¿Debería Google anunciar vulnerabilidades antes de que hayan sido reparadas?

Google es imparable. En menos de tres semanas, Google reveló un total de cuatro vulnerabilidades de día cero que afectan a Windows, dos de ellas solo unos días antes de que Microsoft estuviera listo para lanzar un parche. Microsoft no se divirtió y a juzgar por la reacción de Google, es probable que haya más casos de este tipo..

¿Es esta la forma en que Google enseña a sus competidores a ser más eficientes? ¿Y qué hay de los usuarios? ¿Es el cumplimiento estricto de Google de plazos arbitrarios en nuestro mejor interés??

¿Por qué Google informa vulnerabilidades de Windows??

Project Zero, un equipo de analistas de seguridad de Google, ha estado investigando exploits de día cero ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] desde 2014. El proyecto se fundó después de que un grupo de investigación a tiempo parcial identificó varios errores de software, incluida la vulnerabilidad crítica Heartbleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Heartbleed: ¿qué puede hacer para mantenerse a salvo?? .

En su anuncio del Proyecto Cero, Google enfatizó que su principal prioridad era asegurar sus propios productos. Como Google no está operando en el vacío, su investigación se extiende a cualquier software que sus clientes estén usando.

Hasta ahora, el equipo ha identificado más de 200 errores en varios productos, incluidos Adobe Reader, Flash, OS X, Linux y Windows. Cada vulnerabilidad se informa solo al proveedor de software y recibe un período de gracia de 90 días, después del cual se hace público a través del foro de Google Security Research.

Este error está sujeto a un plazo de divulgación de 90 días. Si transcurren 90 días sin un parche ampliamente disponible, el informe de errores se hará visible automáticamente para el público.

Eso es lo que le pasó a Microsoft. Cuatro veces. La primera vulnerabilidad de Windows (problema # 118) se identificó el 30 de septiembre de 2014 y se publicó posteriormente el 29 de diciembre de 2014. El 11 de enero, solo unos días antes de que Microsoft estuviera listo para lanzar una solución a través de Patch Tuesday Windows Update: todo lo que necesita saber Windows Update: todo lo que necesita saber ¿Está Windows Update habilitado en su PC? Windows Update lo protege de las vulnerabilidades de seguridad al mantener Windows, Internet Explorer y Microsoft Office actualizados con los últimos parches de seguridad y correcciones de errores. , la segunda vulnerabilidad (problema # 123) se hizo pública, iniciando un debate sobre si Google no podría haber esperado. Solo días después, aparecieron dos vulnerabilidades más (problema 128 y 138) en la base de datos pública, lo que intensificó aún más la situación..

Lo que sucedió detrás de escena?

El primer problema (# 118) fue una vulnerabilidad de escalada de privilegios crítica, que se vio que afecta a Windows 8.1. Según The Hacker News, es “podría permitir que un pirata informático modifique el contenido o incluso se apodere completamente de las computadoras de las víctimas, dejando a millones de usuarios vulnerables“. Google no reveló ninguna comunicación con Microsoft con respecto a este problema.

Para el segundo número (# 123), Microsoft solicitó una extensión, y cuando Google la negó, hicieron un esfuerzo para lanzar el parche un mes antes. Estos fueron los comentarios de James Forshaw:

Microsoft confirmó que están en el objetivo de proporcionar soluciones para estos problemas en febrero de 2015. Preguntaron si esto causaría un problema con el plazo de 90 días. Se informó a Microsoft que el plazo de 90 días está fijado para todos los proveedores y clases de errores, por lo que no se puede extender. Además, se les informó que el plazo de 90 días para este problema expira el 11 de enero de 2015.

Microsoft lanzó parches para ambos problemas con Update Tuesday in January.

Con el tercer problema (# 128), Microsoft tuvo que retrasar un parche debido a problemas de compatibilidad.

Microsoft nos informó que se planificó una solución para los parches de enero, pero que se debe retirar debido a problemas de compatibilidad. Por lo tanto, la solución ahora se espera en los parches de febrero.

A pesar de que Microsoft informó a Google que estaban trabajando en el problema, pero enfrentando dificultades, Google siguió adelante y publicó la vulnerabilidad. Sin negociación, sin piedad..

Para el último problema (# 138), Microsoft decidió no solucionarlo. James Forshaw agregó el siguiente comentario:

Microsoft ha concluido que el problema no cumple con los requisitos de un boletín de seguridad. Afirman que requeriría demasiado control por parte del atacante y no consideran la configuración de la política de grupo como una característica de seguridad.

¿Es aceptable el comportamiento de Google??

