الإعلانات

جوجل لا يمكن إيقافه. في غضون أقل من ثلاثة أسابيع ، كشفت Google عن إجمالي 4 ثغرات يوم صفر تؤثر على Windows ، اثنان منها قبل أيام فقط من استعداد Microsoft لإصدار تصحيح. لم يكن Microsoft مستمتعًا وحكمًا على رد فعل Google ، فمن المرجح أن تتبع المزيد من هذه الحالات.

هل هذه طريقة Google في تعليم منافسيهم ليكونوا أكثر كفاءة؟ وماذا عن المستخدمين؟ هل التزام Google الصارم بالمواعيد التعسفية في مصلحتنا؟

لماذا تقوم Google بالإبلاغ عن نقاط الضعف في Windows؟

مشروع صفر، وهو فريق من محللي أمان Google ، يبحث مآثر يوم الصفر ما هي ثغرة يوم الصفر؟ [MakeUseOf يوضح] اقرأ أكثر منذ عام 2014. تأسس المشروع بعد أن حددت مجموعة بحثية بدوام جزئي العديد من الأخطاء البرمجية ، بما في ذلك الأخطاء الحرجة ضعف القلب Heartbleed - ما الذي يمكنك القيام به للبقاء في أمان؟ اقرأ أكثر .

في حياتهم إعلان Project Zero، شددت جوجل على أن أولويتهم القصوى هي جعل منتجاتهم آمنة. نظرًا لأن Google لا تعمل في فراغ ، فإن أبحاثهم تمتد إلى أي برنامج يستخدمه عملاؤهم.

حتى الآن ، حدد الفريق أكثر من 200 خطأ في منتجات مختلفة ، بما في ذلك Adobe Reader و Flash و OS X و Linux و Windows. يتم الإبلاغ عن كل ثغرة لمورد البرنامج فقط ويتلقى فترة سماح مدتها 90 يومًا ، وبعد ذلك يتم نشرها عبر الموقع

instagram viewer
منتدى Google Security Research.

يخضع هذا الخطأ لمهلة إفشاء مدتها 90 يومًا. إذا انقضت 90 يومًا بدون تصحيح متاح على نطاق واسع ، فسيصبح تقرير الخطأ مرئيًا تلقائيًا للجمهور.

هذا ما حدث لمايكروسوفت. أربع مرات. ثغرة Windows الأولى (العدد 118) تم تحديده في 30 سبتمبر 2014 وتم نشره لاحقًا في 29 ديسمبر 2014. في 11 يناير ، قبل أيام فقط من استعداد Microsoft لدفع الإصلاح عبر تصحيح الثلاثاء تحديث Windows: كل ما تحتاج إلى معرفتههل تم تمكين Windows Update على جهاز الكمبيوتر الخاص بك؟ يحميك Windows Update من الثغرات الأمنية من خلال إبقاء Windows و Internet Explorer و Microsoft Office على اطلاع دائم بأحدث تصحيحات الأمان وإصلاح الأخطاء. اقرأ أكثر ، الثغرة الثانية (العدد 123) تم نشرها علنًا ، مما أثار نقاشًا حول ما إذا كان Google لم يكن بإمكانه الانتظار. بعد أيام فقط ، هناك ثغرتان أخريان (العدد 128 & العدد 138ظهر في قاعدة البيانات العامة ، مما زاد من تفاقم الوضع.

اخترق

ماذا حدث وراء الكواليس؟

كان الإصدار الأول (# 118) ثغرة تصعيد امتياز حاسمة ، ثبت أنها تؤثر على Windows 8.1. بالنسبة الى أخبار هاكر، "يمكن أن يسمح للمتسلل بتعديل المحتويات أو حتى الاستيلاء على أجهزة كمبيوتر الضحايا بالكامل ، مما يترك الملايين من المستخدمين عرضة للخطر“. لم تكشف Google عن أي اتصال مع Microsoft بخصوص هذه المشكلة.

بالنسبة إلى الإصدار الثاني (# 123) ، طلبت Microsoft تمديدًا ، وعندما رفضته Google ، بذلت جهودًا لإطلاق التصحيح قبل شهر. كانت هذه تعليقات جيمس فورشو:

أكدت Microsoft أنها على الهدف لتقديم إصلاحات لهذه المشكلات في فبراير 2015. سألوا إذا كان هذا سيسبب مشكلة مع مهلة 90 يومًا. تم إبلاغ Microsoft أن الموعد النهائي 90 يومًا ثابت لجميع البائعين وفئات الأخطاء ، وبالتالي لا يمكن تمديده. علاوة على ذلك ، تم إبلاغهم أن الموعد النهائي 90 يومًا لهذه المشكلة ينتهي في 11 يناير 2015.

أصدرت Microsoft تصحيحات لكلا المسألتين مع تحديث الثلاثاء في يناير.

مع الإصدار الثالث (# 128) ، كان على Microsoft تأخير التصحيح بسبب مشكلات التوافق.

أبلغتنا Microsoft أنه تم التخطيط لإصلاح تصحيحات يناير ولكن يجب سحبها بسبب مشكلات التوافق. لذلك من المتوقع الآن الإصلاح في بقع فبراير.

على الرغم من أن Microsoft أبلغت Google أنها تعمل على حل المشكلة ، إلا أنها تواجه صعوبات ، إلا أن Google تقدمت ونشرت الثغرة. لا تفاوض ولا رحمة.

بالنسبة إلى الإصدار الأخير (# 138) ، قررت Microsoft عدم إصلاحه. أضاف جيمس فورشو التعليق التالي:

خلصت Microsoft إلى أن المشكلة لا تتوافق مع شريط نشرة الأمن. يذكرون أنه يتطلب الكثير من التحكم من جانب المهاجم ولا يعتبرون إعدادات سياسة المجموعة ميزة أمان.

هل سلوك Google مقبول؟

مايكروسوفت لا تعتقد ذلك. في رد شامل ، كريس بيتز ، المدير الأول لمركز أبحاث أمان Microsoft ، يدعو الكشف عن الثغرات المنسقة بشكل أفضل. ويؤكد أن مايكروسوفت تؤمن الإفصاح المنسق عن الثغرات الأمنية (الأمراض القلبية الوعائية) ، وهي ممارسة يتعاون فيها الباحثون والشركات على نقاط الضعف لتقليل المخاطر للعملاء.

فيما يتعلق بالأحداث الأخيرة ، يؤكد Betz أن Microsoft طلبت بشكل خاص من Google العمل معها وحجب التفاصيل حتى يتم توزيع الإصلاحات خلال Patch Tuesday. تجاهل جوجل الطلب.

على الرغم من متابعة اتباع الجدول الزمني الذي أعلنت عنه Google للإفصاح ، فإن القرار يبدو أقل تشابهًا بالمبادئ وأكثر مثل "gotcha" ، مع العملاء الذين قد يعانون نتيجة لذلك.

وفقًا لـ Betz ، تتعرض نقاط الضعف التي تم الكشف عنها علنًا لهجمات مدبرة من المجرمين الإلكترونيين التصرف بصعوبة عندما يتم الكشف عن القضايا بشكل خاص من خلال CVD وتصحيحها قبل أن تصبح المعلومات عامة. علاوة على ذلك ، يقول بيتز ، ليست كل نقاط الضعف متساوية ، مما يعني أن الجدول الزمني الذي يتم فيه تصحيح المشكلة يعتمد على مدى تعقيدها.

الحبل الأحمر

إن دعوته للتعاون عالية وواضحة وحججه قوية. الانعكاس على عدم وجود برنامج مثالي لأنه مصنوع من قبل أشخاص بسيطين يعملون مع أنظمة معقدة ، هو أمر محبب. يضرب بيتز المسمار على الرأس عندما يقول:

ما يناسب Google ليس دائمًا مناسبًا للعملاء. نحث Google على جعل حماية العملاء هدفنا الأساسي الجماعي.

وجهة النظر الأخرى هي ذلك لدى Google سياسة ثابتة ولا تريد أن تفسح المجال للاستثناءات. هذا ليس نوع المرونة التي تتوقعها من شركة حديثة جدًا مثل Google. علاوة على ذلك ، لا يعد نشر الثغرة الأمنية فحسب ، بل أيضًا رمز الاستغلال غير مسؤول ، نظرًا لأن ملايين المستخدمين قد يتعرضون لهجوم منسق.

