Haruskah Google Mengumumkan Kerentanan Sebelum Ditambal?

Iklan

Google tidak terhentikan. Dalam waktu kurang dari tiga minggu, Google mengungkapkan empat kerentanan nol hari yang memengaruhi Windows, dua di antaranya hanya beberapa hari sebelum Microsoft siap merilis tambalan. Microsoft tidak merasa geli dan menilai oleh reaksi Google, lebih banyak kasus seperti itu yang akan terjadi.

Apakah ini cara Google mengajarkan pesaing mereka menjadi lebih efisien? Dan bagaimana dengan pengguna? Apakah Google mematuhi secara ketat tenggat waktu yang sewenang-wenang demi kepentingan terbaik kami?

Mengapa Google Melaporkan Kerentanan Windows?

Project Zero, tim analis keamanan Google, telah meneliti eksploitasi nol hari Apa itu Kerentanan Hari Nol? [MakeUseOf Menjelaskan] Baca lebih banyak sejak 2014. Proyek ini didirikan setelah kelompok riset paruh waktu telah mengidentifikasi beberapa bug perangkat lunak, termasuk yang kritis Kerentanan yang menyedihkan Heartbleed - Apa yang Dapat Anda Lakukan Agar Tetap Aman? Baca lebih banyak .

Di mereka Pengumuman Project Zero

Google menekankan bahwa prioritas utama mereka adalah membuat produk mereka sendiri aman. Karena Google tidak beroperasi dalam ruang hampa, penelitian mereka meluas ke perangkat lunak apa pun yang digunakan pelanggan mereka.

Sejauh ini, tim telah mengidentifikasi lebih dari 200 bug di berbagai produk, termasuk Adobe Reader, Flash, OS X, Linux, dan Windows. Setiap kerentanan dilaporkan kepada vendor perangkat lunak saja dan menerima masa tenggang 90 hari, setelah itu dipublikasikan melalui Internet Forum Penelitian Keamanan Google.

Bug ini tunduk pada batas waktu pengungkapan 90 hari. Jika 90 hari berlalu tanpa tambalan yang tersedia secara luas, maka laporan bug akan secara otomatis terlihat oleh publik.

Itulah yang terjadi pada Microsoft. Empat kali. Kerentanan Windows pertama (masalah # 118) diidentifikasi pada 30 September 2014 dan kemudian diterbitkan pada tanggal 29 Desember 2014. Pada 11 Januari, hanya beberapa hari sebelum Microsoft siap melakukan perbaikan melalui Tempel Selasa Pembaruan Windows: Semua yang Perlu Anda KetahuiApakah Pembaruan Windows diaktifkan di PC Anda? Pembaruan Windows melindungi Anda dari kerentanan keamanan dengan menjaga agar Windows, Internet Explorer, dan Microsoft Office tetap mutakhir dengan tambalan keamanan terbaru dan perbaikan bug. Baca lebih banyak , kerentanan kedua (masalah # 123) dipublikasikan, meluncurkan debat tentang apakah Google tidak bisa menunggu. Hanya beberapa hari kemudian, dua kerentanan lagi (masalah # 128 & masalah # 138) muncul di database publik, meningkatkan situasi lebih lanjut.

Apa yang Terjadi di Balik Layar?

Masalah pertama (# 118) adalah kerentanan eskalasi hak istimewa yang kritis, terbukti memengaruhi Windows 8.1. Berdasarkan The Hacker News, Itu "dapat memungkinkan peretas untuk memodifikasi konten atau bahkan mengambil alih komputer korban sepenuhnya, membuat jutaan pengguna rentan“. Google tidak mengungkapkan komunikasi apa pun dengan Microsoft terkait masalah ini.

Untuk masalah kedua (# 123), Microsoft meminta ekstensi, dan ketika Google menolaknya, mereka berupaya melepaskan tambalan sebulan sebelumnya. Ini adalah komentar James Forshaw:

Microsoft mengonfirmasi bahwa mereka tepat sasaran untuk menyediakan perbaikan untuk masalah ini pada Februari 2015. Mereka bertanya apakah ini akan menyebabkan masalah dengan batas waktu 90 hari. Microsoft diberi tahu bahwa batas waktu 90 hari ditetapkan untuk semua vendor dan kelas bug sehingga tidak dapat diperpanjang. Selanjutnya mereka diberitahu bahwa batas waktu 90 hari untuk masalah ini berakhir pada 11 Januari 2015.

Microsoft merilis tambalan untuk kedua masalah dengan Pembaruan Selasa di bulan Januari.

Dengan masalah ketiga (# 128), Microsoft harus menunda tambalan karena masalah kompatibilitas.

Microsoft memberi tahu kami bahwa perbaikan telah direncanakan untuk tambalan bulan Januari tetapi harus ditarik karena masalah kompatibilitas. Oleh karena itu perbaikan sekarang diharapkan di patch Februari.

Meskipun Microsoft memberi tahu Google bahwa mereka sedang mengerjakan masalah ini, tetapi menghadapi kesulitan, Google tetap melanjutkan dan menerbitkan kerentanannya. Tidak ada negosiasi, tidak ada belas kasihan.

Untuk masalah terakhir (# 138), Microsoft memutuskan untuk tidak memperbaikinya. James Forshaw menambahkan komentar berikut:

Microsoft telah menyimpulkan bahwa masalah ini tidak memenuhi bilah buletin keamanan. Mereka menyatakan bahwa itu akan memerlukan terlalu banyak kontrol dari bagian penyerang dan mereka tidak menganggap pengaturan kebijakan grup sebagai fitur keamanan.

Apakah Perilaku Google Dapat Diterima?

