Νωρίτερα αυτή την εβδομάδα, δημοσιεύσαμε για την αποκάλυψη ενός zero-day από την Google στο λειτουργικό της Microsoft που επέτρεπε την τοπική κλιμάκωση προνομίων στα Windows 10. Ευπάθεια zero-day, σημαίνει ότι το κενό στην ασφάλεια δεν έχει επιλυθεί και έτσι θεωρητικά ένας εισβολέας θα μπορούσε να επωφεληθεί κάθε δημόσια αποκάλυψη, χρησιμοποιώντας τις ευαίσθητες πληροφορίες για δικό του όφελος.
Φυσικά ακολούθησαν αρκετές συζητήσεις όπως με κάθε αποκάλυψη zero-day. Η Google κατηγορήθηκε για την δημοσίευση της ευπάθειας από την Microsoft, ενώ από την άλλη πλευρά, η Adobe αξιοποιώντας την ιδιοτική γνωστοποίηση που προηγήθηκε της δημόσιας αποκάλυψης κατάφερε να επιδιορθώσει την ευπάθεια στο Flash (CVE-2016 – 7855) περίπου πέντε μέρες αργότερα. Η συγκεκριμένη ενημερωμένη έκδοση ασφαλείας του Flash είναι ήδη διαθέσιμη στο κοινό.
Η Google βέβαια έχει δημοσιεύσει προ πολλού την πολιτική αποκάλυψης ευπαθειών που αναφέρει ότι θα ενημερώνει ιδιωτικά τον προγραμματιστή ή την εταιρεία, παρέχοντας επτά ημέρες για μια επιδιόρθωση, αλλιώς θα ακολουθεί δημόσια ανακοίνωση.
Το όριο των επτά ημερών, είναι υπέρ-αρκετό ειδικά για τις κρίσιμες ευπάθειες που βρίσκονται υπό ενεργή εκμετάλλευση. Ο λόγος;
Κάθε μέρα που περνάει ευνοεί τους κακόβουλους χρήστες καθώς η ευπάθεια παραμένει unpatched και πάρα πολλοί υπολογιστές βρίσκονται σε κίνδυνο.
Η Microsoft δεν έχει κυκλοφορήσει ακόμα κάποια ενημέρωση που επιδιορθώνει την ευπάθεια των Windows, αλλά σε μια δημοσίευση στο blog της αναφέρει ότι θα είναι διαθέσιμη στο επόμενη Tuesday Patch στις 8 Νοεμβρίου.
Εδώ να αναφέρουμε ότι δεν υπάρχει κάποια συμφωνία στον τομέα της ασφάλειας για το πότε πρέπει να γίνεται μια αποκάλυψη ευπάθειας. Πολλοί ακολουθούν τον όρο: «υπεύθυνη αποκάλυψη,” που σημαίνει ιδιωτική επικοινωνία με τον προγραμματιστή ή την εταιρεία που συμπεριλαμβάνει όλες τις λεπτομέρειες της ευπάθειας που ανακαλύφθηκε, με την πρόθεση να δόσουν χρόνο για την επιδιόρθωσή της, αποκαλύπτωντας τις λεπτομέρειες στο κοινό μόνο όταν το θέμα έχει ήδη επιδιορθωθεί.
Εφ ‘όσον ο προγραμματιστής ή η εταιρεία δεν κάνει καμία προσπάθεια και δεν υπάρχει κάποιο χρονοδιάγραμμα για τον καθορισμό μια ευπάθειας μπορεί να συνεχίσει να υπάρχει για εβδομάδες ή ακόμα και μήνες πριν επιδιορθωθεί. Η Google συνιστά 60 ημέρες, αν και υπάρχουν άλλοι που δίνουν περισσότερο χρόνο.
Όμως δεν συμφωνούν όλοι από τον κλάδο της ασφάλειας με τις αρχές της υπεύθυνης γνωστοποίησης. Αν και μπορεί να θεωρηθούν απερίσκεπτοι, ορισμένοι πιστεύουν ότι η καλύτερη λύση είναι η άμεση δημοσίευση ειδικά αν η ευπάθεια αξιοποιείται ενεργά.
Έτσι αν και η Google έδωσε χρόνο επτά ημερών τόσο στην Adobe όσο και στην Microsoft, η δεύτερη έδειξε ότι ακολουθεί τους ρυθμούς της περιμένοντας το Tuesday Patch για να κυκλοφορήσει την ενημέρωση που μπορεί να υπάρχει ήδη.
Η ιδέα πίσω από την από την άμεση γνωστοποίηση της ευπάθειας ασκεί δημόσια πίεση (άλλος θα μπορούσε να to πει εκβιασμό) και προσωπικά με βρίσκει απόλυτα σύμφωνο ειδικά αν η ευπάθεια αξιοποιείται ενεργά. Ο προγραμματιστής ή η εταιρεία λαμβάνει το μήνυμα πολύ πιο σοβαρά γιατί εκτίθεται σε πελάτες.
Προσωπικά, γνωρίζοντας ότι τίποτα δεν μπορεί να είναι απόλυτα ασφαλές, θα εκτιμήσω ιδιαίτερα ένα άμεσο patch σε ένα προϊόν που χρησιμοποιώ, παρά την αναλγησία της Microsoft που περιμένει την πρώτη Τρίτη κάθε μήνα για να είναι οι πελάτες της ασφαλείς.