Anuncio
Google es imparable. En menos de tres semanas, Google reveló un total de cuatro vulnerabilidades de día cero que afectan a Windows, dos de ellas solo unos días antes de que Microsoft estuviera listo para lanzar un parche. Microsoft no se divirtió y a juzgar por la reacción de Google, es probable que haya más casos de este tipo.
¿Es esta la forma en que Google enseña a sus competidores a ser más eficientes? ¿Y qué hay de los usuarios? ¿Es el cumplimiento estricto de Google de plazos arbitrarios en nuestro mejor interés?
¿Por qué Google informa vulnerabilidades de Windows?
Proyecto cero, un equipo de analistas de seguridad de Google, ha estado investigando exploits de día cero ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] Lee mas desde 2014 El proyecto se fundó después de que un grupo de investigación a tiempo parcial identificó varios errores de software, incluidos los críticos Vulnerabilidad hemorrágica Heartbleed: ¿qué puede hacer para mantenerse a salvo? Lee mas .
En su
Anuncio de proyecto cero, Google enfatizó que su principal prioridad era asegurar sus propios productos. Como Google no está operando en el vacío, su investigación se extiende a cualquier software que sus clientes estén usando.Hasta ahora, el equipo ha identificado más de 200 errores en varios productos, incluidos Adobe Reader, Flash, OS X, Linux y Windows. Cada vulnerabilidad se informa solo al proveedor de software y recibe un período de gracia de 90 días, después del cual se hace público a través del Foro de investigación de seguridad de Google.
Este error está sujeto a un plazo de divulgación de 90 días. Si transcurren 90 días sin un parche ampliamente disponible, el informe de error se hará visible automáticamente para el público.
Eso es lo que le pasó a Microsoft. Cuatro veces. La primera vulnerabilidad de Windows (número 118) se identificó el 30 de septiembre de 2014 y se publicó posteriormente el 29 de diciembre de 2014. El 11 de enero, solo unos días antes de que Microsoft estuviera listo para lanzar una solución a través de Parche martes Actualización de Windows: todo lo que necesita saber¿Windows Update está habilitado en tu PC? Windows Update lo protege de las vulnerabilidades de seguridad al mantener Windows, Internet Explorer y Microsoft Office actualizados con los últimos parches de seguridad y correcciones de errores. Lee mas , la segunda vulnerabilidad (número 123) se hizo público, iniciando un debate sobre si Google no podría haber esperado. Solo días después, dos vulnerabilidades más (número 128 & número 138) apareció en la base de datos pública, intensificando aún más la situación.
¿Qué sucedió detrás de escena?
El primer problema (# 118) fue una vulnerabilidad de escalada de privilegios crítica, que se vio que afecta a Windows 8.1. De acuerdo a The Hacker News, eso "podría permitir a un pirata informático modificar contenido o incluso hacerse cargo de las computadoras de las víctimas por completo, dejando a millones de usuarios vulnerables“. Google no reveló ninguna comunicación con Microsoft con respecto a este problema.
Para el segundo número (# 123), Microsoft solicitó una extensión, y cuando Google la negó, hicieron un esfuerzo para lanzar el parche un mes antes. Estos fueron los comentarios de James Forshaw:
Microsoft confirmó que están en el objetivo de proporcionar soluciones para estos problemas en febrero de 2015. Preguntaron si esto causaría un problema con la fecha límite de 90 días. Se informó a Microsoft que el plazo de 90 días está fijado para todos los proveedores y clases de errores, por lo que no se puede extender. Además, se les informó que el plazo de 90 días para este problema expira el 11 de enero de 2015.
Microsoft lanzó parches para ambos problemas con Update Tuesday en enero.
Con el tercer problema (# 128), Microsoft tuvo que retrasar un parche debido a problemas de compatibilidad.
Microsoft nos informó que se planificó una solución para los parches de enero, pero que se debe retirar debido a problemas de compatibilidad. Por lo tanto, la solución ahora se espera en los parches de febrero.
A pesar de que Microsoft informó a Google que estaban trabajando en el problema, pero enfrentando dificultades, Google siguió adelante y publicó la vulnerabilidad. Sin negociación, sin piedad.
Para el último problema (# 138), Microsoft decidió no solucionarlo. James Forshaw agregó el siguiente comentario:
Microsoft ha concluido que el problema no cumple con los requisitos de un boletín de seguridad. Afirman que requeriría demasiado control por parte del atacante y no consideran la configuración de la política de grupo como una característica de seguridad.
¿Es aceptable el comportamiento de Google?
Microsoft no lo cree así. En una respuesta exhaustiva, Chris Betz, Director Senior del Centro de Investigación de Seguridad de Microsoft, pide una divulgación de vulnerabilidad mejor coordinada. Él enfatiza que Microsoft cree en Divulgación coordinada de vulnerabilidad (CVD), una práctica en la que investigadores y empresas colaboran en vulnerabilidades para minimizar el riesgo para los clientes.
