Bug tracking met vergrootglas op het LCD-scherm.
Jovan V. Nikolic
Het Google Project Zero team dat ongeveer 95.8% van de security bugs vinden ze andere software, en verslag van hun respectieve leveranciers krijgen vast voor de 90-dagen termijn voor een openbare bekendmaking verloopt.
Dat is heel het slaggemiddelde voor één van ‘s werelds meest beruchte cybersecurity-programma’ s.
In een statistiek gedeeld op woensdag, Google ‘ s elite security team zei dat tijdens zijn hele geschiedenis, vanaf 17 juli 2014, als Project Zero is gemaakt en tot en met 30 juli, deze week — de onderzoekers ontdekt en gemeld in totaal 1,585 kwetsbaarheden om een breed scala aan hardware-en software leveranciers.
Van deze, Google zei dat de leveranciers er niet in slaagde om een patch voordat de deadline verstreken slechts voor 66 rapporten. Als een resultaat, de onderzoekers waren gedwongen om de kwetsbaarheid van de technische details van de openbare voordat er een fix beschikbaar was gesteld aan gebruikers.
Google paste haar bekendmaking deadline in 2015 terug
Voor de eerste paar maanden van het Project Zero geschiedenis van deze norm en de deadline werd een zeer strenge 90 dagen.
Maar vanaf 13 februari 2015, Google heeft een extra 14-dagen respijtperiode dat kan verlenging van de termijn onder bepaalde voorwaarden.
Google zei dat de invoering van deze termijn een verbetering van hun werk van het melden van bugs. Bedrijven hadden meer tijd te leveren, patches, en de 14-daagse periode is ook goed voor updates die zijn theoretisch klaar en beschikbaar, maar de leveranciers geplande hen op strenge maandelijkse roll-outs, die per ongeluk brak de 90-dagen – een-zij, de bugs waren technisch opgelost.
Deze termijn aanpassing had ook een effect op de programma ‘ s totale rendement en de statistieken.
“Als we beperken de analyse tot de periode waar de genade extensies zijn een optie (Feb 13, 2015 tot en met 30 juli 2019) dan hebben we 1434 vaste punten,” het Google Project Zero team gezegd.
“Van deze, 1224 werden vastgesteld binnen een termijn van 90 dagen, en een verdere 174 problemen zijn opgelost binnen de 14-daagse grace periode. Dat laat de 36-kwetsbaarheden die werden bekendgemaakt, zonder een patch die beschikbaar is voor gebruikers, of in andere woorden: 97,5% van onze problemen zijn vastgesteld in het kader van de deadline.”
Google: Bug informatieverschaffing helpen verdedigers dan aanvallers
De Project Zero-programma, die vierde onlangs zijn vijfde verjaardag, is samengesteld als een manier om controle van de hardware en software die worden gebruikt intern bij Google, en dan het rapporteren van bugs aan leveranciers.
Bugs Google security onderzoekers vinden zijn gedocumenteerd op het project de bug tracker en vervolgens gerapporteerd aan leveranciers.
Informatie over deze bug rapporten, inclusief soms zeer technische details en proof-of-concept code voor het reproduceren van de bugs, zijn openbaar gemaakt na een leverancier brengt een correctie, of wanneer de termijn verstrijkt zonder een patch.
De afgelopen paar jaar, Project Zero onderzoekers hebben onder kritiek voor het vrijgeven van deze zeer gedetailleerde bug beschrijvingen en proof-of-concept (PoC) te exploiteren code, zelfs als de fout is opgelost. Veel security experts hebben betoogd dat deze rapporten geholpen aanvallers maken van exploits om aanvallen op gebruikers.
Maar in een FAQ-pagina deze week gepubliceerd, de Project Zero team verdedigde hun acties, beweren dat de bug rapporten helpen verdedigers dan aanvallers.
“Aanvallers hebben een duidelijke stimulans om tijd te besteden aan het analyseren van security patches om te leren over kwetsbaarheden (zowel via de source code review en binaire reverse engineering), en ze zullen snel vast te stellen de volledige details, zelfs indien de leverancier en de onderzoeker probeert in te houden, technische gegevens,” Project Zero onderzoekers gezegd.
“Sinds de bruikbaarheid van informatie over kwetsbaarheden is heel anders dan voor verdedigers vs aanvallers, we verwachten niet dat dat verdedigers kunnen meestal veroorloven om hetzelfde te doen diepte van de analyse als aanvallers,” ze toegevoegd. “De feedback die we krijgen van verdedigers is dat ze meer informatie willen over de risico’ s die zij en hun gebruikers gezicht.”
