En caso de google anunciar vulnerabilidades antes de que se han parcheado?

Google es imparable. En menos de tres semanas, Google reveló un total de cuatro vulnerabilidades de día cero que afectan de Windows, dos de ellos tan sólo unos días antes de que Microsoft estaba listo para lanzar un parche. Microsoft no le hizo gracia y, a juzgar por la reacción de Google, más de tales casos es probable que siga.

Es esta manera de enseñar a su competencia para ser más eficiente de Google? Y ¿qué pasa con los usuarios? Es el cumplimiento estricto de Google a plazos arbitrarios en nuestro mejor interés?

¿Por qué Google está informando vulnerabilidades de Windows?

proyecto cero, un equipo de analistas de seguridad de Google, ha estado investigando exploits de día cero desde 2014. El proyecto fue fundado después de un grupo de investigación a tiempo parcial había identificado varios errores de software, incluyendo el crítico vulnerabilidad heartbleed.¿Qué es una vulnerabilidad de día cero? [Explica MakeUseOf]¿Qué es una vulnerabilidad de día cero? [Explica MakeUseOf]Lee mas

En su anuncio Proyecto Cero, Google hizo hincapié en que su prioridad era hacer sus propios productos de seguro. Dado que Google no está operando en un vacío, su investigación se extiende a cualquier software de sus clientes están utilizando.

Vídeo: Ричард Леджетт: Ответ АНБ Эдварду Сноудену

Hasta ahora, el equipo ha identificado más de 200 errores en varios productos, incluyendo Adobe Reader, Flash, OS X, Linux y Windows. Cada vulnerabilidad se informa que sólo el proveedor de software y recibe un período de gracia de 90 días, después de lo cual se hace público a través del foro de seguridad de Google Investigación.

Este error está sujeto a un plazo divulgación 90 días. Si transcurren 90 días sin un parche ampliamente disponible, el informe de error se convertirá automáticamente visible para el público.

Eso es lo que pasó con Microsoft. Cuatro veces. La primera vulnerabilidad de Windows (edición # 118) fue identificado el 30 de septiembre de 2014 y fue posteriormente publicado el 29 de diciembre de 2014. El 11 de enero, pocos días antes de que Microsoft estaba listo para empujar a cabo a través de un arreglo Martes de parches, La segunda vulnerabilidad (edición # 123) se hizo público, el lanzamiento de un debate sobre si Google no podría haber esperado. Sólo unos días después, dos vulnerabilidades más (edición # 128 & la edición # 138) apareció en la base de datos pública, la escalada de la situación.Windows Update: Todo lo que necesita saberWindows Update: Todo lo que necesita saberSe habilita actualización de Windows en su PC? Windows Update le protege de las vulnerabilidades de seguridad, manteniendo Windows, Internet Explorer y Microsoft Office hasta al día con los últimos parches de seguridad y correcciones de errores.Lee mas

Hacked

Vídeo: Justin Bieber - What Do You Mean?

Lo que sucedió detrás de las escenas?

El primer número (# 118) era una vulnerabilidad de elevación de privilegios crítico, demostrado afectar de Windows 8.1. De acuerdo con The Hacker News, que “podría permitir a un hacker para modificar el contenido o incluso a hacerse cargo de los ordenadores de las víctimas por completo, dejando a millones de usuarios vulnerables“. Google no reveló ninguna comunicación con Microsoft respecto a este tema.

Para el segundo número (# 123), Microsoft solicitó una prórroga, y cuando Google lo negó, que hizo esfuerzos para liberar el parche de un mes antes. Estos fueron los comentarios de James Forshaw:

Microsoft confirmó que están en camino de ofrecer soluciones para estas cuestiones en febrero de 2015. Se le preguntó si esto podría causar un problema con el plazo de 90 días. Microsoft fue informado de que el plazo de 90 días está fijado para todos los proveedores y las clases de errores y por lo tanto no se puede extender. Además se les informó que el plazo de 90 días para este problema expira el 11 de Ene de 2015.

Vídeo: Karol G - Casi Nada

Microsoft publicó parches para ambos problemas con la actualización martes de enero.

Con el tercer número (# 128), Microsoft tuvo que retrasar un parche debido a problemas de compatibilidad.

Microsoft nos informó de que un arreglo se ha previsto para los parches de enero, pero tiene que ser retirado debido a problemas de compatibilidad. Por lo tanto la solución que ahora se espera en los parches de febrero.

A pesar de que Microsoft informó a Google que estaban trabajando en el tema, pero que plantean problemas, Google se adelantó y publicó la vulnerabilidad. Ninguna negociación, sin piedad.

