¿Debería Google anunciar vulnerabilidades antes de que se hayan solucionado?
Google es imparable. En menos de tres semanas, Google reveló un total de cuatro vulnerabilidades de día cero que afectan a Windows, dos de ellas solo días antes de que Microsoft estuviera listo para lanzar un parche. Microsoft no se mostró divertido y, a juzgar por la reacción de Google, es probable que se presenten más casos de este tipo..
¿Es esta la forma en que Google enseña a su competencia a ser más eficiente? ¿Y qué pasa con los usuarios? ¿Es la estricta adhesión de Google a plazos arbitrarios en nuestro mejor interés??
¿Por qué Google está reportando vulnerabilidades de Windows??
Project Zero, un equipo de analistas de seguridad de Google, ha estado investigando exploits de día cero. ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] ¿Qué es una vulnerabilidad de día cero? [MakeUseOf explica] Leer más desde 2014. El proyecto se fundó después de que un grupo de investigación de medio tiempo identificó varios errores de software, incluida la vulnerabilidad crítica Heartbleed Heartbleed: ¿Qué puede hacer para mantenerse seguro? Heartbleed - ¿Qué puedes hacer para mantenerte seguro? Lee mas .
En su anuncio del Proyecto Cero, Google destacó que su principal prioridad era hacer que sus propios productos estuvieran seguros. Como Google no está operando en un vacío, su investigación se extiende a cualquier software que sus clientes estén usando.
Hasta ahora, el equipo ha identificado más de 200 errores en varios productos, incluidos Adobe Reader, Flash, OS X, Linux y Windows. Cada vulnerabilidad se reporta solo al proveedor de software y recibe un período de gracia de 90 días, luego del cual se hace público a través del foro de investigación de seguridad de Google..
Este error está sujeto a una fecha límite de divulgación de 90 días. Si transcurren 90 días sin un parche ampliamente disponible, entonces el informe del error se hará visible automáticamente al público.
Eso es lo que le pasó a Microsoft. Cuatro veces. La primera vulnerabilidad de Windows (número 118) se identificó el 30 de septiembre de 2014 y se publicó posteriormente el 29 de diciembre de 2014. El 11 de enero, solo unos días antes de que Microsoft estuviera listo para lanzar una solución a través de Patch Tuesday Windows Update: Todo lo que necesita Información sobre Windows Update: todo lo que necesita saber ¿Windows Update está habilitado en su PC? Windows Update lo protege de las vulnerabilidades de seguridad al mantener actualizados Windows, Internet Explorer y Microsoft Office con los últimos parches de seguridad y correcciones de errores. Leer más, la segunda vulnerabilidad (número 123) se hizo pública y se inició un debate sobre si Google no podría haber esperado. Solo unos días después, dos vulnerabilidades más (problema # 128 y problema # 138) aparecieron en la base de datos pública, aumentando la situación aún más.
Lo que sucedió detrás de las escenas?
El primer problema (# 118) fue una vulnerabilidad crítica de escalada de privilegios, que se demostró que afecta a Windows 8.1. Según The Hacker News, “podría permitir a un pirata informático modificar los contenidos o incluso hacerse cargo de las computadoras de las víctimas por completo, dejando a millones de usuarios vulnerables“. Google no reveló ninguna comunicación con Microsoft con respecto a este problema.
Para el segundo problema (# 123), Microsoft solicitó una extensión, y cuando Google lo negó, hicieron esfuerzos para lanzar el parche un mes antes. Estos fueron los comentarios de James Forshaw:
Microsoft confirmó que están en el objetivo de proporcionar soluciones a estos problemas en febrero de 2015. Preguntaron si esto causaría un problema con el plazo de 90 días. Se informó a Microsoft que la fecha límite de 90 días es fija para todos los proveedores y clases de errores, por lo que no se puede extender. Además, se les informó que el plazo de 90 días para este problema vence el 11 de enero de 2015..
Microsoft lanzó parches para ambos problemas con la actualización del martes en enero.
Con el tercer problema (# 128), Microsoft tuvo que retrasar un parche debido a problemas de compatibilidad.
Microsoft nos informó que se planificó una solución para los parches de enero, pero que se debe retirar debido a problemas de compatibilidad. Por lo tanto, la corrección se espera ahora en los parches de febrero..
A pesar de que Microsoft informó a Google que estaban trabajando en el problema, pero que tenían dificultades, Google siguió adelante y publicó la vulnerabilidad. Sin negociación, sin piedad..
Para el último número (# 138), Microsoft decidió no solucionarlo. James Forshaw agregó el siguiente comentario:
Microsoft ha concluido que el problema no cumple con la barra de un boletín de seguridad. Afirman que requeriría demasiado control de parte del atacante y no consideran la configuración de la directiva de grupo como una característica de seguridad..
Es el comportamiento de Google aceptable?
