I likhet med mange andre IT-selskaper, oppdager Google jevnlig sårbarheter ikke bare i sine egne løsninger og produkter, men også i andres.
Akkurat som mange andre, følger Google en policy om ansvarsfull avsløring av detaljene om sårbarhetene. Det handler om at leverandøren av den sårbare programvaren skal få tid til å fjerne sårbarhetene før detaljene om disse gjøres offentlig kjent.
Google offentliggjorde for snart tre år siden at selskapet mener at 60 dager må være tilstrekkelig tid for en leverandør til enten å levere en sikkerhetsfiks, eventuelt til å komme med andre tiltak og informasjon om risikoene, dersom en sikkerhetsfiks ikke er mulig.
Men Google mener at det finnes tilfeller hvor en frist på 60 dag er altfor lang. Det er slike tilfeller hvor selskapet (eller andre) oppdager en nulldagssårbarhet som allerede utnyttes. I et blogginnlegg skriver sikkerhetsingeniørene Chris Evans og Drew Hintz at selskapet har oppdaget flere titalls slike angrep siden selskapet ble etablert.
Tavis Ormandy
En mulig, men ganske lite sannsynlig årsak til at dette trekkes fram nå, er en omdiskutert oppdagelse som Google-ingeniøren Tavis Ormandy privat offentliggjorde i midten av mai. Det dreier seg om en sårbarhet i en del av Windows NT-kjernen (win32k.sys) som ifølge Ormandy må være over 20 år gammel. Komponenten er bekreftet sårbar også i Windows 8. Det som er mest oppsiktsvekkende ved Ormandys kunngjøring, er likevel at han advarer andre mot den behandlingen sårbarhetsforskere får av Microsoft.
– Vær oppmerksom på at Microsoft behandler sårbarhetsforskere med stor fiendtlighet og er ofte veldig vanskelige å jobbe med. Jeg vil råder til å bare snakke med dem under et pseudonym, å bruke tor og anonym e-post for å beskytte deg selv, skriver han. Men fiendtligheten Ormandy opplever kan skyldes at hans forhold til Microsoft ble ødelagt for flere år siden. Da offentliggjorde han et konseptbevis for angrep mot Windows XP bare fem dager etter å varslet Microsoft om sårbarheten.
I blogginnlegget som Google nå har utgitt, skriver Evans og Hintz at selskapet nylig har oppdaget at angripere aktivt utnytter et åpent og tidligere ukjent sikkerhetshull i programvare som tilhører et annet selskap. Men det nevnes ikke hvilket selskap det er snakk om. Det er fra før heller ikke kjent at sårbarheten Ormandy har funnet, faktisk blir utnyttet aktivt. Dessuten sluttet den sårbarheten faktisk å være ukjent for flere uker siden. Så trolig dreier det seg derfor om en annen sårbarhet.
Aktivt og rettet
– Ofte finner vi ut at nulldagssårbarheter blir brukt for å nå et begrenset utvalg av mennesker. I mange resulterer slik retting i at angrepet er mer alvorlig enn et bredere angrep, og i at det er mer presserende få løst problemet raskt. Politiske aktivister er hyppige mål, og konsekvensene ved å bli kompromittert kan ha virkelige sikkerhetsimplikasjoner i deler av verden, skriver Google.
I slik tilfeller mener selskapet at 60 dagers hemmelighold av sårbarhetsinformasjon er altfor lenge.
7 dager
– Basert på vår erfaring, mener vi at raskere handling – innen 7 dager – er hensiktsmessig for kritiske sårbarheter under aktiv utnyttelse. Årsaken til dette er at for hver dag en aktivt utnyttet sårbarhet forblir upatchet og skjult for offentligheten, desto flere datamaskiner vil bli kompromittert.
I blogginnlegget innrømmes det at tidsfristen på sju dager er aggressiv, at den kan være for kort noen leverandører til at de skal greie å oppdatere produktene sine.
– Men det bør være tid nok til publisere råd om mulige botemiddel, slik som midlertidig deaktivering av tjenester, begrensing av tilgang eller å kontakte leverandøren for å få mer informasjon, skriver Google.
Dette betyr at selskapet vil stille seg bak sikkerhetsspesialister som gjør detaljer om sårbarheter tilgjengelige for offentligheten etter sju dager, dersom leverandøren selv ikke har tatt hånd om saken. Dette for at brukerne skal få mulighet til å beskytte seg mot pågående angrep.
Innvendingen mot dette er at en slik avsløring vil gjøre det enklere for andre å utnytte den samme sårbarheten. Man må derfor regne med at Googles nye policy vil bli kritisert, ikke minst av leverandører som ikke greier å levere sikkerhetsfikser i løpet av en uke.
Les også:
- [17.07.2013] Google-ansatt fant Microsoft-hull
- [05.07.2013] Lapper hull i Windows-kjernen
- [16.06.2010] Windows XP-sårbarhet er under angrep