Ponad 95% z 1600 luk odkrytych przez Google Project Zero zosta┼éo naprawionych w …

Dlaczego to wa┼╝ne: Project Zero to okropny zesp├│┼é badawczy ds. Bezpiecze┼ästwa, kt├│ry s┼éynie z trzech rzeczy: znajdowania najgorszych luk, znajdowania nowych luk ka┼╝dego dnia i dawania firmom zaledwie 90 dni na znalezienie ulepsze┼ä, zanim opinia publiczna w pe┼éni je ujawni. Podziwiona i nienawidzona przez wi─Ökszo┼Ť─ç spo┼éeczno┼Ťci bezpiecze┼ästwa, niedawno przerwa┼éa cisz─Ö, aby broni─ç swoich zasad przed wgl─ůdem i wyja┼Ťni─ç, co naprawd─Ö robi─ů.

Wszystkie g┼é├│wne firmy technologiczne, od Microsoft do Apple Firma Intel otrzyma┼éa raport o b┼é─Ödzie od Project Zero zawieraj─ůcy nast─Öpuj─ůce o┼Ťwiadczenie: ÔÇ×Ten b┼é─ůd podlega 90-dniowemu okresowi ujawnienia. Po up┼éywie 90 dni lub gdy ┼éatka b─Ödzie powszechnie dost─Öpna (w zale┼╝no┼Ťci od tego, co nast─ůpi wcze┼Ťniej), raport o b┼é─Ödzie b─Ödzie publicznie widoczny. ÔÇ×Od tego momentu firmy mog─ů samodzielnie korygowa─ç b┼é─Ödy za pomoc─ů Project Zero, samodzielnie lub wcale, w takim przypadku raport o b┼é─Ödach jest natychmiast publikowany.

Ka┼╝dy raport o b┼é─Ödach zawiera prawie wszystko, co Project Zero mo┼╝e zebra─ç na temat luk w zabezpieczeniach, od tego, jak zosta┼é odkryty po kod sprawdzaj─ůcy koncepcj─Ö, kt├│ry wykorzystuje go do wskazywania problemu.

Na dzie┼ä 30 lipca Project Zero opublikowa┼é raport o b┼é─Ödach 1585 naprawionych luk i 66 nie naprawionych. 1 411 z 1 585 wydanych w ci─ůgu 90 dni, a dodatkowe 174 wydanych w okresie karencji 14 w dniu, w kt├│rym Projekt Zero dopu┼Ťci┼é, gdy byli pewni, ┼╝e firma jest na uko┼äczeniu. Tylko dwa, kt├│re wykraczaj─ů poza to, Spectre & Meltdown i task_t, oba, gdy s─ů wykorzystywane, umo┼╝liwiaj─ů programowi dost─Öp do najwy┼╝szych tajemnic systemu operacyjnego.

Project Zero zdaje sobie spraw─Ö, ┼╝e publikowanie raport├│w o b┼é─Ödach przed napraw─ů jest nieco niebezpieczne, ale o to chodzi: sprawia, ┼╝e ÔÇőÔÇőfirmy boj─ů si─Ö go naprawi─ç, a wed┼éug nich nie zrobi tego, je┼Ťli oczekuj─ů, ┼╝e raporty o b┼é─Ödach pozostan─ů ukryte.

ÔÇ×Je┼Ťli za┼éo┼╝ysz, ┼╝e tylko dostawcy i reporterzy znaj─ů luki w zabezpieczeniach, problem mo┼╝na rozwi─ůza─ç w trybie pilnym. Mamy jednak coraz wi─Öcej dowod├│w na to, ┼╝e osoba atakuj─ůca odkry┼éa (lub uzyska┼éa) wiele takich samych luk w zabezpieczeniach zg┼éoszonych przez badaczy bezpiecze┼ästwa defensywnego. Nie wiemy na pewno, kiedy atakuj─ůcy odkry┼é zg┼éoszony przez nas b┼é─ůd bezpiecze┼ästwa, ale wiemy, ┼╝e rutynowo pojawia si─Ö w nim nasza polityka ujawniania.

Zasadniczo terminy ujawnienia informacji s─ů dla badaczy bezpiecze┼ästwa sposobem na ustalenie oczekiwa┼ä i zapewnienie wyra┼║nych bod┼║c├│w dla dostawc├│w i projekt├│w open source do zwi─Ökszenia wysi┼ék├│w na rzecz poprawy podatno┼Ťci na zagro┼╝enia. Staramy si─Ö skalibrowa─ç nasz czas ujawnienia, aby by┼é ambitny, uczciwy i realistyczny. ÔÇ×

Projekt Zero ma na to wyra┼║ne dowody. W badaniu przeanalizowano ponad 4300 luk w zabezpieczeniach i stwierdzono, ┼╝e 15ÔÇô20% luk mo┼╝na znale┼║─ç niezale┼╝nie co najmniej dwa razy w roku. Na przyk┼éad w Androidzie 14% luk wykrytych w ci─ůgu 60 dni i 20% w 90, w przypadku Chrome 13% ponownego wykrycia w ci─ůgu 60 dni. To pokazuje, ┼╝e chocia┼╝ badacz bezpiecze┼ästwa mo┼╝e by─ç o krok przed krzyw─ů, istnieje uzasadniona szansa, ┼╝e ÔÇőÔÇőatakuj─ůcy znajdzie wkr├│tce wszystko, co znajdzie.

