulnerabilidade. Sem negociação, sem piedade.
Para a última edição (nº 138), a Microsoft decidiu não corrigi-lo. James Forshaw adicionou o seguinte comentário:
A Microsoft concluiu que o problema não atende à barra de um boletim de segurança. Eles afirmam que isso exigiria muito controle da parte do invasor e não consideram as configurações de diretiva de grupo como um recurso de segurança.
O comportamento do Google é aceitável?
A Microsoft não pensa assim. Em uma resposta completa, Chris Betz, diretor sênior do Microsoft Security Research Center, pede uma melhor divulgação coordenada de vulnerabilidades. Ele enfatiza que a Microsoft acredita em Divulgação Coordenada de Vulnerabilidades (CVD), uma prática na qual pesquisadores e empresas colaboram em vulnerabilidades para minimizar o risco para os clientes.
Com relação aos eventos recentes, Betz confirma que a Microsoft pediu especificamente ao Google para trabalhar com eles e reter detalhes até que as correções fossem distribuídas durante o Patch Tuesday. O Google ignorou a solicitação.
Embora seguir o cronograma anunciado pelo Google para divulgação, a decisão se parece menos com princípios e mais como uma “pegadinha”, com os clientes que podem sofrer como resultado.
Segundo Betz, as vulnerabilidades divulgadas publicamente sofrem ataques orquestrados de criminosos cibernéticos, um dificilmente visto quando os problemas são divulgados em particular por meio de CVD e corrigidos antes que as informações se tornem público. Além disso, Betz diz que nem todas as vulnerabilidades são iguais, o que significa que a linha do tempo em que um problema é corrigido depende de sua complexidade.
Seu pedido de colaboração é alto e claro e seus argumentos são sólidos. A reflexão de que nenhum software é perfeito porque é feito por humanos simples que operam com sistemas complexos é cativante. Betz bate na unha na cabeça quando diz:
O que é certo para o Google nem sempre é certo para os clientes. Instamos o Google a tornar a proteção dos clientes nossa principal meta coletiva.
O outro ponto de vista é que O Google tem uma política estabelecida e não quer dar lugar a exceções. Este não é o tipo de inflexibilidade que você esperaria de uma empresa ultra moderna como o Google. Além disso, publicar não apenas a vulnerabilidade, mas também o código de exploração é irresponsável, já que milhões de usuários podem ser atingidos por um ataque conjunto.
Se isso acontecer novamente, o que você pode fazer para proteger seu sistema?
Nenhum software estará a salvo de explorações de dia zero. Você pode aumentar sua própria segurança adotando uma higiene de segurança de senso comum. Isto é o que a Microsoft recomenda:
Incentivamos os clientes a manterem suas software antivírus O melhor software de PC para o seu computador WindowsDeseja o melhor software de PC para o seu computador Windows? Nossa lista enorme reúne os melhores e mais seguros programas para todas as necessidades. consulte Mais informação atualizado, instale todas as atualizações de segurança disponíveis 3 razões pelas quais você deve executar os últimos patches e atualizações de segurança do WindowsO código que compõe o sistema operacional Windows contém falhas de loop de segurança, erros, incompatibilidades ou elementos de software desatualizados. Em suma, o Windows não é perfeito, todos nós sabemos disso. Os patches e atualizações de segurança corrigem as vulnerabilidades ... consulte Mais informação e habilite o firewall O melhor software de PC para o seu computador WindowsDeseja o melhor software de PC para o seu computador Windows? Nossa lista enorme reúne os melhores e mais seguros programas para todas as necessidades. consulte Mais informação no computador deles.
Nosso veredicto: o Google deveria ter cooperado com a Microsoft
O Google manteve seu prazo arbitrário, em vez de ser flexível e agir no melhor interesse de seus usuários. Eles poderiam ter estendido o período de carência para revelar as vulnerabilidades, especialmente depois que a Microsoft comunicou que os patches estavam (quase) prontos. Se o nobre objetivo do Google é tornar a Internet mais segura, eles devem estar prontos para cooperar com outras empresas.
Enquanto isso, a Microsoft poderia ter investido mais recursos no desenvolvimento de patches. 90 dias é considerado um prazo suficiente para alguns. Devido à pressão do Google, eles de fato lançaram um patch um mês antes do inicialmente estimado. Parece que eles não priorizaram o problema suficientemente alto originalmente.
Geralmente, se o fornecedor do software sinalizar que está trabalhando no problema, pesquisadores como a equipe do Project Zero do Google devem cooperar e estender períodos de carência. Mantendo um breve vulnerabilidade corrigida Cuidado com os usuários do Windows: você tem um sério problema de segurança consulte Mais informação segredo parece ser mais seguro do que atrair a atenção dos hackers. A segurança do cliente não deveria ser a principal prioridade de qualquer empresa?
O que você acha? Qual teria sido uma solução melhor ou, afinal, o Google fez a coisa certa?
Créditos da imagem: Mago Via Shutterstock, Hackeado por wk1003mike via Shutterstock, Corda vermelha por Mega Pixel via Shutterstock
Tina escreve sobre tecnologia de consumo há mais de uma década. Ela possui doutorado em ciências naturais, um diploma da Alemanha e um mestrado da Suécia. Sua formação analítica a ajudou a se destacar como jornalista de tecnologia na MakeUseOf, onde agora ela gerencia pesquisas e operações de palavras-chave.