Sollte Google Schwachstellen melden, bevor sie gepatcht wurden?
Google ist nicht aufzuhalten. Innerhalb von weniger als drei Wochen stellte Google insgesamt vier Zero-Day-Schwachstellen für Windows fest, zwei davon nur wenige Tage vor der Veröffentlichung eines Patches durch Microsoft. Microsoft hat die Reaktion von Google nicht amüsiert und beurteilt, weitere Fälle dürften folgen.
Ist die Art und Weise von Google, ihre Konkurrenz effizienter zu unterrichten? Und was ist mit den Benutzern? Ist Googles strikte Einhaltung willkürlicher Fristen in unserem besten Interesse??
Warum meldet Google Windows-Sicherheitsanfälligkeiten?
Project Zero, ein Team von Google-Sicherheitsanalysten, hat Zero-Day-Exploits untersucht. Was ist eine Zero-Day-Sicherheitsanfälligkeit? [MakeUseOf erklärt] Was ist eine Sicherheitsanfälligkeit durch Zero Day? [MakeUseOf Explains] Read more since 2014. Das Projekt wurde gegründet, nachdem eine Teilzeit-Forschungsgruppe mehrere Softwarefehler entdeckt hatte, darunter die kritische Heartbleed-Schwachstelle Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Weiterlesen .
In der Ankündigung von Project Zero betonte Google, dass es oberste Priorität sei, die eigenen Produkte zu sichern. Da Google nicht im luftleeren Raum arbeitet, erstreckt sich die Forschung auch auf die von ihren Kunden verwendete Software.
Bisher hat das Team über 200 Fehler in verschiedenen Produkten festgestellt, darunter Adobe Reader, Flash, OS X, Linux und Windows. Jede Schwachstelle wird nur dem Softwareanbieter gemeldet und erhält eine Karenzzeit von 90 Tagen. Danach wird sie über das Google Security Research-Forum veröffentlicht.
Dieser Fehler unterliegt einer 90-tägigen Offenlegungsfrist. Wenn 90 Tage kein Patch verfügbar ist, wird der Fehlerbericht automatisch für die Öffentlichkeit sichtbar.
Das ist mit Microsoft passiert. Vier Mal. Die erste Windows-Schwachstelle (Ausgabe Nr. 118) wurde am 30. September 2014 identifiziert und anschließend am 29. Dezember 2014 veröffentlicht. Am 11. Januar, nur wenige Tage bevor Microsoft bereit war, ein Update per Patch Tuesday Windows Update herauszugeben: Alles, was Sie brauchen Informationen zu Windows Update: Alles, was Sie wissen müssen Ist Windows Update auf Ihrem PC aktiviert? Windows Update schützt Sie vor Sicherheitslücken, indem Sie Windows, Internet Explorer und Microsoft Office mit den neuesten Sicherheitspatches und Fehlerbehebungen auf dem neuesten Stand halten. Lesen Sie mehr: Die zweite Sicherheitslücke (Ausgabe # 123) wurde veröffentlicht und eine Debatte darüber gestartet, ob Google nicht gewartet haben könnte. Nur wenige Tage später wurden in der öffentlichen Datenbank zwei weitere Sicherheitslücken (Ausgabe # 128 und Ausgabe # 138) angezeigt, die die Situation weiter eskalierten.
Was ist hinter den Kulissen passiert??
Beim ersten Problem (# 118) handelte es sich um eine Sicherheitsanfälligkeit, die die Rechteeskalation gefährdet und die Windows 8.1 betreffen kann. Laut The Hacker News ist es das “Dies könnte einem Hacker ermöglichen, Inhalte zu ändern oder sogar die Computer der Opfer vollständig zu übernehmen, wodurch Millionen von Benutzern anfällig werden“. Google hat zu diesem Problem keinerlei Kommunikation mit Microsoft offenbart.
