Varför det betyder något: Project Zero är ett fruktansvärt säkerhetsforskningsteam känt för tre saker: hitta de värsta sårbarheterna där ute, hitta nya sårbarheter varje dag och ge företag bara 90 dagar att hitta förbättringar innan allmänheten avslöjar helt. Lika beundrade och hatade av de flesta av säkerhetssamhället bröt de nyligen sin tystnad för att försvara sin motintuitiva politik och förklara vad de faktiskt gör.
Varje större teknikföretag, från Microsoft till Apple till Intel, har fått en felrapport från Project Zero som innehåller följande uttalande: “Detta fel är föremål för en tidsfrist på 90 dagar. Efter 90 dagar har gått eller patchar görs allmänt tillgängliga (beroende på vad som är tidigare ) kommer felrapporter att vara synliga för allmänheten. ”Från och med kan företag välja att fixa buggar med hjälp av Project Zero, ensam eller inte alls – i detta fall publiceras bugrapporterna omedelbart.
Varje felrapport innehåller nästan allt som Project Zero kan samla om sårbarheter, från hur den först upptäcktes till proof-of-concept-kod som utnyttjar den för att visa ett problem.
Den 30 juli publicerade Project Zero bugrapporter av 1 855 fasta sårbarheter och 66 som inte var fixade. 1 411 av 1 855 utfärdades inom 90 dagar och 174 ytterligare utfärdades inom den 14-dagars fristperioden som Project Zero tillät när de trodde att företaget närmar sig slutförda reparationer. Endast två som går utöver det, Specter & Meltdown och task_t, båda, när de utnyttjas, tillåter programåtkomst till det högsta hemliga operativsystemet.
Project Zero erkänner att släppa felrapporter innan en fix är ganska farligt, men det är poängen: det gör företag rädda för att faktiskt fixa det, vilket de säger inte kommer att göra om de hoppas att bugrapporten förblir dold.
“Om du antar att endast leverantörer och reportrar har kunskap om sårbarheter kan problemet åtgärdas utan brådskande åtgärder. Vi har emellertid alltmer bevis för att en angripare upptäckte (eller erhöll) många av samma sårbarheter som rapporterats av defensiva säkerhetsforskare. Vi kan inte veta säkert när säkerhetsfelet som vi rapporterade upptäcktes av angriparen, men vi vet att det sker rutinmässigt nog för att inkludera vår avslöjande policy.
I princip är tidsfrister för avslöjande ett sätt för säkerhetsforskare att ställa förväntningar och ge tydliga incitament för leverantörer och open source-projekt för att öka deras sårbarhetsförbättringsinsatser. Vi försöker kalibrera vår tidsram för avslöjande för att vara ambitiös, rättvis och realistisk. “
Project Zero har ett tydligt bevis på detta. En studie analyserade mer än 4 300 sårbarheter och fann att 15% till 20% av sårbarheterna hittades oberoende minst två gånger om året. För Android, till exempel, upptäcktes 14% av sårbarheterna på 60 dagar och 20% på 90, för Chrome upptäcktes 13% på nytt på 60 dagar. Detta visar att även om en säkerhetsforskare kan ligga före kurvan, finns det en rimlig möjlighet att allt de hittar hittas av angriparen strax efteråt.
Men är det inte farligt att publicera felrapporter innan du lappar?
“Svaret är mot intuitivt till en början: att avslöja ett litet antal sårbarheter som inte är fixerade ökar eller minskar inte angriparens förmåga. Våra avslöjanden avslöjar en neutral kortvarig effekt på angriparens förmåga.
Vi vet säkert att det finns grupper och individer som väntar på att använda offentliga attacker för att skada användare (till exempel att utnyttja författarsatsen), men vi vet också att kostnaden för att förvandla en typisk Project Zero-sårbarhetsrapport till en verklig attack är praktiskt taget inte trivial. “
Project Zero publicerar inte en hacking guide steg för steg guide, de publicerar vad de beskriver som “bara en del av exploateringskedjan.” I teorin kommer angripare att behöva betydande resurser och färdigheter för att förvandla denna sårbarhet till pålitliga exploater, och Project Zero tror att angripare som kan göra detta kan göra det även om de inte avslöjar buggar. Kanske är angriparen för lat för att starta på egen hand eftersom en 2017-studie fann att genomsnittlig tid från sårbarhet till “fullt funktionell exploatering” är 22 dagar.
Det är bara ett problem, det är ett stort problem, men de flesta företag pressar inom 90 dagar. Den andra kritiken som många forskare har är Project Zero-policyn att publicera felrapporter efter att patchar har släppts, främst på grund av att patchar tenderar att vara ofullkomna och eftersom samma sårbarheter kan visas på andra platser. Project Zero anser att detta är fördelaktigt för försvarare, vilket gör det möjligt för dem att bättre förstå sårbarheten och med liten konsekvens för angripare som kommer att kunna omvända utnyttjandet av lappen.
“Angripare har ett tydligt incitament att spendera tid på att analysera säkerhetsuppdateringar för att lära sig om sårbarheter (både genom källkodgranskning och binär omvänd teknik), och de kommer snabbt att skapa fullständiga detaljer även om leverantörer och forskare försöker hålla teknisk information.
Eftersom användbarheten av information om sårbarhet är mycket annorlunda för försvarare kontra angripare, förväntar vi oss inte att försvarare kan göra samma analysdjup som angripare.
Informationen som vi släpper kan vanligtvis användas av försvarare för att omedelbart förbättra försvaret, testa noggrannheten i felkorrigeringar och kan alltid användas för att fatta beslut baserat på information om antagning av lapp eller kortvarig mildring. “
Ibland, i krig, måste risker tas för att uppnå total framgång. Och gör inga misstag, kampen mellan säkerhetsforskare och hackare är verklig, med allvarliga konsekvenser, verkliga livet. Hittills har Project Zero fungerat framgångsrikt utan betydande konsekvenser av deras aggressiva politik, och de kommer inte att tveka att fortsätta på samma sätt om det inte orsakar drastiska problem. Förhoppningsvis händer det inte.
