الأخبار التكنولوجية والاستعراضات والنصائح!

تم إصلاح أكثر من 95٪ من نقاط الضعف البالغ عددها 1600 والتي اكتشفها مشروع Google Zero في غضون 90 يومًا

لماذا يهم: Project Zero هو فريق أبحاث الأمان المرعب الذي يشتهر بثلاثة أشياء: اكتشاف أسوأ نقاط الضعف هناك ، وإيجاد ثغرة جديدة كل يوم ، وإعطاء الشركات 90 يومًا فقط لإيجاد حل قبل الكشف العلني الكامل. أعجبهم كثير من مجتمع الأمن وأكرهوه ، فقد كسروا صمتهم مؤخرًا للدفاع عن سياساتهم المضادة للحدس وشرح ما يفعلونه حقًا.

كل شركة تكنولوجيا كبرى ، من Microsoft إلى Apple تلقى Intel تقريرًا عن الأخطاء من Project Zero يحتوي على العبارة التالية: "هذا الخطأ يخضع لمهلة 90 يومًا للإفصاح. بعد مرور 90 يومًا أو إتاحة التصحيح على نطاق واسع (أيهما كان سابقًا) ، سيصبح تقرير الأخطاء مرئيًا للجمهور. "ومنذ ذلك الحين ، يمكن للشركة اختيار إصلاح الخطأ بمساعدة Project Zero ، بمفردها ، أو ليس على الإطلاق – في هذه الحالة يتم نشر تقرير الأخطاء على الفور.

يحتوي كل تقرير خلل على كل شيء تقريبًا يمكن لـ Project Zero تجميعه حول مشكلة عدم الحصانة ، بدءًا من الطريقة التي تم العثور عليها بها أولاً إلى رمز إثبات صحة الفكرة الذي يستغلها لإظهار المشكلة.

اعتبارًا من 30 يوليو ، نشر Project Zero تقارير الأخطاء البالغ عددها 1،585 نقطة ضعف ثابتة و 66 نقطة ضعف غير مثبتة. تم نشر 1،411 من 1585 في غضون 90 يومًا ، وتم إصدار 174 إضافية في غضون فترة سماح مدتها 14 يومًا ، يسمح تصاريح Project Zero عندما يعتقدون أن الشركة على وشك الانتهاء من الإصلاح. تجاوز اثنان فقط ذلك ، Specter & Meltdown ، و task_t ، وكلاهما ، عند استغلالهما ، مكّن البرامج من الوصول إلى أعلى أسرار نظام التشغيل.

يعترف Project Zero بأن إصدار تقرير الأخطاء قبل إصلاحه أمر ضار إلى حد ما ، لكن هذه هي النقطة: إنه يخيف الشركات في إصلاحه بالفعل ، والذي يقولون إنهم لن يفعلوه إذا توقعوا أن يظل تقرير الأخطاء مخفيًا.

"إذا افترضت أن البائع والمراسل هم وحدهم الذين لديهم معرفة بالثغرة الأمنية ، يمكن إصلاح المشكلة دون إلحاح. ومع ذلك ، لدينا أدلة متزايدة على أن المهاجمين يجدون (أو يكتسبون) العديد من مواطن الضعف نفسها التي يبلغ عنها باحثو الأمن الدفاعي. لا يمكننا أن نعرف على وجه اليقين متى تم العثور على خطأ أمني أبلغنا عنه سابقًا من قبل المهاجمين ، لكننا نعلم أنه يحدث بانتظام بما يكفي لإدخال سياسة الإفصاح لدينا.

تعد المواعيد النهائية للإفصاح أساسًا طريقة للباحثين في مجال الأمن لتحديد التوقعات وتوفير حافز واضح للبائعين ومشاريع مفتوحة المصدر لتحسين جهودهم في معالجة الثغرات الأمنية. حاولنا معايرة الأطر الزمنية للإفصاح لدينا لتكون طموحة وعادلة ويمكن تحقيقها بشكل واقعي. "

يحتوي Project Zero على دليل واضح على ذلك. حللت إحدى الدراسات أكثر من 4300 نقطة ضعف ووجدت أن 15 ٪ إلى 20 ٪ من نقاط الضعف يتم اكتشافها بشكل مستقل مرتين على الأقل في السنة. بالنسبة إلى Android ، على سبيل المثال ، يتم اكتشاف 14٪ من الثغرات الأمنية في غضون 60 يومًا و 20٪ خلال 90 ، أما بالنسبة إلى Chrome ، فيتم اكتشاف 13٪ في غضون 60 يومًا. يشير هذا إلى أنه على الرغم من أن باحثًا أمنيًا قد يكون متقدمًا على المنحنى ، إلا أن هناك فرصة معقولة أن يكتشف المهاجمون كل ما يكتشفونه بعد فترة وجيزة.

