Tin tức và phân tích của tất cả các thiết bị di động

Hơn 95% 1.600 lỗ hổng được tìm thấy bởi Google Project Zero đã được sửa trong …

Bởi vì nó quan trọng: Project Zero là một nhóm nghiên cứu bảo mật khủng khiếp, nổi tiếng với ba điều: tìm ra lỗ hổng tồi tệ nhất, tìm lỗ hổng mới mỗi ngày và cho các công ty chỉ 90 ngày để tìm ra những cải tiến trước khi công khai hoàn toàn. Được ngưỡng mộ và ghét bỏ bởi phần lớn cộng đồng an ninh, gần đây họ đã phá vỡ sự im lặng để bảo vệ chính sách của họ chống lại cái nhìn sâu sắc và giải thích những gì họ đang thực sự làm.

Tất cả các công ty công nghệ lớn, từ Microsoft đến Apple Intel đã nhận được báo cáo lỗi từ Project Zero có chứa tuyên bố sau: Lỗi Lỗi này có thời hạn công bố 90 ngày. Sau 90 ngày trôi qua hoặc bản vá có sẵn rộng rãi (tùy theo thời điểm sớm hơn), báo cáo lỗi sẽ được hiển thị công khai. Ngay từ thời điểm đó, các công ty có thể chọn sửa lỗi với sự trợ giúp của Project Zero, một mình hoặc không, trong trường hợp này, báo cáo lỗi được công bố ngay lập tức.

Mỗi báo cáo lỗi chỉ chứa mọi thứ mà Project Zero có thể thu thập về các lỗ hổng, từ cách nó được phát hiện lần đầu tiên cho đến mã bằng chứng khái niệm khai thác nó để chỉ ra một vấn đề.

Kể từ ngày 30 tháng 7, Project Zero đã phát hành một báo cáo lỗi từ 10,55 lỗ hổng được sửa chữa và 66 không được sửa chữa. 1.411 từ 1.585 được ban hành trong vòng 90 ngày và thêm 174 được ban hành trong thời gian ân hạn thứ 14 vào ngày Dự án Zero cho phép khi họ chắc chắn rằng công ty sắp hoàn thành. Chỉ có hai thứ vượt xa điều đó, Spectre & Meltdown và task_t, cả hai, khi được khai thác, cho phép chương trình truy cập vào các bí mật cao nhất của sistema operativo.

Project Zero thừa nhận rằng việc đăng báo cáo lỗi trước khi sửa là hơi nguy hiểm, nhưng đó là điểm chính: Nó khiến các công ty ngại sửa nó, họ nói sẽ không làm được nếu họ cho rằng các báo cáo lỗi vẫn bị ẩn.

Nếu bạn cho rằng chỉ có các nhà cung cấp và phóng viên nhận thức được các lỗ hổng, thì vấn đề có thể được giải quyết mà không cần khẩn cấp. Tuy nhiên, chúng tôi đã tăng bằng chứng cho thấy một kẻ tấn công đã phát hiện (hoặc thu được) nhiều lỗ hổng tương tự được báo cáo bởi các nhà nghiên cứu bảo mật phòng thủ. Chúng tôi không thể biết chắc chắn khi kẻ tấn công phát hiện ra lỗi bảo mật mà chúng tôi báo cáo, nhưng chúng tôi biết rằng nó xảy ra thường xuyên để bao gồm chính sách tiết lộ của chúng tôi.

Về cơ bản, các mốc thời gian tiết lộ là một cách để các nhà nghiên cứu bảo mật đặt kỳ vọng và cung cấp các khuyến khích rõ ràng cho các nhà cung cấp và các dự án nguồn mở để mở rộng các nỗ lực cải thiện lỗ hổng của họ. Chúng tôi cố gắng hiệu chỉnh khung thời gian tiết lộ của mình để nó đầy tham vọng, công bằng và thực tế. "

Project Zero có một bằng chứng rõ ràng cho việc này. Một nghiên cứu đã xem xét nhiều hơn 4.300 lỗ hổng và nhận thấy rằng 15% đến 20% lỗ hổng được tìm thấy độc lập ít nhất hai lần một năm. Ví dụ, đối với Android, 14% lỗ hổng được khôi phục trong 60 ngày và 20% trong 90, đối với Chrome, có 13% khám phá lại trong 60 ngày. Điều này cho thấy rằng trong khi một nhà nghiên cứu bảo mật có thể đi trước đường cong, có một cơ hội hợp lý rằng bất cứ thứ gì họ tìm thấy sẽ được kẻ tấn công tìm thấy ngay sau đó.

