Warum ist es wichtig: Project Zero ist ein schreckliches Sicherheitsforschungsteam, das für drei Dinge bekannt ist: das Finden der schlimmsten Sicherheitslücken, das tägliche Finden neuer Sicherheitslücken und die Möglichkeit für Unternehmen, Verbesserungen zu finden, bevor die Öffentlichkeit dies vollständig bekannt gibt. Gleichermaßen bewundert und gehasst von der Mehrheit der Sicherheitsgemeinschaft, haben sie kürzlich das Schweigen gebrochen, um ihre Politik gegen Einsichten zu verteidigen und zu erklären, was sie wirklich tun.
Alle großen Technologieunternehmen, von Microsoft bis Apple Intel erhielt von Project Zero einen Fehlerbericht mit der folgenden Aussage: „Dieser Fehler unterliegt einer 90-tägigen Offenlegungsfrist. Nachdem 90 Tage vergangen sind oder der Patch allgemein verfügbar ist (je nachdem, welcher Zeitpunkt früher liegt), wird der Fehlerbericht öffentlich sichtbar. „Von diesem Moment an können Unternehmen wählen, ob sie Fehler mithilfe von Project Zero allein oder gar nicht korrigieren möchten. In diesem Fall wird der Fehlerbericht sofort veröffentlicht.
Jeder Fehlerbericht enthält nahezu alles, was Project Zero über Schwachstellen sammeln kann, von der ersten Entdeckung bis zum Proof-of-Concept-Code, der ihn ausnutzt, um auf ein Problem hinzuweisen.
Zum 30. Juli hat Project Zero einen Fehlerbericht mit 1.585 reparierten und 66 nicht reparierten Sicherheitslücken veröffentlicht. 1.411 von 1.585 wurden innerhalb von 90 Tagen und weitere 174 innerhalb der Nachfrist 14 an dem Tag ausgestellt, an dem Project Zero dies zuließ, als sie sicher waren, dass das Unternehmen kurz vor dem Abschluss stand. Nur zwei, Spectre & Meltdown und task_t, die beide darüber hinausgehen, ermöglichen dem Programm den Zugriff auf die höchsten Geheimnisse des Betriebssystems, wenn sie ausgenutzt werden.
Project Zero räumt ein, dass das Posten von Fehlerberichten vor einem Fix etwas gefährlich ist, aber das ist der Punkt: Unternehmen haben Angst, ihn zu beheben, was sie nicht tun, wenn sie erwarten, dass Fehlerberichte verborgen bleiben.
„Wenn Sie davon ausgehen, dass nur Anbieter und Reporter die Sicherheitslücken kennen, kann das Problem ohne Dringlichkeit gelöst werden. Es gibt jedoch zunehmend Hinweise darauf, dass ein Angreifer viele der gleichen Sicherheitslücken entdeckt (oder erhalten) hat, die von defensiven Sicherheitsforschern gemeldet wurden. Wir können nicht sicher wissen, wann der Angreifer den von uns gemeldeten Sicherheitsfehler entdeckt hat, aber wir wissen, dass es routinemäßig vorkommt, unsere Offenlegungsrichtlinie einzuschließen.
Grundsätzlich sind Offenlegungszeitpläne eine Möglichkeit für Sicherheitsforscher, Erwartungen zu setzen und Anbietern und Open-Source-Projekten klare Anreize zu bieten, ihre Bemühungen zur Verbesserung der Sicherheitsanfälligkeit zu verstärken. Wir versuchen, unseren Offenlegungszeitrahmen so zu kalibrieren, dass er ehrgeizig, fair und realistisch ist. ""
Project Zero hat dafür eine klare Beweislinie. Eine Studie analysierte mehr als 4.300 Schwachstellen und ergab, dass 15% bis 20% der Schwachstellen mindestens zweimal im Jahr unabhängig voneinander gefunden werden. Für Android wurden beispielsweise 14% der Sicherheitslücken in 60 Tagen und 20% in 90 Tagen wiederhergestellt Chrome Es gibt 13% der Wiederentdeckung in 60 Tagen. Dies zeigt, dass ein Sicherheitsforscher zwar der Kurve voraus sein könnte, aber eine vernünftige Chance besteht, dass der Angreifer alles, was er findet, bald darauf findet.