لكن أليس من الخطر نشر تقرير عن الأخطاء قبل التصحيح؟

"تعتبر الإجابة غير بديهية في البداية: الكشف عن عدد صغير من الثغرات الأمنية غير المثبتة لا يؤدي إلى زيادة أو تقليل قدرة المهاجمين. الإفصاحات "المستندة إلى الموعد النهائي" لدينا لها تأثير محايد على المدى القصير على قدرة المهاجمين.

من المؤكد أننا نعلم أن هناك مجموعات وأفراد ينتظرون استخدام الهجمات العامة لإلحاق الأذى بالمستخدمين (مثل مؤلفي أدوات الاستغلال) ، لكننا نعلم أيضًا أن تكلفة تحويل تقرير الضعف النموذجي لـ Project Zero إلى هجوم فعلي حقيقي غير -trivial ".

لا يقوم Project Zero بنشر دليل اختراق دليل خطوة بخطوة ، بل ينشر ما يصفونه بأنه "جزء واحد فقط من سلسلة استغلال". من الناحية النظرية ، يحتاج المهاجم إلى موارد ومهارات كبيرة لتحويل نقاط الضعف هذه إلى استغلال موثوق ، ويؤكد Project Zero أن المهاجم القادر على ذلك كان يمكن أن يفعل ذلك حتى لو لم يكتشف الخطأ. ربما يكون المهاجمون كسالى للغاية بحيث يتعذر عليهم البدء من تلقاء أنفسهم لأنه ، وفقًا لما توصلت إليه دراسة أجريت عام 2017 ، فإن متوسط ​​الوقت من التعرض إلى "الاستغلال الكامل للعمل" هو 22 يومًا.

هذه مشكلة واحدة فقط ، إنها مشكلة كبيرة ، لكن معظم الشركات تضغط في غضون 90 يومًا على أي حال. الانتقاد الثاني لدى العديد من الباحثين هو سياسة Project Zero المتمثلة في نشر تقرير الأخطاء بعد إصدار تصحيح ، وذلك أساسًا لأن التصحيحات تميل إلى أن تكون غير كاملة ، ولأن الضعف نفسه معرض للظهور في مواقع أخرى. يعتقد Project Zero أن هذا مفيد للمدافعين ، مما يمكّنهم من فهم نقاط الضعف بشكل أفضل ، ومن دون تأثير يذكر للمهاجمين الذين سيكونون قادرين على عكس هندسة الاستغلال من التصحيح على أي حال.

"لدى المهاجمين حافز واضح لقضاء بعض الوقت في تحليل تصحيحات الأمان للتعرف على نقاط الضعف (سواء من خلال مراجعة التعليمات البرمجية المصدر والهندسة العكسية الثنائية) ، وسيقومون بتأسيس التفاصيل الكاملة بسرعة حتى إذا حاول البائع والباحث حجب البيانات التقنية .

نظرًا لأن فائدة المعلومات حول نقاط الضعف تختلف اختلافًا كبيرًا بين المدافعين والمهاجمين ، فإننا لا نتوقع أن يتمكن المدافعون عادةً من القيام بنفس عمق التحليل مثل المهاجمين.

عادة ما يستخدم المدافعون المعلومات التي نصدرها لتحسين الدفاعات على الفور ، واختبار دقة إصلاحات الأخطاء ، ويمكن استخدامها دائمًا لاتخاذ قرارات مستنيرة بشأن تبني التصحيح أو عمليات التخفيف على المدى القصير. "

في بعض الأحيان ، في الحرب ، يجب المجازفة لتحقيق النجاح الشامل. ولا يخطئ أحد في أن المعركة بين باحثي الأمن والمتسللين حقيقية ، مع تداعيات خطيرة على الحياة الواقعية. حتى الآن ، نجح Project Zero في العمل بنجاح دون أي عواقب مهمة لسياستهم العدوانية ، وسوف يستمرون بلا شك بطريقة مماثلة ما لم يتسبب ذلك في مشكلة خطيرة. دعونا نأمل أن لا يحدث هذا.