Ponad 95% z 1600 luk odkrytych przez Google Project Zero zosta┼éo naprawionych w ci─ůgu 90 dni

Dlaczego jest to wa┼╝ne: Project Zero to przera┼╝aj─ůcy zesp├│┼é badawczy zajmuj─ůcy si─Ö badaniami nad bezpiecze┼ästwem, kt├│ry s┼éynie z trzech rzeczy: odkrywania najgorszych luk w zabezpieczeniach, znajdowania nowej luki ka┼╝dego dnia i dawania firmom tylko 90 dni na znalezienie poprawki przed pe┼énym publicznym ujawnieniem. Podziwiona i nienawidzona przez wi─Ökszo┼Ť─ç spo┼éeczno┼Ťci zajmuj─ůcych si─Ö bezpiecze┼ästwem, niedawno przerwa┼éa milczenie, aby broni─ç swoich sprzecznych z intuicj─ů zasad i wyja┼Ťnia─ç, co naprawd─Ö robi─ů.

Ka┼╝da du┼╝a firma technologiczna, od Microsoft po Apple do Intela, otrzyma┼é raport o b┼é─Ödzie od Project Zero zawieraj─ůcy nast─Öpuj─ůce o┼Ťwiadczenie: ÔÇ×Ten b┼é─ůd podlega 90-dniowemu terminowi ujawnienia. Po up┼éywie 90 dni lub po udost─Öpnieniu ┼éaty (w zale┼╝no┼Ťci od tego, co nast─ůpi wcze┼Ťniej), raport o b┼é─Ödzie stanie si─Ö widoczny dla opinii publicznej. ÔÇŁOd tego momentu firma mo┼╝e zdecydowa─ç o naprawieniu b┼é─Ödu z pomoc─ů Project Zero samodzielnie lub wcale nie – w takim przypadku raport o b┼é─Ödzie jest natychmiast publikowany.

Ka┼╝dy raport o b┼é─Ödach zawiera prawie wszystko, co Project Zero mo┼╝e zebra─ç na temat tej luki, od tego, jak zosta┼é znaleziony po kod sprawdzaj─ůcy koncepcj─Ö, kt├│ry wykorzystuje go do wykazania problemu.

Na dzie┼ä 30 lipca Project Zero opublikowa┼é raporty o b┼é─Ödach 1585 naprawionych luk i 66 nieusuni─Ötych. 1 411 z 1585 opublikowano w ci─ůgu 90 dni, a dodatkowe 174 wydano w ci─ůgu 14-dniowego okresu karencji, na kt├│ry zezwala Project Zero, je┼Ťli uwa┼╝aj─ů, ┼╝e firma jest blisko uko┼äczenia naprawy. Tylko dwa przekroczy┼éy to, Spectre & Meltdown i task_t, kt├│re, gdy zostan─ů wykorzystane, umo┼╝liwi┼éy programom dost─Öp do najwy┼╝szych tajemnic systemu operacyjnego.

Project Zero przyznaje, ┼╝e opublikowanie raportu o b┼é─Ödzie przed napraw─ů jest nieco szkodliwe, ale o to chodzi: przera┼╝a firmy do faktycznego naprawienia, co, jak twierdz─ů, nie zrobi┼éoby tego, gdyby oczekiwa┼éy, ┼╝e raport o b┼é─Ödzie pozostanie ukryty.

ÔÇ×Je┼Ťli za┼éo┼╝ymy, ┼╝e tylko sprzedawca i reporter maj─ů wiedz─Ö na temat luki, problem mo┼╝na rozwi─ůza─ç bez pilnego dzia┼éania. Coraz cz─Ö┼Ťciej mamy jednak dowody na to, ┼╝e osoby atakuj─ůce znajduj─ů (lub nabywaj─ů) wiele takich samych luk w zabezpieczeniach, kt├│re zg┼éaszaj─ů badacze bezpiecze┼ästwa defensywnego. Nie wiemy na pewno, kiedy zg┼éoszony przez nas b┼é─ůd bezpiecze┼ästwa zosta┼é wcze┼Ťniej wykryty przez osob─Ö atakuj─ůc─ů, ale wiemy, ┼╝e zdarza si─Ö to wystarczaj─ůco regularnie, aby uwzgl─Ödni─ç nasze zasady dotycz─ůce ujawniania informacji.

Zasadniczo terminy ujawnienia informacji s─ů dla badaczy bezpiecze┼ästwa sposobem na ustalenie oczekiwa┼ä i wyra┼║n─ů zach─Öt─Ö dla dostawc├│w i projekt├│w open source do poprawy dzia┼éa┼ä naprawczych zwi─ůzanych z lukami. Starali┼Ťmy si─Ö skalibrowa─ç ramy czasowe ujawnie┼ä, aby by┼éy ambitne, uczciwe i realistycznie osi─ůgalne. ÔÇŁ

Projekt Zero ma na to wyra┼║ne dowody. W jednym badaniu przeanalizowano ponad 4300 luk w zabezpieczeniach i stwierdzono, ┼╝e 15ÔÇô20% luk jest wykrywanych niezale┼╝nie co najmniej dwa razy w ci─ůgu roku. Na przyk┼éad w Androidzie 14% luk zostaje ponownie odkrytych w ci─ůgu 60 dni, a 20% w ci─ůgu 90, w przypadku Chrome 13% odkry─ç w ci─ůgu 60 dni. Sugeruje to, ┼╝e chocia┼╝ badacz bezpiecze┼ästwa mo┼╝e by─ç na dobrej drodze, istnieje uzasadniona szansa, ┼╝e ÔÇőÔÇőto, co odkryj─ů, zostanie wkr├│tce znalezione przez atakuj─ůcych.