Dus, in Google ‘ s standpunt, het vrijgeven van deze gegevens helpt niet bij de aanvallers, omdat veel van hen zou zijn indringende changelogs en app binaries hoe dan ook, maar ze doen zeker helpen bedrijven en systeem beheerders die willen implementeren oplossingen of detectie regels.
“Het is een lastige balans, maar in essentie willen we zelfs het speelveld, het” Project Zero onderzoekers gezegd.
Project Zero is geen excuus voor de volle benutten ketens
Bovendien, de Project Zero team ook duidelijk gemaakt dat wanneer bug rapporten naar de beurs, ondanks het feit dat opgelapt of niet, de PoC-code opgenomen in de rapporten niet volledig benutten ketens.
In plaats daarvan hebben ze alleen vrijgeven “een deel van een exploit chain” en de aanvallers zou “moeten uitvoeren aanzienlijke extra onderzoek en ontwikkeling te voltooien het exploiteren en betrouwbaarheid.”
“Een aanvaller met de middelen en de technische vaardigheden om een bug report naar een betrouwbare exploit keten zou meestal in staat tot het bouwen van een gelijksoortige exploiteren keten zelfs als we hadden nooit vrijgegeven van de bug,” de Project Zero team gezegd.
Google raadt het gebruik van bekendmaking van termijnen
Daarnaast is de Project Zero team nam ook deze gelegenheid aan te bevelen dat andere security-onderzoekers hun voorbeeld volgen en starten met behulp van een vaste termijn voor openbaarmaking van bug reports.
“We denken dat practices in de industrie zal verbeteren als meer onderzoekers beginnen over te nemen tijdlijn verwachtingen in hun bug reports,” Project Zero zei.
“Er zijn veel goede redenen waarom een security-onderzoeker kan niet aannemen van een openbaarmaking termijn beleid op hun bug reports, maar over het algemeen zien we veel positieve resultaten van de vaststelling van de bekendmaking van termijnen en we kunnen het zeker aanraden aan andere security-onderzoekers.”
Echter, dit zijn niet de enige gouden nuggets die de Google-onderzoekers gedeeld. Andere details en de belangrijkste talking points van Project Zero ‘ s onlangs verschenen FAQ pagina ziet u hieronder:
Als Project Zero onderzoekers verslag van een actief misbruikt zero-day, de leverancier deadline wijzigingen van 90 tot zeven dagen.Project Zero brak haar 90-dag openbaarmaking termijn op twee momenten, — voor de task_t iOS probleem (145 dagen) en voor de Crisis en de Spectre gebreken (216 dagen).Project Zero PoCs niet zijn volle te benutten ketens.Openbaarmaking bug details niet helpen aanvallers op de korte termijn.Verdedigers hebben zijn degenen die zich het meest van bug reports.Google hoopt de bug rapporten helpen bij het verbeteren van de algehele beveiliging, zoals leveranciers investeren in de aanval oppervlak vermindering, exploiteren oplossingen, verbeterde sandboxing, en het oplossen van bug klassen.Project Zero actief helpt verkopers met correcties, indien nodig.Project Zero ook vindt en rapporten fouten in Google-producten, die zij rapporteert via Google ‘ s publieke bug bounty.Niet-Project Zero medewerkers van Google hebben ook toegang tot Project Zero bug reports (volgens de FAQ: “een klein aantal van de beveiliging ingenieurs die werkzaam zijn binnen het team op de ‘20% projecten’ Project Zero de kwetsbaarheid van de rapporten”).
Meer kwetsbaarheid rapporten:
Urgent11 beveiligingsfouten impact routers, printers, SCADA, en veel Dingen devicesCisco te betalen $8,6 miljoen voor de verkoop van kwetsbare software van de AMERIKAANSE overheid
DHS) waarschuwt over CAN-bus kwetsbaarheden in kleine aircraftGoogle onderzoekers onthullen kwetsbaarheden voor ‘interactionless’ iOS attacksApple de AWDL-protocol geplaagd door gebreken die het mogelijk maken dat het bijhouden en MitM attacksiPhone Bluetooth verkeer lekken telefoonnummers — in bepaalde scenariosGoogle zal nu betalen tot $30.000 voor het melden van een Chrome-bug CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters