Google Project Zero: 95,8 % af alle fejlrapporter er rettet inden deadline udløber

Google Project Zero-teamet sagde, at omkring 95,8 % af sikkerhedsfejlene finder de i anden software og rapportere til deres respektive leverandører, blive rettet inden 90-dages deadline for en offentlig offentliggørelse udløber.

Det er et helt slaggennemsnit for et af verdens mest berygtede cybersikkerhedsprogrammer.

I en statistik, der blev delt i onsdags, sagde Googles elitesikkerhedsteam, at i hele sin historie - fra den 17. juli 2014, hvor Project Zero blev oprettet og indtil den 30. juli i denne uge -- dets forskere fandt og rapporterede i alt 1.585 sårbarheder til en bred vifte af hardware og software leverandører.

Af disse sagde Google, at leverandører undlod at levere en patch før den endelige deadline udløb kun for 66 rapporter. Som et resultat blev dets forskere tvunget til at offentliggøre tekniske sårbarhedsdetaljer, før en rettelse blev gjort tilgængelig for brugerne.

Google justerede sin offentliggørelsesfrist tilbage i 2015

I de første par måneder af Project Zeros historie var denne standarddeadline meget strenge 90 dage.

Fra og med den 13. februar 2015 tilføjede Google dog en yderligere 14-dages henstandsperiode, der kunne forlænge fristen under visse betingelser.

Google sagde, at indførelsen af ​​denne henstandsperiode forbedrede deres arbejde med at rapportere fejl. Virksomhederne havde mere tid til at levere patches, og 14-dages perioden stod også for opdateringer, der var teoretisk klar og tilgængelige, men leverandørerne planlagde dem på strenge månedlige udrulninger, hvilket utilsigtet brød 90-dages deadline - -omend fejlene var teknisk set fast.

Denne fristjustering havde også betydning for programmets samlede effektivitet og statistik.

"Hvis vi begrænser analysen til den tidsperiode, hvor forlængelse af afdragsfrihed var en mulighed (13. februar 2015 til 30. juli 2019), så har vi 1434 løste problemer," sagde Google Project Zero-teamet.

"Af disse blev 1224 rettet inden for 90 dage, og yderligere 174 problemer blev rettet inden for den 14-dages henstandsperiode. Det efterlader 36 sårbarheder, der blev afsløret, uden at en patch var tilgængelig for brugerne, eller med andre ord er 97,5 % af vores problemer rettet inden for deadline."

Google: Afsløringer af fejl hjælper forsvarere mere end angribere

Project Zero-programmet, som for nylig fejrede sin femte fødselsdag, blev sat sammen som en måde at revidere hardware og software, der bruges internt hos Google, og derefter rapportere fejl til leverandører.

Eventuelle fejl, som Googles sikkerhedsforskere finder, dokumenteres på projektets fejlsporer og rapporteres derefter til leverandører.

Oplysninger om disse fejlrapporter, nogle gange inklusive meget tekniske detaljer og proof-of-concept kode til reproducere fejlene, offentliggøres efter en leverandør har frigivet en rettelse, eller når deadline passerer uden en patch.

I løbet af de sidste par år er Project Zero-forskere blevet kritiseret for at frigive disse meget detaljerede fejlbeskrivelser og proof-of-concept (PoC) udnyttelseskode, selvom fejlen blev rettet. Mange sikkerhedseksperter har hævdet, at disse rapporter hjalp angribere med at skabe udnyttelser til at starte angreb på brugere.

Men på en FAQ-side, der blev offentliggjort i denne uge, forsvarede Project Zero-teamet deres handlinger og hævdede, at fejlrapporterne hjælper forsvarere i stedet for angribere.

"Angribere har et klart incitament til at bruge tid på at analysere sikkerhedsrettelser for at lære om sårbarheder (både gennem kildekodegennemgang og binær reverse engineering), og de vil hurtigt etablere de fulde detaljer, selvom leverandøren og forskeren forsøger at tilbageholde tekniske data," Project Zero-forskere sagde.

"Da nytten af ​​information om sårbarheder er meget forskellig for forsvarere vs angribere, vi Forvent ikke, at forsvarere typisk har råd til at lave samme dybdegående analyse som angribere," de tilføjet. "Den feedback, vi får fra forsvarere, er, at de ønsker mere information om de risici, som de og deres brugere står over for."