Ale czy publikowanie raportu o błędzie przed łataniem nie jest niebezpieczne?

ÔÇ×Odpowied┼║ jest z pocz─ůtku sprzeczna: ujawnienie niewielkiej liczby nieskorygowanych s┼éabych punkt├│w nie zwi─Öksza znacz─ůco ani nie zmniejsza zdolno┼Ťci atakuj─ůcego. Nasze ujawnienia w ÔÇ×ostatecznym terminieÔÇŁ maj─ů neutralny, kr├│tkoterminowy wp┼éyw na mo┼╝liwo┼Ťci atakuj─ůcego.

Wiemy na pewno, ┼╝e istniej─ů grupy i osoby prywatne, kt├│re chc─ů wykorzysta─ç publiczne ataki w celu wyrz─ůdzenia krzywdy u┼╝ytkownikom (np. Wykorzystanie zestawu autorskiego), ale wiemy r├│wnie┼╝, ┼╝e koszt przekszta┼écenia typowego raportu podatno┼Ťci na ataki Project Zero w atak rzeczywisty nie jest praktycznie trywialne ÔÇŁ.

Project Zero nie publikuje przewodnika krok po kroku, ale publikuje to, co opisuje jako ÔÇ×tylko cz─Ö┼Ť─ç ┼éa┼äcucha eksploatacjiÔÇŁ. Teoretycznie atakuj─ůcy b─Öd─ů potrzebowa─ç znacznych zasob├│w i umiej─Ötno┼Ťci, aby przekszta┼éci─ç t─Ö luk─Ö w niezawodne exploity, a Project Zero uwa┼╝a, ┼╝e ÔÇőÔÇőatakuj─ůcy, kt├│rzy mog─ů to zrobi─ç, mog─ů to zrobi─ç, nawet je┼Ťli nie ujawni─ů b┼é─Öd├│w. By─ç mo┼╝e atakuj─ůcy jest zbyt leniwy, aby zacz─ů─ç sam, poniewa┼╝ wed┼éug badania z 2017 r. ┼Üredni czas od podatno┼Ťci na ÔÇ×w pe┼éni funkcjonalne wykorzystanieÔÇŁ wynosi 22 dni.

To tylko problem, to du┼╝y problem, ale wi─Ökszo┼Ť─ç firm naciska w ci─ůgu 90 dni. Drug─ů krytyk─ů wielu badaczy jest polityka Project Zero polegaj─ůca na publikowaniu raport├│w o b┼é─Ödach po wydaniu ┼éat, g┼é├│wnie dlatego, ┼╝e ┼éatki s─ů wadliwe, a ta sama luka mo┼╝e pojawi─ç si─Ö w innych lokalizacjach. Project Zero uwa┼╝a, ┼╝e ÔÇőÔÇőjest to korzystne dla obro┼äc├│w, poniewa┼╝ pozwala im lepiej zrozumie─ç luk─Ö i nie ma wi─Ökszego znaczenia dla atakuj─ůcych, kt├│rzy b─Öd─ů w stanie odwr├│ci─ç wykorzystanie exploit├│w ┼éatki.

ÔÇ×Atakuj─ůcy maj─ů wyra┼║n─ů motywacj─Ö do po┼Ťwi─Öcenia czasu na analiz─Ö poprawek bezpiecze┼ästwa, aby dowiedzie─ç si─Ö o lukach (zar├│wno poprzez przegl─ůd kodu ┼║r├│d┼éowego, jak i odwrotn─ů in┼╝ynieri─Ö binarn─ů), i szybko ustal─ů pe┼éne szczeg├│┼éy, nawet je┼Ťli dostawcy i badacze spr├│buj─ů zachowaj dane techniczne ÔÇŁ.

Poniewa┼╝ u┼╝yteczno┼Ť─ç informacji o podatno┼Ťci na zagro┼╝enia jest bardzo r├│┼╝na dla obro┼äc├│w i atakuj─ůcych, nie oczekujemy, ┼╝e obro┼äcy b─Öd─ů w stanie przeprowadzi─ç tak─ů sam─ů g┼é─Öboko┼Ť─ç analizy jak atakuj─ůcy.

Informacje, kt├│re ujawniamy, mog─ů by─ç na og├│┼é wykorzystywane przez adwokat├│w do natychmiastowej poprawy obrony, testowania poprawno┼Ťci b┼é─Öd├│w i zawsze mog─ů by─ç wykorzystywane do podejmowania ┼Ťwiadomych decyzji dotycz─ůcych przyj─Öcia ┼éaty lub kr├│tkoterminowego ┼éagodzenia. ÔÇ×

Czasami na wojnie nale┼╝y podj─ů─ç ryzyko, aby osi─ůgn─ů─ç og├│lny sukces. I nie pomylcie si─Ö, bitwa mi─Ödzy badaczami bezpiecze┼ästwa a hakerami jest prawdziwa, z powa┼╝nymi implikacjami, prawdziwym ┼╝yciem. Do tej pory Project Zero dzia┼éa┼é z powodzeniem bez znacz─ůcych konsekwencji agresywnej polityki i nie zawahaj─ů si─Ö post─Öpowa─ç w ten sam spos├│b, chyba ┼╝e spowoduje to drastyczne problemy. Mam nadziej─Ö, ┼╝e tak si─Ö nie stanie.