إذا حدث هذا مرة أخرى ، فما الذي يمكنك فعله لحماية نظامك؟

لن يكون أي برنامج آمنًا من ثغرات يوم الصفر. يمكنك زيادة سلامتك الخاصة من خلال اعتماد النظافة الأمنية السليمة. هذا ما توصي به Microsoft:

نحن نشجع العملاء على الاحتفاظ بها برنامج مكافحة الفيروسات أفضل برامج الكمبيوتر لجهاز الكمبيوتر الذي يعمل بنظام Windowsهل تريد أفضل برنامج كمبيوتر للكمبيوتر الذي يعمل بنظام Windows؟ تجمع قائمتنا الضخمة أفضل البرامج وأكثرها أمانًا لجميع الاحتياجات. اقرأ أكثر حتى الآن، قم بتثبيت كافة تحديثات الأمان المتوفرة 3 أسباب تجعلك تقوم بتشغيل أحدث تصحيحات وتحديثات أمان Windowsيحتوي الرمز الذي يتكون من نظام التشغيل Windows على ثقوب حلقة الأمان أو الأخطاء أو عدم التوافق أو عناصر البرامج القديمة. باختصار ، Windows ليس مثاليًا ، فنحن جميعًا نعلم ذلك. تعمل تصحيحات وتحديثات الأمان على إصلاح الثغرات الأمنية ... اقرأ أكثر وتمكين جدار الحماية أفضل برامج الكمبيوتر لجهاز الكمبيوتر الذي يعمل بنظام Windowsهل تريد أفضل برنامج كمبيوتر للكمبيوتر الذي يعمل بنظام Windows؟ تجمع قائمتنا الضخمة أفضل البرامج وأكثرها أمانًا لجميع الاحتياجات. اقرأ أكثر على جهاز الكمبيوتر الخاص بهم.

حكمنا: كان على Google أن تتعاون مع Microsoft

تمسكت Google بموعدها النهائي التعسفي ، بدلاً من أن تكون مرنة وتتصرف لمصلحة مستخدميها. كان بإمكانهم تمديد فترة السماح للكشف عن الثغرات الأمنية ، خاصة بعد أن أبلغت Microsoft أن التصحيحات كانت (تقريبًا) جاهزة. إذا كان هدف Google النبيل هو جعل الإنترنت أكثر أمانًا ، فيجب أن يكونوا مستعدين للتعاون مع الشركات الأخرى.

وفي الوقت نفسه ، ربما كان بإمكان Microsoft إلقاء المزيد من الموارد على تطوير التصحيحات. يعتبر البعض 90 يومًا إطارًا زمنيًا كافيًا. بسبب الضغط من Google ، قاموا في الواقع بدفع رقعة واحدة قبل شهر واحد مما كان مقدراً في البداية. يبدو تقريبًا أنهم لم يحددوا أولوية المشكلة بدرجة كافية في الأصل.

بشكل عام ، إذا أشار مورد البرنامج إلى أنه يعمل على حل المشكلة ، فيجب على الباحثين مثل فريق Project Zero من Google التعاون وتمديد فترات السماح. حفظ قريبا ضعف مصححة حذر مستخدمو Windows: لديك مشكلة أمنية خطيرة اقرأ أكثر يبدو أن السر أكثر أمانًا من جذب انتباه المتسللين. ألا ينبغي أن تكون سلامة العملاء على رأس أولويات أي شركة؟

ما رأيك؟ ما الحل الذي كان يمكن أن يكون أفضل أو فعل Google الشيء الصحيح بعد كل شيء؟

ائتمانات الصورة: ساحر عبر Shutterstock ، تم الاختراق بواسطة wk1003mike عبر Shutterstock, الحبل الأحمر بواسطة Mega Pixel عبر Shutterstock

تينا تكتب عن تكنولوجيا المستهلك لأكثر من عقد من الزمان. حاصلة على دكتوراه في العلوم الطبيعية ودبلوم من ألمانيا وماجستير من السويد. ساعدتها خلفيتها التحليلية على التفوق كصحافية تكنولوجية في MakeUseOf ، حيث تدير الآن عمليات البحث عن الكلمات الرئيسية والعمليات.