Изображение: krebsonsecurity.com
The Verge заметил(а) спорное сообщение в блоге Google Online Security, в котором компания заявляет, что теперь будет публиковать информацию об уязвимостях, обнаруженных ее исследователями безопасности, всего через семь дней вместо прежних шестидесяти.
Эта политика затрагивает то, что Google называет «критическими уязвимостями, активно используемыми злоумышленниками» – иными словами, слабые места, которые могут нанести серьезный вред пользователям и которые уже используются атакующими…
Наша постоянная рекомендация состоит в том, что компании должны устранять критические уязвимости в течение 60 дней — или, если исправление невозможно, они должны информировать общественность о риске и предлагать обходные пути. Мы призываем исследователей публиковать свои находки, если на устранение сообщенных проблем потребуется больше времени. Однако, исходя из нашего опыта, мы считаем, что для критических уязвимостей, активно используемых злоумышленниками, целесообразны более срочные действия — в течение 7 дней. Причина такого особого обозначения заключается в том, что каждый день, когда активно используемая уязвимость остается нераскрытой для общественности и неустраненной, компрометируется все больше компьютеров.
Эта проблема вызывает споры, поскольку она связана с балансировкой рисков. Если люди не знают о риске, они ничего не могут сделать, чтобы защитить себя от проблемы. С другой стороны, как только Google делает информацию об уязвимости публичной, другие злоумышленники могут начать использовать ту же технику для своих атак.
Google явно считает, что баланс риска склоняется в сторону раскрытия информации. Другие, например блогер Sophos Грэм Клули, не согласны, комментируя более ранний пример публикации Google уязвимости Windows XP в течение недели:
На мой взгляд, публикация кода эксплойта была совершенно безответственным поведением, и я беспокоился, что распространение такой информации в интернете облегчит киберпреступникам ее использование.
Как и следовало ожидать, вредоносные хакеры действительно теперь используют уязвимость нулевого дня, согласно сообщению в блоге моего коллеги Донато Ферранте из SophosLabs, поскольку был обнаружен скомпрометированный веб-сайт, который использует этот эксплойт для внедрения троянского коня на компьютеры ничего не подозревающих пользователей.
Очевидно, что оба аргумента имеют под собой основания, и будет интересно посмотреть, сформируется ли консенсус за или против этого шага.