Für die zweite Ausgabe (# 123) bat Microsoft um eine Erweiterung. Als Google dies ablehnte, bemühten sie sich, den Patch einen Monat zuvor zu veröffentlichen. Dies waren James Forshaws Kommentare:
Microsoft hat im Februar 2015 bestätigt, dass die Korrekturen für diese Probleme anstehen. Sie fragten, ob dies ein Problem mit der Frist von 90 Tagen verursachen würde. Microsoft wurde darüber informiert, dass die Frist von 90 Tagen für alle Anbieter und Fehlerklassen festgelegt ist und daher nicht verlängert werden kann. Ferner wurde ihnen mitgeteilt, dass die Frist von 90 Tagen für diese Ausgabe am 11. Januar 2015 abläuft.
Microsoft hat Patches für beide Probleme mit Update Dienstag im Januar veröffentlicht.
Bei der dritten Ausgabe (# 128) musste Microsoft einen Patch aufgrund von Kompatibilitätsproblemen verschieben.
Microsoft hat uns mitgeteilt, dass ein Update für die Januar-Patches geplant war, das jedoch aufgrund von Kompatibilitätsproblemen gezogen werden muss. Daher wird der Fix nun in den Februar-Patches erwartet.
Obwohl Microsoft Google mitteilte, dass sie an dem Problem arbeiteten, jedoch Schwierigkeiten hatten, machte Google die Schwachstelle bekannt. Keine Verhandlungen, keine Gnade.
Bei der letzten Ausgabe (# 138) hat Microsoft beschlossen, das Problem nicht zu beheben. James Forshaw fügte den folgenden Kommentar hinzu:
Microsoft ist zu dem Schluss gekommen, dass das Problem nicht den Anforderungen eines Sicherheitsbulletins entspricht. Sie geben an, dass der Angreifer zu viel Kontrolle benötigt, und Gruppenrichtlinieneinstellungen nicht als Sicherheitsfunktion betrachten.
Ist das Verhalten von Google akzeptabel?
Microsoft glaubt das nicht. In einer umfassenden Antwort fordert Chris Betz, Senior Director des Microsoft Security Research Center, eine besser koordinierte Offenlegung von Schwachstellen. Er betont, dass Microsoft an Coordinated Vulnerability Disclosure (CVD) glaubt, eine Methode, bei der Forscher und Unternehmen bei Schwachstellen zusammenarbeiten, um das Risiko für Kunden zu minimieren.
Bezüglich der jüngsten Ereignisse bestätigt Betz, dass Microsoft ausdrücklich von Google verlangt hat, mit ihnen zusammenzuarbeiten und Details zurückzuhalten, bis Fixes während des Patch Tuesday verteilt wurden. Google hat die Anfrage ignoriert.
Obwohl die Befolgung der angekündigten Offenlegungsfrist von Google eingehalten wird, fühlt sich die Entscheidung weniger nach Prinzipien und eher nach a “Erwischt”, bei Kunden diejenigen, die darunter leiden können.
Laut Betz erfahren öffentlich gemeldete Schwachstellen orchestrierte Angriffe von Cyber-Kriminellen. Dies ist kaum zu sehen, wenn Probleme privat durch CVD offengelegt und gepatcht werden, bevor die Informationen öffentlich werden. Außerdem, so Betz, werden nicht alle Schwachstellen gleich gemacht, dh die Zeitleiste, in der ein Problem gepatcht wird, hängt von seiner Komplexität ab.
Sein Ruf nach Zusammenarbeit ist laut und klar und seine Argumente sind solide. Die Überlegung, dass keine Software perfekt ist, weil sie von einfachen Menschen gemacht wird, die mit komplexen Systemen arbeiten, ist liebenswert. Betz trifft den Nagel auf den Kopf, als er sagt:
Was für Google richtig ist, ist für Kunden nicht immer richtig. Wir fordern Google dringend auf, den Schutz unserer Kunden zu unserem gemeinsamen Hauptziel zu machen.
Der andere Standpunkt ist, dass Google eine festgelegte Richtlinie hat und Ausnahmen nicht weichen will. Dies ist nicht die Art von Inflexibilität, die Sie von einem hochmodernen Unternehmen wie Google erwarten würden. Darüber hinaus ist die Veröffentlichung nicht nur der Sicherheitsanfälligkeit, sondern auch des Exploit-Codes unverantwortlich, da Millionen Benutzer von einem konzertierten Angriff betroffen sein könnten.
