Google Project Zero diz que 95,8% de todos os bugs são corrigidos antes de vencer o prazo

Google Project Zero diz que 95,8% de todos os bugs são corrigidos antes de vencer o prazo
Google docs

A equipe do Google Project Zero disse que cerca de 95,8% dos bugs de segurança que eles encontram em outros softwares e que reportam aos seus respectivos fornecedores são consertados antes que o prazo de 90 dias. A partir destes 3 meses, a falha é tornada pública. Portanto, o Google Project Zero diz que 95,8% de todos os bugs são corrigidos antes de vencer o prazo.

Como a equipe do Google Project Zero garante que 95,8% de todos os bugs são corrigidos antes de vencer o prazo?

A equipe de segurança do Google avaliou toda a sua história. A data vai de 17 de julho de 2014, quando o Projeto Zero foi criado; até 30 de julho, esta semana. Então, os pesquisadores encontraram e reportaram um total de 1.585 vulnerabilidades uma ampla gama de fornecedores de hardware e software.

Destes, o Google disse que os fornecedores não entregaram um patch antes do prazo final expirar apenas para 66 relatórios. Como resultado, seus pesquisadores foram forçados a tornar públicos os detalhes técnicos da vulnerabilidade antes que uma correção fosse disponibilizada aos usuários.

Google ajustou prazo de divulgação em 2015

Nos primeiros meses da história do Projeto Zero, este prazo padrão foi de 90 dias. No entanto, a partir de 13 de fevereiro de 2015, o Google adicionou um período de carência adicional de 14 dias que poderia estender o prazo em determinadas condições.

O Google disse que a introdução desse período de tolerância melhorou seu trabalho de relatar bugs. As empresas tiveram mais tempo para distribuir patches. Além disso, o período de 14 dias também foi responsável por atualizações que estavam teoricamente prontas e disponíveis, mas os fornecedores as programaram em lançamentos mensais rígidos, que inadvertidamente quebraram o prazo de 90 dias – embora os bugs fossem tecnicamente fixo.

Se limitarmos a análise ao período de tempo em que as extensões de cortesia eram uma opção (de 13 de fevereiro de 2015 a 30 de julho de 2019), temos 1434 problemas corrigidos”, disse a equipe do Google Project Zero.

“Destas, 1224 foram corrigidas dentro de 90 dias, e mais 174 foram corrigidos dentro do período de carência de 14 dias. Isso deixa 36 vulnerabilidades que foram divulgadas sem um patch estar disponível para os usuários, ou em outras palavras 97,5% dos nossos problemas são fixados no prazo.

Para o Google, defensores são os maiores beneficiados

YouTube remove conteúdo sobre hacker ético

O programa Project Zero, que recentemente comemorou seu quinto aniversário, foi organizado como uma forma de auditar hardware e software usados ??internamente no Google e depois reportar bugs aos fornecedores.

Quaisquer bugs encontrados pelos pesquisadores de segurança do Google estão documentados no rastreador de bugs do projeto e, em seguida, são relatados aos fornecedores.

Informações sobre esses relatórios de bugs, às vezes incluindo detalhes altamente técnicos e código de prova de conceito para reproduzir os bugs, são tornadas públicas depois que um fornecedor libera uma correção, ou quando o prazo é finalizado sem um patch.

Nos últimos anos, os pesquisadores do Project Zero foram criticados por lançar essas descrições de bugs altamente detalhados e código de exploração de prova de conceito (PoC), mesmo se o bug fosse corrigido. Muitos especialistas em segurança argumentam que esses relatórios ajudaram os invasores a criar explorações para lançar ataques aos usuários.

Mas em uma página de FAQs publicada esta semana, a equipe do Projeto Zero defendeu suas ações. Então, eles alegam que os relatórios de erros ajudam os defensores em vez dos invasores.

Os invasores têm um incentivo claro para gastar tempo analisando os patches de segurança para aprender sobre vulnerabilidades (através de revisão de código-fonte e engenharia reversa binária), e eles rapidamente estabelecerão os detalhes completos mesmo que o fornecedor e o pesquisador tentem reter dados técnicos “, Disseram os pesquisadores do Project Zero.

Como a utilidade das informações sobre vulnerabilidades é muito diferente para defensores e atacantes, não esperamos que os defensores possam se dar ao luxo de fazer a mesma profundidade de análise que os invasores”, acrescentaram. “O feedback que recebemos dos defensores é que eles querem mais informações sobre os riscos que eles e seus usuários enfrentam.

Portanto, no ponto de vista do Google, liberar esses detalhes não ajuda os invasores, já que muitos deles investigariam logs de mudanças e binários de aplicativos de qualquer maneira, mas definitivamente ajudam empresas e administradores de sistemas que desejam implantar mitigações ou regras de detecção.

“É um equilíbrio complicado, mas, em essência, queremos até mesmo o campo de jogo”, disseram os pesquisadores do Project Zero.

O GOOGLE RECOMENDA O USO DE PRAZOS DE DIVULGAÇÃO

Além disso, a equipe do Project Zero também aproveitou a ocasião para recomendar que outros pesquisadores de segurança comecem a usar um prazo fixo de divulgação para relatórios de bugs.

“Acreditamos que as práticas do setor melhorarão à medida que mais pesquisadores começarem a incluir as expectativas de cronograma em seus relatórios de erros”, disse o Projeto Zero.

“Existem muitas boas razões pelas quais um pesquisador de segurança pode optar por não adotar uma política de prazo de divulgação em seus relatórios de bug, mas no geral vimos muitos resultados positivos da adoção de prazos de divulgação e certamente podemos recomendá-lo a outros pesquisadores de segurança.”

Outros detalhes e principais pontos de discussão da página do FAQ do Projeto Zero, recentemente publicada, estão abaixo:

  • Quando os pesquisadores do Projeto Zero reportam um dia zero explorado ativamente, o prazo final do fornecedor muda de 90 para sete dias.
  • O Project Zero quebrou seu prazo de divulgação de 90 dias em duas ocasiões – para o problema do iOS do task_t (145 dias) e para as falhas do Meltdown e do Spectre (216 dias).
  • Os PoCs do Project Zero não incluem cadeias de exploração completas.
  • A divulgação dos detalhes do bug não ajuda os invasores no curto prazo.
  • Os defensores são os que mais ganham relatórios de bugs.
  • O Google espera que seus relatórios de bugs ajudem a melhorar a segurança geral, como os fornecedores que investem na redução da superfície de ataque, exploram mitigações, melhoram o sandbox e corrigem as classes de bugs.
  • O Project Zero ajuda ativamente os fornecedores com correções, se necessário.
  • O Project Zero também encontra e reporta bugs nos produtos do Google, que são relatados por meio da recompensa do bug público do Google.
  • Os funcionários do Projeto Zero do Google também têm acesso aos relatórios de bugs do Project Zero (de acordo com o FAQ: “um pequeno número de engenheiros de segurança trabalhando dentro da equipe em ‘20% de projetos’ tem acesso aos relatórios de vulnerabilidade do Projeto Zero”).

Fonte: ZDNet