Ale czy publikowanie raportu o b┼é─Ödzie przed ┼éatk─ů nie jest niebezpieczne?

ÔÇ×Odpowied┼║ jest z pocz─ůtku sprzeczna z intuicj─ů: ujawnienie niewielkiej liczby nieusuni─Ötych luk w zabezpieczeniach nie zwi─Öksza znacz─ůco ani nie zmniejsza mo┼╝liwo┼Ťci atakuj─ůcych. Nasze ujawnienia oparte na terminach maj─ů neutralny kr├│tkoterminowy wp┼éyw na mo┼╝liwo┼Ťci atakuj─ůcych.

Wiemy na pewno, ┼╝e istniej─ů grupy i osoby, kt├│re czekaj─ů na u┼╝ycie publicznych atak├│w w celu wyrz─ůdzenia krzywdy u┼╝ytkownikom (np. Autorzy zestaw├│w exploit├│w), ale wiemy r├│wnie┼╝, ┼╝e koszt przekszta┼écenia typowego raportu podatno┼Ťci na ataki projektu zero w praktyczny atak rzeczywisty nie jest -trywialny."

Project Zero nie publikuje przewodnika hakowania krok po kroku, publikuje to, co okre┼Ťlaj─ů jako ÔÇ×tylko jedn─ů cz─Ö┼Ť─ç ┼éa┼äcucha exploit├│wÔÇŁ. Teoretycznie atakuj─ůcy wymaga┼éby znacznych zasob├│w i umiej─Ötno┼Ťci, aby zamieni─ç te luki w wiarygodny exploit, a Project Zero twierdzi, ┼╝e atakuj─ůcy, kt├│ry to potrafi, m├│g┼éby to zrobi─ç, nawet gdyby nie ujawni┼é b┼é─Ödu. By─ç mo┼╝e napastnicy s─ů po prostu zbyt leniwi, aby zacz─ů─ç sami, poniewa┼╝, jak wykaza┼éy badania z 2017 r., Mediana czasu od podatno┼Ťci na ÔÇ×w pe┼éni dzia┼éaj─ůcy exploitÔÇŁ wynosi 22 dni.

To tylko jeden problem, jest du┼╝y, ale wi─Ökszo┼Ť─ç firm i tak ┼Ťciska si─Ö w ci─ůgu 90 dni. Drug─ů krytyk─ů wielu badaczy jest polityka Project Zero polegaj─ůca na publikowaniu raportu o b┼é─Ödzie po wydaniu ┼éaty, g┼é├│wnie dlatego, ┼╝e ┼éatki s─ů niedoskona┼ée i poniewa┼╝ ta sama luka mo┼╝e pojawi─ç si─Ö w innych lokalizacjach. Project Zero uwa┼╝a, ┼╝e ÔÇőÔÇőjest to korzystne dla obro┼äc├│w, umo┼╝liwiaj─ůc im lepsze zrozumienie luk w zabezpieczeniach, i nie ma wi─Ökszego znaczenia dla atakuj─ůcych, kt├│rzy i tak byliby w stanie odtworzy─ç exploita z ┼éatki.

ÔÇ×Atakuj─ůcy maj─ů wyra┼║n─ů motywacj─Ö do po┼Ťwi─Öcania czasu na analizowanie poprawek bezpiecze┼ästwa w celu poznania luk w zabezpieczeniach (zar├│wno poprzez przegl─ůd kodu ┼║r├│d┼éowego, jak i wsteczn─ů in┼╝ynieri─Ö binarn─ů), i szybko ustal─ů pe┼éne szczeg├│┼éy, nawet je┼Ťli sprzedawca i badacz spr├│buj─ů ukry─ç dane techniczne .

Poniewa┼╝ u┼╝yteczno┼Ť─ç informacji o podatno┼Ťciach jest bardzo r├│┼╝na dla obro┼äc├│w i atakuj─ůcych, nie oczekujemy, ┼╝e obro┼äcy zazwyczaj mog─ů pozwoli─ç sobie na wykonanie takiej samej g┼é─Öboko┼Ťci analizy, co atakuj─ůcy.

Informacje, kt├│re udost─Öpniamy, mog─ů by─ç powszechnie wykorzystywane przez obro┼äc├│w do natychmiastowej poprawy obrony, testowania dok┼éadno┼Ťci poprawek b┼é─Öd├│w i zawsze mog─ů by─ç wykorzystywane do podejmowania ┼Ťwiadomych decyzji dotycz─ůcych przyj─Öcia ┼éatek lub kr├│tkoterminowych dzia┼éa┼ä ┼éagodz─ůcych. ÔÇŁ

Czasami na wojnie nale┼╝y podj─ů─ç ryzyko, aby osi─ůgn─ů─ç og├│lny sukces. I nie pomylcie si─Ö, bitwa mi─Ödzy badaczami bezpiecze┼ästwa a hakerami jest prawdziwa, z powa┼╝nymi implikacjami z ┼╝ycia. Jak dot─ůd Project Zero dzia┼éa┼é z powodzeniem bez znacz─ůcych konsekwencji agresywnej polityki i bez w─ůtpienia b─Öd─ů kontynuowa─ç w podobny spos├│b, chyba ┼╝e spowoduje to drastyczny problem. Miejmy nadziej─Ö, ┼╝e tak si─Ö nie stanie.