Para el último número (# 138), Microsoft decidió no solucionarlo. James Forshaw añadió el siguiente comentario:

Microsoft han llegado a la conclusión de que la cuestión no cumple con la barra de un boletín de seguridad. Afirman que requeriría demasiado control de la parte del atacante y no tienen en cuenta la configuración de Directiva de grupo como una característica de seguridad.

¿Es aceptable el comportamiento de Google?

Microsoft no piensa lo mismo. En una respuesta exhaustiva, Chris Betz, director general del Centro de Investigaciones de seguridad de Microsoft, exige una divulgación de vulnerabilidades mejor coordinados. Se hace hincapié en que Microsoft cree en la vulnerabilidad de divulgación Coordinado (ECV), una práctica en la que los investigadores y empresas colaboran en las vulnerabilidades para reducir al mínimo el riesgo para los clientes.

En cuanto a los acontecimientos recientes, Betz confirma que Microsoft Google pidió específicamente para trabajar con ellos y retener detalles hasta que las correcciones se distribuyeron durante el martes de parches. Google ignora la solicitud.

Aunque siguiendo a través mantiene el cronograma anunciado por Google para la divulgación, la decisión se siente menos como principios y más como un “Gotcha”, con los clientes a los que puedan sufrir como resultado.

De acuerdo con Betz, revelado públicamente vulnerabilidades experimentan ataques orquestados de los delincuentes cibernéticos, un acto casi no se ve cuando los problemas se dan a conocer de forma privada a través de las enfermedades cardiovasculares y parcheado antes de que la información se haga pública. Además Betz dice, no todas las vulnerabilidades son iguales, es decir, la línea de tiempo en el que un problema es parcheado depende de su complejidad.

rojo de la cuerda

Su llamado a la colaboración es fuerte y claro y sus argumentos son sólidos. La reflexión que ningún software es perfecto porque está hecho por los seres humanos simples que funcionan con sistemas complejos, es entrañable. Betz golpea el clavo en la cabeza cuando dice:

Lo que es correcto para Google no siempre es el adecuado para los clientes. Instamos a Google a hacer de la protección de los clientes de nuestro objetivo principal colectiva.

El otro punto de vista es que Google tiene una política establecida y no quiere dar paso a excepciones. Este no es el tipo de inflexibilidad que cabría esperar de una empresa de diseño moderno como Google. Por otra parte, la publicación no sólo la vulnerabilidad, sino también el código de explotación es irresponsable, ya que millones de usuarios podrían ser golpeado por un ataque concertado.

Si vuelve a suceder, ¿Qué puede hacer para proteger su sistema?

Ningún software volverá a estar a salvo de exploits de día cero. Usted puede aumentar su propia seguridad mediante la adopción de una higiene de seguridad de sentido común. Esto es lo que Microsoft recomienda:

Animamos a los clientes a mantener su software antivirus A hoy, instalar todas las actualizaciones de seguridad disponibles y permitir la cortafuegos en su ordenador.El mejor software de WindowsEl mejor software de WindowsWindows está nadando en un mar de aplicaciones gratuitas. Cuáles puede confiar y cuáles son los mejores? Si no está seguro o necesita para resolver una tarea específica, consulte esta lista.Lee mas

Nuestro veredicto: En caso de Google han cooperado con Microsoft

Google mantuvo su plazo arbitrario, en lugar de ser flexibles y actuar en el mejor interés de sus usuarios. Podrían haber ampliado el período de gracia para revelar las vulnerabilidades, especialmente después de que Microsoft comunicó que los parches eran (casi) listo. Si noble objetivo de Google es hacer que Internet sea más seguro, deben estar dispuestos a cooperar con otras empresas.

Mientras tanto, Microsoft pudo haber lanzado más recursos a los parches en desarrollo. 90 días es considerado como un plazo suficiente por algunos. Debido a la presión de Google, lo hicieron de hecho empujar un parche a cabo un mes antes de lo estimado inicialmente. Casi parece como si no les dan prioridad a la cuestión de lo suficiente en un principio.

En general, si las señales de los proveedores de software que están trabajando en el tema, como el equipo de investigadores del Proyecto Cero de Google deben cooperar y ampliar períodos de gracia. El mantenimiento de un pronto a ser la vulnerabilidad parcheada secreto parece ser más seguro que atraer la atención de los piratas informáticos. no debe ser la seguridad del cliente la máxima prioridad de cualquier empresa?Usuarios de Windows Cuidado: usted tiene un problema grave de seguridad Usuarios de Windows Cuidado: usted tiene un problema grave de seguridad Lee mas

¿Qué piensas? ¿Qué hubiera sido una solución mejor o qué Google hacer lo correcto después de todo?

Artículos Relacionados