Microsoft no lo cree así. En una respuesta exhaustiva, Chris Betz, Director Senior del Centro de Investigación de Seguridad de Microsoft, pide una divulgación de vulnerabilidad mejor coordinada. Hace hincapié en que Microsoft cree en la divulgación coordinada de vulnerabilidades (CVD), una práctica en la que los investigadores y las empresas colaboran en las vulnerabilidades para minimizar el riesgo para los clientes.

Con respecto a los eventos recientes, Betz confirma que Microsoft le pidió específicamente a Google que trabaje con ellos y retenga los detalles hasta que se distribuyan las soluciones durante el martes de parches. Google ignoró la solicitud..

Si bien el cumplimiento de los plazos de divulgación anunciados por Google, la decisión se siente menos como principios y más como un “gotcha”, con clientes los que pueden sufrir como resultado.

Según Betz, las vulnerabilidades divulgadas públicamente experimentan ataques orquestados de ciberdelincuentes, un acto que apenas se ve cuando los problemas se divulgan de forma privada a través de CVD y se reparan antes de que la información se haga pública. Además, Betz dice que no todas las vulnerabilidades son iguales, lo que significa que la línea de tiempo dentro de la cual se repara un problema depende de su complejidad.

Su llamado a la colaboración es alto y claro y sus argumentos son sólidos. La reflexión de que ningún software es perfecto porque está hecho por humanos simples que operan con sistemas complejos es entrañable. Betz golpea el clavo en la cabeza cuando dice:

Lo que es correcto para Google no siempre es lo correcto para los clientes. Instamos a Google a hacer de la protección de los clientes nuestro principal objetivo colectivo.

El otro punto de vista es que Google tiene una política establecida y no quiere dar paso a excepciones. Este no es el tipo de inflexibilidad que esperaría de una empresa ultramoderna como Google. Además, publicar no solo la vulnerabilidad, sino también el código de explotación es irresponsable, dado que millones de usuarios podrían verse afectados por un ataque concertado.

Si esto vuelve a ocurrir, ¿qué puede hacer para proteger su sistema??

Ningún software estará a salvo de ataques de día cero. Puede aumentar su propia seguridad adoptando una higiene de seguridad de sentido común. Esto es lo que Microsoft recomienda:

Alentamos a los clientes a conservar su software antivirus. El mejor software para PC para su computadora con Windows El mejor software para PC para su computadora con Windows ¿Desea el mejor software para PC para su computadora con Windows? Nuestra lista masiva recopila los mejores y más seguros programas para todas las necesidades. actualizado, instale todas las actualizaciones de seguridad disponibles 3 razones por las que debería ejecutar los últimos parches y actualizaciones de seguridad de Windows 3 razones por las que debería ejecutar los últimos parches y actualizaciones de seguridad de Windows El código que conforma el sistema operativo Windows contiene agujeros de seguridad , errores, incompatibilidades o elementos de software obsoletos. En resumen, Windows no es perfecto, todos lo sabemos. Los parches de seguridad y las actualizaciones corrigen las vulnerabilidades ... y habilitan el cortafuegos. Nuestra lista masiva recopila los mejores y más seguros programas para todas las necesidades. en su computadora.

Nuestro veredicto: Google debería haber cooperado con Microsoft

Google se atuvo a su plazo arbitrario, en lugar de ser flexible y actuar en el mejor interés de sus usuarios. Podrían haber extendido el período de gracia para revelar las vulnerabilidades, especialmente después de que Microsoft comunicó que los parches estaban (casi) listos. Si el noble objetivo de Google es hacer que Internet sea más seguro, deben estar preparados para cooperar con otras compañías.

Mientras tanto, Microsoft podría haber lanzado más recursos para desarrollar parches. 90 días es considerado como un tiempo suficiente por algunos. Debido a la presión de Google, de hecho sacaron un parche un mes antes de lo estimado inicialmente. Casi parece que originalmente no priorizaron el problema lo suficiente.

En general, si el proveedor de software señala que está trabajando en el tema, investigadores como el equipo del Proyecto Cero de Google deberían cooperar y extender los períodos de gracia. Mantener una vulnerabilidad que se corregirá pronto. Los usuarios de Windows deben tener cuidado: tiene un problema de seguridad grave. Los usuarios de Windows deben tener cuidado: el secreto de un problema de seguridad serio parece ser más seguro que atraer la atención de los piratas informáticos. ¿No debería ser la seguridad del cliente la principal prioridad de cualquier empresa??

¿Qué piensas? ¿Cuál hubiera sido una mejor solución o Google hizo lo correcto después de todo??

Créditos de imagen: Wizard Via Shutterstock, Hackeado por wk1003mike a través de Shutterstock, Red Rope por Mega Pixel a través de Shutterstock