Wenn dies erneut geschieht, was können Sie tun, um Ihr System zu schützen??
Keine Software ist vor Zero-Day-Exploits jemals sicher. Sie können Ihre eigene Sicherheit erhöhen, indem Sie eine vernünftige Sicherheitspflege einführen. Dies empfiehlt Microsoft:
Wir empfehlen unseren Kunden, ihre Antivirensoftware zu behalten. Die beste Windows-Software Die beste Windows-Software Windows schwimmt in einer Fülle von kostenlosen Anwendungen. Welchen können Sie vertrauen und welche sind die besten? Wenn Sie sich nicht sicher sind oder eine bestimmte Aufgabe lösen müssen, konsultieren Sie diese Liste. Lesen Sie mehr über aktuelle Updates und installieren Sie alle verfügbaren Sicherheitsupdates. 3 Gründe, warum Sie die neuesten Windows-Sicherheitspatches & Updates ausführen sollten. 3 Gründe, warum Sie die neuesten Windows-Sicherheitspatches & Updates ausführen sollten. Der Code, aus dem das Windows-Betriebssystem besteht, enthält Sicherheit Schlupflöcher, Fehler, Inkompatibilitäten oder veraltete Softwareelemente. Kurz gesagt, Windows ist nicht perfekt, das wissen wir alle. Sicherheitspatches und Updates beheben die Schwachstellen… Lesen Sie mehr und aktivieren Sie die Firewall Die beste Windows-Software Die beste Windows-Software Windows schwimmt in einer Fülle von kostenlosen Anwendungen. Welchen können Sie vertrauen und welche sind die besten? Wenn Sie sich nicht sicher sind oder eine bestimmte Aufgabe lösen müssen, konsultieren Sie diese Liste. Lesen Sie mehr auf ihrem Computer.
Unser Urteil: Google hätte mit Microsoft zusammenarbeiten sollen
Google hielt an seiner willkürlichen Frist fest, anstatt flexibel zu sein und im besten Interesse seiner Nutzer zu handeln. Sie hätten die Gnadenfrist für das Aufdecken der Sicherheitsanfälligkeiten verlängern können, insbesondere nachdem Microsoft mitgeteilt hatte, dass Patches (fast) fertig waren. Wenn das vorrangige Ziel von Google darin besteht, das Internet sicherer zu machen, müssen sie bereit sein, mit anderen Unternehmen zusammenzuarbeiten.
In der Zwischenzeit hätte Microsoft möglicherweise mehr Ressourcen bei der Entwicklung von Patches eingesetzt. 90 Tage werden von manchen als ausreichender Zeitrahmen angesehen. Aufgrund des Drucks von Google haben sie tatsächlich einen Monat früher als erwartet einen Patch herausgeschoben. Es sieht fast so aus, als hätten sie das Thema ursprünglich nicht hoch genug eingestuft.
Wenn der Softwareanbieter signalisiert, dass er an dem Problem arbeitet, sollten Forscher wie das Project Zero-Team von Google zusammenarbeiten und die Kulanzzeiten verlängern. Behobene Sicherheitslücke, die bald gepatcht werden soll Windows-Benutzer passen auf: Sie haben ein schwerwiegendes Sicherheitsproblem Windows-Benutzer sind sich vor ein ernsthaftes Sicherheitsproblem gefasst Lesen Sie mehr geheimes Geheimnis scheint sicherer zu sein als die Aufmerksamkeit von Hackern auf sich zu ziehen. Sollte die Sicherheit der Kunden nicht die Priorität eines Unternehmens sein??
Was denkst du? Was wäre eine bessere Lösung gewesen oder hätte Google das Richtige getan??
Bildnachweise: Wizard via Shutterstock, gehackt von wk1003mike über Shutterstock, Red Rope von Mega Pixel über Shutterstock
Erfahren Sie mehr über: Google, Microsoft, Online-Sicherheit.