Obs: I nästa ämne du kommer att läsa kommer du att lära dig om: Mer än 95 % av 1 600 sårbarheter som hittats av Google Project Zero har åtgärdats i…
För det spelar roll: Project Zero är en fruktansvärd säkerhetsforskningsgrupp som är känd för tre saker: att hitta de värsta sårbarheterna, hitta nya sårbarheter varje dag och att ge företag bara 90 dagar på sig att hitta förbättringar innan de offentliggörs helt. Beundrade och hatade av mycket av säkerhetsgemenskapen bröt de nyligen sin tystnad för att försvara sin politik mot insikt och förklara vad de faktiskt gör.
Alla större teknikföretag, från Microsoft till Apple Intel har fått felrapporter från Project Zero som innehåller följande uttalande: Fel Det här felet har en 90-dagars publiceringsperiod. Efter att 90 dagar har gått eller efter att patchen är allmänt tillgänglig (beroende på vilket som är tidigare), kommer felrapporten att vara allmänt tillgänglig. Från den punkten kan företag välja att fixa buggar med hjälp av Project Zero, ensam eller inte, i vilket fall felrapporten publiceras direkt.
Varje felrapport innehåller bara allt Project Zero kan samla in om sårbarheten, från hur den först upptäcktes till proof-of-concept-kod som utnyttjar den för att indikera ett problem.
Den 30 juli släppte Project Zero en buggrapport från 10.55 fixade och 66 ofixade sårbarheter. 1 411 av 1 585 utfärdades inom 90 dagar och ytterligare 174 utfärdades under den 14:e respitperioden på det datum som Project Zero tillät när de var säkra på att företaget var nära att slutföras. Det finns bara två som går utöver det, Spectre & Meltdown och task_t, som båda, när de utnyttjas, ger programmet tillgång till operativsystemets högsta hemligheter.
Project Zero medger att det är lite farligt att lägga upp en felrapport innan den är åtgärdad, men det är poängen: Det gör företag rädda för att fixa det, vilket de säger inte kan göras om de tror att felrapporter fortfarande är dolda. .
Om du antar att endast leverantörer och reportrar är medvetna om sårbarheter kan problemet lösas utan brådska. Vi har dock ökat bevis för att en angripare har upptäckt (eller erhållit) många av samma sårbarheter som rapporterats av defensiva säkerhetsforskare. Vi kan inte säkert veta när en angripare upptäckte säkerhetsfelet vi rapporterade, men vi vet att det händer tillräckligt ofta för att inkludera vår avslöjandepolicy.
I grund och botten är tidslinjer för avslöjande ett sätt för säkerhetsforskare att sätta förväntningar och ge tydliga incitament för leverantörer och projekt med öppen källkod att skala upp förbättringsinsatser. Vi strävar efter att kalibrera vår tidsram för offentliggörande så att den är ambitiös, rättvis och realistisk. “
Project Zero har ett tydligt bevis på detta. En studie tittade på mer än 4 300 sårbarheter och fann att 15 % till 20 % av sårbarheterna hittades oberoende minst två gånger om året. Till exempel, för Android, återställs 14 % av sårbarheterna på 60 dagar och 20 % på 90 dagar, för Chrome återupptäcks 13 % på 60 dagar. Detta tyder på att även om en säkerhetsforskare kan vara före kurvan, finns det en rimlig chans att allt de hittar kommer att hittas strax efter av en angripare.
Men är det inte farligt att lägga upp felrapporter innan lappning?
Det ursprungliga svaret var motsägelsefullt: att avslöja ett litet antal olösta sårbarheter ökade eller minskade inte en angripares förmåga nämnvärt. Vår “deadline” avslöjande har en neutral, kortsiktig effekt på en angripares förmåga.
Vi vet förvisso att det finns grupper och individer som väntar på att använda offentliga attacker för att skada användare (som författarsvitsexploater), men vi vet också att den rörliga kostnaden för att rapportera sårbarheter Typical Project Zero till en verklig attack inte är en trivial verklighet. “
Project Zero publicerar ingen steg-för-steg-guide, utan publicerar vad den beskriver som “bara en del av gruvkedjan.” I teorin skulle angripare behöva avsevärda resurser och färdigheter för att omvandla denna sårbarhet till tillförlitliga utnyttjanden, och Project Zero tror att angripare som kan göra det kan göra det direkt, även om de inte avslöjar fel. Kanske är angriparen för lat för att starta det på egen hand, för enligt en studie från 2017 är den genomsnittliga tiden från sårbarhet till “fullt fungerande utnyttjande” 22 dagar.
Det är bara ett problem, det är en stor sak, men de flesta företag trycker på inom 90 dagar. Den andra kritiken som många forskare framför är Project Zeros policy att publicera felrapporter efter att patchar har släppts, främst för att patchar tenderar att vara buggiga och samma sårbarheter kan dyka upp på andra platser. Project Zero tror att detta är fördelaktigt för försvarare, eftersom det gör det möjligt för dem att bättre förstå sårbarheten och har mindre konsekvenser för angripare, som kommer att kunna vända sina exploateringsfärdigheter.
“Angripare har ett tydligt incitament att lägga tid på att analysera säkerhetskorrigeringar för att lära sig om sårbarheter (både genom källkodsgranskning och reverse-engineering), och kommer snabbt att bygga fullständiga detaljer även när leverantörer och forskare försöker undanhålla teknisk data.
Eftersom användbarheten av sårbarhetsinformation är så annorlunda för försvarare än angripare, förväntar vi oss inte att försvarare ska kunna utföra lika djupgående analyser som angripare.
Informationen vi avslöjar kan ofta användas av supportrar för att omedelbart förbättra försvaret, kontrollera korrigeringarnas noggrannhet och kan alltid användas för att fatta välgrundade beslut om applicering av patch eller kortsiktig begränsning. “
Ibland, i krig, måste risker tas för att nå ömsesidig framgång. Och gör inga misstag, kriget mellan säkerhetsforskare och hackare är verkligt, med allvarliga, verkliga konsekvenser. Hittills har Project Zero fungerat framgångsrikt utan några betydande konsekvenser av deras aggressiva policy och de kommer inte att tveka att fortsätta på samma sätt om det inte orsakar allvarliga problem. Hoppas det inte händer.