Microsoft tidak berpikir begitu. Dalam tanggapan menyeluruh, Chris Betz, Direktur Senior Pusat Penelitian Keamanan Microsoft, meminta pengungkapan kerentanan terkoordinasi yang lebih baik. Dia menekankan bahwa Microsoft percaya Pengungkapan Kerentanan terkoordinasi (CVD), praktik di mana para peneliti dan perusahaan berkolaborasi dalam kerentanan untuk meminimalkan risiko bagi pelanggan.

Mengenai peristiwa baru-baru ini, Betz mengkonfirmasi bahwa Microsoft secara khusus meminta Google untuk bekerja dengan mereka dan menahan detail sampai perbaikan didistribusikan selama Patch Tuesday. Google mengabaikan permintaan itu.

Meskipun menindaklanjuti terus ke garis waktu mengumumkan Google untuk pengungkapan, keputusan terasa kurang seperti prinsip dan lebih seperti "gotcha", dengan pelanggan yang mungkin menderita sebagai hasilnya.

Menurut Betz, kerentanan yang diungkapkan secara publik mengalami serangan yang diatur dari penjahat cyber, sebuah bertindak hampir tidak terlihat ketika masalah diungkapkan secara pribadi melalui CVD dan ditambal sebelum informasi menjadi publik. Betz lebih lanjut mengatakan, tidak semua kerentanan dibuat sama, yang berarti garis waktu di mana masalah ditambal tergantung pada kompleksitasnya.

Seruannya untuk kolaborasi keras dan jelas dan argumennya solid. Refleksi bahwa tidak ada perangkat lunak yang sempurna karena dibuat oleh manusia sederhana yang beroperasi dengan sistem yang kompleks, sangat menawan. Betz memukul paku di kepalanya ketika dia berkata:

Apa yang tepat untuk Google tidak selalu tepat untuk pelanggan. Kami mendesak Google untuk menjadikan perlindungan pelanggan sebagai tujuan utama kolektif kami.

Sudut pandang lain adalah itu Google memiliki kebijakan yang ditetapkan dan tidak ingin memberi jalan kepada pengecualian. Ini bukan jenis fleksibilitas yang Anda harapkan dari perusahaan ultra modern seperti Google. Selain itu, penerbitan tidak hanya kerentanan, tetapi juga kode eksploitasi tidak bertanggung jawab, mengingat jutaan pengguna bisa terkena serangan serentak.

Jika Ini Terjadi Lagi, Apa Yang Dapat Anda Lakukan Untuk Melindungi Sistem Anda?

Tidak ada perangkat lunak yang akan aman dari eksploitasi nol hari. Anda dapat meningkatkan keamanan Anda sendiri dengan menerapkan kebersihan akal sehat yang masuk akal. Inilah yang direkomendasikan Microsoft:

Kami mendorong pelanggan untuk mempertahankannya perangkat lunak anti-virus Perangkat Lunak PC Terbaik untuk Komputer Windows AndaIngin perangkat lunak PC terbaik untuk komputer Windows Anda? Daftar besar kami mengumpulkan program-program terbaik dan teraman untuk semua kebutuhan. Baca lebih banyak terkini, instal semua Pembaruan Keamanan yang tersedia 3 Alasan Mengapa Anda Harus Menjalankan Patch & Pembaruan Keamanan Windows TerbaruKode yang membentuk sistem operasi Windows berisi lubang loop keamanan, kesalahan, ketidakcocokan, atau elemen perangkat lunak yang ketinggalan zaman. Singkatnya, Windows tidak sempurna, kita semua tahu itu. Patch dan pembaruan keamanan memperbaiki kerentanan ... Baca lebih banyak dan mengaktifkan firewall Perangkat Lunak PC Terbaik untuk Komputer Windows AndaIngin perangkat lunak PC terbaik untuk komputer Windows Anda? Daftar besar kami mengumpulkan program-program terbaik dan teraman untuk semua kebutuhan. Baca lebih banyak di komputer mereka.

Putusan Kami: Google Seharusnya Bekerja Sama dengan Microsoft

Google mentaati tenggat waktu yang sewenang-wenang, alih-alih fleksibel dan bertindak demi kepentingan terbaik penggunanya. Mereka bisa memperpanjang masa tenggang untuk mengungkap kerentanan, terutama setelah Microsoft mengomunikasikan bahwa patch sudah (hampir) siap. Jika tujuan mulia Google adalah membuat Internet lebih aman, mereka harus siap bekerja sama dengan perusahaan lain.

Sementara itu, Microsoft mungkin bisa melemparkan lebih banyak sumber daya untuk mengembangkan tambalan. 90 hari dianggap sebagai kerangka waktu yang cukup oleh sebagian orang. Karena tekanan dari Google, mereka melakukan push out satu bulan lebih awal dari perkiraan semula. Sepertinya mereka tidak memprioritaskan masalah ini pada awalnya.

Secara umum, jika vendor perangkat lunak memberi sinyal bahwa mereka sedang mengerjakan masalah ini, peneliti seperti tim Project Zero Google harus bekerja sama dan memperpanjang masa tenggang. Menjaga segera menjadi kerentanan ditambal Hati-hati Pengguna Windows: Anda Mengalami Masalah Keamanan Serius Baca lebih banyak rahasia tampaknya lebih aman daripada menarik perhatian peretas. Tidakkah keselamatan pelanggan menjadi prioritas utama perusahaan mana pun?

Bagaimana menurut anda? Apa yang akan menjadi solusi yang lebih baik atau apakah Google melakukan hal yang benar?

Kredit Gambar: Penyihir Melalui Shutterstock, Diretas oleh wk1003mike via Shutterstock, Red Rope oleh Mega Pixel via Shutterstock