Nhưng nó không nguy hiểm để đăng báo cáo lỗi trước khi vá?

Câu trả lời ban đầu rất mâu thuẫn: tiết lộ một số lượng nhỏ các lỗ hổng chưa được xử lý không làm tăng hoặc giảm đáng kể khả năng của kẻ tấn công. Tiết lộ 'thời hạn' của chúng tôi có ảnh hưởng trung lập, ngắn hạn đến khả năng của kẻ tấn công.

Chúng tôi chắc chắn biết rằng có những nhóm và cá nhân đang chờ sử dụng các cuộc tấn công công khai để gây hại cho người dùng (như khai thác bộ tác giả), nhưng chúng tôi cũng biết rằng chi phí biến báo cáo lỗ hổng Project Zero điển hình thành một cuộc tấn công trong thế giới thực không phải là Thực tế tầm thường. "

Project Zero không xuất bản một hướng dẫn từng bước, nhưng xuất bản những gì nó mô tả là "chỉ là một phần của chuỗi khai thác." Về lý thuyết, những kẻ tấn công sẽ cần các nguồn lực và kỹ năng đáng kể để biến lỗ hổng này thành các khai thác đáng tin cậy và Project Zero tin rằng những kẻ tấn công có thể làm điều đó có thể làm điều đó ngay cả khi chúng không để lộ lỗi. Có lẽ kẻ tấn công quá lười biếng để tự mình bắt đầu bởi vì theo một nghiên cứu năm 2017, thời gian trung bình từ lỗ hổng đến "khai thác đầy đủ chức năng" là 22 ngày.

Đó chỉ là một vấn đề, nó là một vấn đề lớn, nhưng hầu hết các công ty đang đẩy mạnh trong vòng 90 ngày. Sự chỉ trích thứ hai mà nhiều nhà nghiên cứu đưa ra là chính sách xuất bản báo cáo lỗi của Project Zero sau khi các bản vá được phát hành, chủ yếu là do các bản vá có xu hướng bị lỗi và cùng một lỗ hổng có thể xuất hiện ở các vị trí khác. Project Zero tin rằng điều này có lợi cho những người bảo vệ, vì nó cho phép họ hiểu rõ hơn về lỗ hổng và ít gây hậu quả cho những kẻ tấn công, những người sẽ có thể đảo ngược các kỹ năng khai thác của bản vá.

"Những kẻ tấn công có động cơ rõ ràng dành thời gian để phân tích các bản vá bảo mật để tìm hiểu về các lỗ hổng (cả thông qua xem xét mã nguồn và kỹ thuật nhị phân đảo ngược), và sẽ nhanh chóng thiết lập chi tiết đầy đủ ngay cả khi các nhà cung cấp và nhà nghiên cứu thử giữ lại dữ liệu kỹ thuật.

Bởi vì tính hữu ích của thông tin về lỗ hổng rất khác nhau đối với người phòng thủ so với kẻ tấn công, chúng tôi không hy vọng người phòng thủ có thể thực hiện phân tích chuyên sâu như kẻ tấn công.

Thông tin chúng tôi tiết lộ thường có thể được sử dụng bởi những người ủng hộ để cải thiện ngay lập tức phòng thủ, kiểm tra tính chính xác của sửa lỗi và luôn có thể được sử dụng để đưa ra quyết định sáng suốt về việc áp dụng bản vá hoặc giảm thiểu ngắn hạn. "

Đôi khi, trong chiến tranh, rủi ro phải được thực hiện để đạt được thành công chung. Và không có lỗi, cuộc chiến giữa các nhà nghiên cứu bảo mật và tin tặc là có thật, với ý nghĩa nghiêm trọng, thực tế. Cho đến thời điểm hiện tại, Project Zero vẫn hoạt động thành công mà không có hậu quả đáng kể từ các chính sách gây hấn của họ và họ sẽ không ngần ngại tiến hành theo cách tương tự trừ khi nó gây ra những vấn đề nghiêm trọng. Hy vọng điều đó không xảy ra.