Microsoft no lo cree. En una respuesta concienzuda, Chris Betz, Director Senior del Centro de Investigación de Seguridad de Microsoft, solicita una divulgación de vulnerabilidad mejor coordinada. Enfatiza que Microsoft cree en la divulgación de vulnerabilidad coordinada (CVD, por sus siglas en inglés), una práctica en la que investigadores y compañías colaboran en vulnerabilidades para minimizar el riesgo para los clientes..
Con respecto a los eventos recientes, Betz confirma que Microsoft le pidió específicamente a Google que trabajara con ellos y que ocultara los detalles hasta que se distribuyeran las correcciones durante el martes de parche. Google ignoró la solicitud.
Aunque el seguimiento se mantiene en el plazo anunciado por Google para la divulgación, la decisión se siente menos como principios y más como un “gotcha”, Con los clientes los que puedan sufrir como resultado..
Según Betz, las vulnerabilidades divulgadas públicamente experimentan ataques orquestados por delincuentes cibernéticos, un acto que casi no se ve cuando los problemas se divulgan de forma privada a través de CVD y se remendan antes de que la información se haga pública. Además, Betz dice que no todas las vulnerabilidades se hacen iguales, lo que significa que la línea de tiempo dentro de la cual se resuelve un problema depende de su complejidad.
Su llamado a la colaboración es alto y claro y sus argumentos son sólidos. El reflejo de que ningún software es perfecto porque está hecho por humanos simples que operan con sistemas complejos, es atractivo. Betz golpea el clavo en la cabeza cuando dice:
Lo que es correcto para Google no siempre es correcto para los clientes. Instamos a Google a que la protección de los clientes sea nuestro principal objetivo colectivo..
El otro punto de vista es que Google tiene una política establecida y no quiere dar paso a excepciones. Este no es el tipo de inflexibilidad que se esperaría de una empresa ultra moderna como Google. Además, la publicación no solo de la vulnerabilidad, sino también del código de vulnerabilidad es irresponsable, dado que millones de usuarios podrían verse afectados por un ataque concertado..
Si esto vuelve a suceder, ¿qué puede hacer para proteger su sistema??
Ningún software estará a salvo de ataques de día cero. Puede aumentar su propia seguridad adoptando una higiene de seguridad de sentido común. Esto es lo que recomienda Microsoft:
Animamos a los clientes a mantener su software antivirus El mejor software de Windows El mejor software de Windows Windows está nadando en un mar de aplicaciones gratuitas. ¿En cuáles puedes confiar y cuáles son las mejores? Si no está seguro o necesita resolver una tarea específica, consulte esta lista. Más información al día, instale todas las actualizaciones de seguridad disponibles 3 razones por las que debería estar ejecutando los últimos parches y actualizaciones de seguridad de Windows 3 motivos por los que debería estar ejecutando los últimos parches y actualizaciones de seguridad de Windows El código que conforma el sistema operativo Windows contiene seguridad agujeros de bucle, errores, incompatibilidades o elementos de software obsoletos. En resumen, Windows no es perfecto, todos lo sabemos. Los parches de seguridad y las actualizaciones corrigen las vulnerabilidades ... Lea más y habilite el firewall El mejor software de Windows El mejor software de Windows Windows está nadando en un mar de aplicaciones gratuitas. ¿En cuáles puedes confiar y cuáles son las mejores? Si no está seguro o necesita resolver una tarea específica, consulte esta lista. Leer más en su computadora.
Nuestro veredicto: Google debería haber cooperado con Microsoft
Google se atuvo a su fecha límite arbitraria, en lugar de ser flexible y actuar en el mejor interés de sus usuarios. Podrían haber extendido el período de gracia para revelar las vulnerabilidades, especialmente después de que Microsoft comunicó que los parches estaban (casi) listos. Si el noble objetivo de Google es hacer que Internet sea más seguro, deben estar listos para cooperar con otras compañías..
Mientras tanto, Microsoft posiblemente podría haber lanzado más recursos para desarrollar parches. 90 días es considerado como un marco de tiempo suficiente por algunos. Debido a la presión de Google, de hecho, empujaron un parche un mes antes de lo estimado inicialmente. Parece que casi no priorizaron el problema al principio.
En general, si el proveedor de software señala que está trabajando en el problema, los investigadores como el equipo del Proyecto Cero de Google deberían cooperar y extender los períodos de gracia. Cuidado para los usuarios de Windows Vulnerabilidad para los parches: un grave problema de seguridad Los usuarios de Windows deben cuidarse: un grave problema de seguridad Leer más secreto parece ser más seguro que atraer la atención de los piratas informáticos. ¿No debería la seguridad del cliente ser la principal prioridad de cualquier empresa??
¿Qué piensas? ¿Qué hubiera sido una mejor solución o Google hizo lo correcto después de todo??
Créditos de las imágenes: Wizard Via Shutterstock, hackeado por wk1003mike a través de Shutterstock, Red Rope por Mega Pixel a través de Shutterstock
Explore más acerca de: Google, Microsoft, Seguridad en línea.