Aber ist es nicht gefährlich, vor dem Patchen einen Fehlerbericht zu veröffentlichen?
„Die Antwort ist zunächst widersprüchlich: Das Aufdecken einer kleinen Anzahl nicht korrigierter Sicherheitslücken erhöht oder verringert die Fähigkeit des Angreifers nicht wesentlich. Unsere "Deadline" -Angaben wirken sich neutral und kurzfristig auf die Fähigkeit des Angreifers aus.
Wir wissen sicherlich, dass es Gruppen und Einzelpersonen gibt, die darauf warten, öffentliche Angriffe zu verwenden, um Benutzern Schaden zuzufügen (wie das Ausnutzen des Autorenkits), aber wir wissen auch, dass die Kosten für die Umwandlung eines typischen Project Zero-Schwachstellenberichts in einen realen Angriff nicht anfallen praktisch trivial. "
Project Zero veröffentlicht keine Schritt-für-Schritt-Anleitung, sondern das, was es als "nur Teil der Exploitation-Kette" beschreibt. Theoretisch benötigen Angreifer erhebliche Ressourcen und Fähigkeiten, um diese Sicherheitsanfälligkeit in zuverlässige Exploits umzuwandeln, und Project Zero ist der Ansicht, dass Angreifer, die dies tun können, dies auch dann tun können, wenn sie keine Fehler aufdecken. Vielleicht ist der Angreifer zu faul, um alleine anzufangen, weil laut einer Studie aus dem Jahr 2017 die durchschnittliche Zeit von der Sicherheitslücke bis zum "voll funktionsfähigen Exploit" 22 Tage beträgt.
Das ist nur ein Problem, es ist ein großes Problem, aber die meisten Unternehmen drängen innerhalb von 90 Tagen. Die zweite Kritik, die viele Forscher haben, ist die Politik von Project Zero, Fehlerberichte nach der Veröffentlichung von Patches zu veröffentlichen, hauptsächlich weil die Patches fehlerhaft sind und dieselbe Sicherheitsanfälligkeit an anderen Orten auftreten kann. Project Zero ist der Ansicht, dass dies für Verteidiger von Vorteil ist, da sie die Sicherheitsanfälligkeit besser verstehen können und für Angreifer, die die Exploits des Patches rückentwickeln können, von geringer Bedeutung sind.
"Angreifer haben einen klaren Anreiz, Zeit mit der Analyse von Sicherheitspatches zu verbringen, um sich über Schwachstellen zu informieren (sowohl durch Überprüfung des Quellcodes als auch durch Reverse Binary Engineering), und werden schnell vollständige Details ermitteln, selbst wenn Anbieter und Forscher dies versuchen technische Daten aufbewahren “.
Da die Nützlichkeit von Schwachstelleninformationen für Verteidiger und Angreifer sehr unterschiedlich ist, erwarten wir nicht, dass Verteidiger die gleiche Analysetiefe wie Angreifer durchführen können.
Die von uns offengelegten Informationen können im Allgemeinen von Verteidigern verwendet werden, um die Verteidigung sofort zu verbessern, die Genauigkeit von Fehlerkorrekturen zu testen und jederzeit fundierte Entscheidungen über die Einführung von Patches oder die kurzfristige Schadensbegrenzung zu treffen. ""
Im Krieg müssen manchmal Risiken eingegangen werden, um einen Gesamterfolg zu erzielen. Und machen Sie keinen Fehler, der Kampf zwischen Sicherheitsforschern und Hackern ist real, mit schwerwiegenden Auswirkungen, reales Leben. Bis jetzt hat Project Zero ohne wesentliche Konsequenzen seiner aggressiven Politik erfolgreich gearbeitet, und sie werden nicht zögern, auf die gleiche Weise vorzugehen, es sei denn, dies verursacht drastische Probleme. Hoffentlich passiert das nicht.