Con respecto a los eventos recientes, Betz confirma que Microsoft le pidió específicamente a Google que trabaje con ellos y retenga los detalles hasta que se distribuyan las soluciones durante el martes de parches. Google ignoró la solicitud.
Si bien el cumplimiento de los plazos de divulgación anunciados por Google, la decisión se siente menos como principios y más como una "trampa", siendo los clientes los que pueden sufrir como resultado.
Según Betz, las vulnerabilidades divulgadas públicamente experimentan ataques orquestados de ciberdelincuentes, un actuar apenas visto cuando los problemas se revelan de forma privada a través de CVD y se reparan antes de que la información se convierta público. Además, Betz dice que no todas las vulnerabilidades son iguales, lo que significa que la línea de tiempo dentro de la cual se repara un problema depende de su complejidad.
Su llamado a la colaboración es alto y claro y sus argumentos son sólidos. La reflexión de que ningún software es perfecto porque está hecho por humanos simples que operan con sistemas complejos es entrañable. Betz golpea el clavo en la cabeza cuando dice:
Lo que es correcto para Google no siempre es adecuado para los clientes. Instamos a Google a hacer de la protección de los clientes nuestro principal objetivo colectivo.
El otro punto de vista es que Google tiene una política establecida y no quiere dar paso a excepciones. Este no es el tipo de inflexibilidad que esperaría de una empresa ultramoderna como Google. Además, publicar no solo la vulnerabilidad, sino también el código de explotación es irresponsable, dado que millones de usuarios podrían verse afectados por un ataque concertado.
Si esto vuelve a ocurrir, ¿qué puede hacer para proteger su sistema?
Ningún software estará a salvo de ataques de día cero. Puede aumentar su propia seguridad adoptando una higiene de seguridad de sentido común. Esto es lo que Microsoft recomienda:
Alentamos a los clientes a mantener sus software antivirus El mejor software para PC para su computadora con Windows¿Quieres el mejor software para PC para tu computadora con Windows? Nuestra lista masiva recopila los mejores y más seguros programas para todas las necesidades. Lee mas A hoy, instalar todas las actualizaciones de seguridad disponibles 3 razones por las que debería ejecutar los últimos parches y actualizaciones de seguridad de WindowsEl código que conforma el sistema operativo Windows contiene agujeros de seguridad, errores, incompatibilidades o elementos de software obsoletos. En resumen, Windows no es perfecto, todos lo sabemos. Los parches de seguridad y las actualizaciones corrigen las vulnerabilidades ... Lee mas y habilitar el cortafuegos El mejor software para PC para su computadora con Windows¿Quieres el mejor software para PC para tu computadora con Windows? Nuestra lista masiva recopila los mejores y más seguros programas para todas las necesidades. Lee mas en su computadora.
Nuestro veredicto: Google debería haber cooperado con Microsoft
Google se atuvo a su plazo arbitrario, en lugar de ser flexible y actuar en el mejor interés de sus usuarios. Podrían haber extendido el período de gracia para revelar las vulnerabilidades, especialmente después de que Microsoft comunicó que los parches estaban (casi) listos. Si el noble objetivo de Google es hacer que Internet sea más seguro, deben estar preparados para cooperar con otras compañías.
Mientras tanto, Microsoft podría haber lanzado más recursos para desarrollar parches. 90 días es considerado como un tiempo suficiente por algunos. Debido a la presión de Google, de hecho sacaron un parche un mes antes de lo estimado inicialmente. Casi parece que originalmente no priorizaron el problema lo suficiente.
En general, si el proveedor de software señala que está trabajando en el tema, los investigadores, como el equipo del Proyecto Cero de Google, deberían cooperar y extender los períodos de gracia. Manteniendo un pronto para ser vulnerabilidad parcheada Los usuarios de Windows tengan cuidado: tiene un grave problema de seguridad Lee mas El secreto parece ser más seguro que atraer la atención de los hackers. ¿No debería ser la seguridad del cliente la principal prioridad de cualquier empresa?
¿Qué piensas? ¿Cuál habría sido una mejor solución o Google hizo lo correcto después de todo?
Créditos de imagen: Mago A través de Shutterstock, Hackeado por wk1003mike a través de Shutterstock, Red Rope de Mega Pixel a través de Shutterstock
Tina ha estado escribiendo sobre tecnología de consumo durante más de una década. Tiene un Doctorado en Ciencias Naturales, un Diploma de Alemania y una Maestría en Suecia. Su formación analítica la ha ayudado a sobresalir como periodista tecnológica en MakeUseOf, donde ahora gestiona la investigación y las operaciones de palabras clave.