Så efter Googles synspunkt hjælper det ikke angribere at frigive disse detaljer, da mange af dem ville undersøge ændringslogs og app-binære filer alligevel, men de hjælper helt sikkert virksomheder og systemadministratorer, der ønsker at implementere begrænsninger eller detektion regler.

"Det er en vanskelig balance, men i bund og grund ønsker vi at udjævne spillefeltet," sagde Project Zero-forskere.

Project Zero frigiver ikke fulde udnyttelseskæder

Desuden præciserede Project Zero-teamet også, at når fejlrapporter bliver offentlige, på trods af at de er blevet rettet eller ej, er PoC-koden inkluderet i rapporterne ikke fulde udnyttelseskæder.

I stedet frigiver de kun "én del af en udnyttelseskæde", og angribere ville "være nødt til at udføre væsentlig yderligere forskning og udvikling for at fuldføre udnyttelsen og gøre den pålidelig."

"Enhver angriber med ressourcer og tekniske færdigheder til at omdanne en fejlrapport til en pålidelig udnyttelseskæde ville normalt være i stand til at bygge en lignende udnyttelseskæde, selvom vi aldrig havde afsløret fejlen," Project Zero-teamet sagde.

Google anbefaler at bruge oplysningsfrister

Derudover benyttede Project Zero-teamet også lejligheden til at anbefale, at andre sikkerhedsforskere følger deres spor og begynder at bruge en fast afsløringsfrist for fejlrapporter.

"Vi tror, ​​at industripraksis vil forbedres, efterhånden som flere forskere begynder at inkludere tidslinjeforventninger i deres fejlrapporter," sagde Project Zero.

"Der er mange gode grunde til, at en sikkerhedsforsker måske vælger ikke at vedtage en politik for offentliggørelsesfrister på deres fejlrapporter, men overordnet set har vi set mange positive resultater ved at vedtage offentliggørelsesfrister, og vi kan bestemt anbefale det til andre sikkerhedsmyndigheder forskere."

Dette er dog ikke de eneste gyldne guldkorn, som Google-forskere delte. Andre detaljer og vigtigste samtalepunkter fra Project Zeros nyligt offentliggjorte FAQ-side er nedenfor:

• Når Project Zero-forskere rapporterer om en aktivt udnyttet nul-dag, ændres leverandørfristen fra 90 til syv dage.
• Project Zero brød sin 90-dages offentliggørelsesfrist ved to lejligheder - for opgave_t iOS-problemet (145 dage) og for Nedsmeltning og Spectre fejl (216 dage).
• Project Zero PoC'er inkluderer ikke fulde udnyttelseskæder.
• Afsløring af fejldetaljer hjælper ikke angribere på kort sigt.
• Forsvarere har er dem, der får mest ud af fejlrapporter.
• Google håber, at deres fejlrapporter hjælper med at forbedre den overordnede sikkerhed, såsom leverandører, der investerer i reduktion af angrebsoverflader, udnyttelsesbegrænsninger, forbedret sandboxing og fiksering af fejlklasser.
• Project Zero hjælper aktivt leverandører med rettelser, hvis det er nødvendigt.
• Project Zero finder og rapporterer også fejl i Google-produkter, som det rapporterer via Googles offentlige bug-bounty.
• Ikke-Project Zero Google-medarbejdere har også adgang til Project Zero-fejlrapporter (ifølge ofte stillede spørgsmål: "et lille antal sikkerhedsingeniører, der arbejder inde i teamet på '20%-projekter', har adgang til Project Zeros sårbarhed rapporter").

Flere sårbarhedsrapporter:

• Urgent11 sikkerhedsfejl påvirker routere, printere, SCADA og mange IoT-enheder
• Cisco betaler 8,6 millioner dollars for at sælge sårbar software til den amerikanske regering
  
• DHS advarer om CAN bus sårbarheder i små fly
• Google-forskere afslører sårbarheder for 'interaktionsløse' iOS-angreb
• Apples AWDL-protokol plaget af fejl, der muliggør sporing og MitM-angreb
• iPhone Bluetooth-trafik lækker telefonnumre -- i visse scenarier
• Google vil nu betale op til $30.000 for at rapportere en Chrome-fejlCNET
• Top 10 app-sårbarheder: Upatchede plugins og udvidelser dominerer TechRepublic