Waarom is het belangrijk? Project Zero is het angstaanjagende onderzoeksteam op het gebied van beveiliging dat berucht is om drie dingen: het ontdekken van de ergste kwetsbaarheden, het vinden van elke dag een nieuwe kwetsbaarheid, en bedrijven slechts 90 dagen de tijd geven om een ​​oplossing te vinden voordat deze volledig openbaar wordt gemaakt. Even aanbeden en gehaat door het grootste deel van de beveiligingsgemeenschap, hebben ze onlangs hun stilzwijgen verbroken om hun intuïtieve beleid te verdedigen en uit te leggen wat ze feitelijk doen.

Elk groot technologiebedrijf, van Microsoft tot Apple tot Intel, heeft een bugrapport ontvangen van Project Zero met de volgende verklaring: “Deze fout is onderhevig aan een deadline van 90 dagen. Na 90 dagen of als een patch algemeen beschikbaar is (wat eerder is), wordt het bugrapport publiekelijk zichtbaar. “Vanaf dat moment kan het bedrijf ervoor kiezen om de bug op te lossen door Project Zero niet alleen of helemaal niet te gebruiken; In dat geval wordt het foutenrapport onmiddellijk gepubliceerd.

Elk bugrapport bevat bijna alles wat Project Zero kan verzamelen, van de manier waarop het voor het eerst werd gevonden over de kwetsbaarheid tot de proof-of-concept-code die het gebruikt om het probleem te illustreren.

Op 30 juli heeft Project Zero 1.585 opgeloste kwetsbaarheden en 66 niet-gecorrigeerde bugrapporten over kwetsbaarheden vrijgegeven. Van de 1.585 werden er 1.411 binnen 90 dagen gepubliceerd, en Zero kreeg toestemming toen ze dachten dat het bedrijf bijna 174 revisies had doorgevoerd binnen de uitstelperiode van 14 dagen. Slechts twee van hen overtroffen dit, Spectre & Meltdown en task_t, beide wanneer ze werden gebruikt, gaven programma's toegang tot de grootste geheimen van het besturingssysteem.

Geen project aanvaarding Het publiceren van een bugrapport vóór een fix is ​​een beetje schadelijk, maar het punt is: ze maken bedrijven echt bang om het te repareren, en ze zeggen dat ze dat niet kunnen als ze verwachten dat het bugrapport vertrouwelijk blijft.

“Ervan uitgaande dat alleen de verkoper en de melder op de hoogte zijn van de kwetsbaarheid, kan het probleem onmiddellijk worden verholpen. Er zijn echter steeds meer aanwijzingen dat aanvallers veel van dezelfde kwetsbaarheden hebben gevonden (of verworven) die door onderzoekers op het gebied van defensiebeveiliging worden gemeld. We kunnen er niet zeker van zijn wanneer er een beveiligingsbug is gevonden die we eerder hebben gemeld door een aanvaller, maar we weten wel dat het regelmatig genoeg voorkomt om rekening te houden met ons openbaarmakingsbeleid.




In wezen zijn publicatiedeadlines een manier waarop beveiligingsonderzoekers verwachtingen scheppen en een duidelijke stimulans zijn voor leveranciers en open source-projecten om hun inspanningen voor het oplossen van kwetsbaarheden te verbeteren. We hebben geprobeerd onze tijdschema's voor openbaarmaking te kalibreren om assertief, eerlijk en realistisch toegankelijk te zijn. "



Project Zero heeft hier duidelijk bewijs voor. Een onderzoek analiz Er zijn meer dan 4.300 kwetsbaarheden, en 15% tot 20% van deze kwetsbaarheden wordt minstens twee keer in een jaar onafhankelijk ontdekt. Voor Android werd bijvoorbeeld 14% van de kwetsbaarheden binnen 60 dagen herontdekt en 20% binnen 90 dagen, voor Chrome was er 13% herontdekt binnen 60 dagen. Dit suggereert dat, hoewel een beveiligingsonderzoeker voorop loopt, alles wat ze ontdekken waarschijnlijk korte tijd later door aanvallers zal worden gevonden.






Maar is het niet gevaarlijk om vóór een patch een bugrapport te publiceren?

“Het antwoord is in eerste instantie onlogisch: het onthullen van een klein aantal niet-gecorrigeerde kwetsbaarheden vergroot of verkleint de capaciteit van de aanvaller niet significant. Onze "deadline" -verklaringen hebben een neutraal kortetermijneffect op het vermogen van de aanvaller.




We weten zeker dat er groepen en individuen zijn die verwachten generieke aanvallen te gebruiken om gebruikers schade te berokkenen (zoals auteurs van exploitkits), maar de kosten om een ​​typisch Project Zero-kwetsbaarheidsrapport om te zetten in een praktische real-world aanval zijn triviaal. "

Project Zero publiceert geen stapsgewijze hackgids, ze publiceren wat ze omschrijven als "slechts een deel van de exploit-keten". In theorie zou een aanvaller aanzienlijke middelen en vaardigheden nodig hebben om deze kwetsbaarheden om te zetten in betrouwbare exploitatie, en Project Zero stelt dat een aanvaller met deze mogelijkheid dit zou kunnen doen, zelfs als ze de bug niet hebben geopend. Misschien zijn de aanvallers te lui om voor zichzelf te beginnen, want als een studie uit 2017 was gevondenDe gemiddelde tijd tussen de kwetsbaarheid en de "volledig functionerende exploit" is 22 dagen.

Het is gewoon een probleem, een groot probleem, maar de meeste bedrijven zitten al binnen 90 dagen vast. De tweede kritiek die veel onderzoekers hebben, is dat het beleid van Project Yama om een ​​bugrapport vrij te geven nadat een patch is uitgebracht, omdat patches vaak defect zijn en dezelfde kwetsbaarheid elders geneigd is om te breken. Project Zero gelooft dat dit voordelig is voor verdedigers, waardoor ze kwetsbaarheden beter kunnen begrijpen en toch weinig kunnen leveren aan aanvallers die misbruik kunnen terugdraaien zonder te patchen.




“Aanvallers hebben een duidelijke prikkel om tijd te besteden aan het analyseren van beveiligingspatches om meer te weten te komen over kwetsbaarheden (zowel door broncodebeoordeling als binaire reverse engineering), en de verkoper en onderzoeker zullen snel alle details bepalen, zelfs als ze technische gegevens willen behouden. .

We denken niet dat verdedigers het zich niet kunnen veroorloven om dezelfde diepgaande analyse uit te voeren als aanvallers, aangezien verdedigers van kennis over kwetsbaarheden zo verschillend zijn voor verdedigers en aanvallers.

De informatie die we publiceren kan op grote schaal worden gebruikt door advocaten om de verdediging onmiddellijk te verbeteren, de nauwkeurigheid van bugfixes te testen en altijd te worden gebruikt om weloverwogen beslissingen te nemen over de acceptatie van patches of kortetermijnreducties. "

Soms moeten in de strijd risico's worden genomen om algemeen succes te behalen. En vergis je niet, de oorlog tussen beveiligingsonderzoekers en hackers echt, met echt, echte leven Effecten. Zero Project heeft met succes gewerkt zonder de significante gevolgen van hun agressieve beleid tot nu toe, en ze zullen op dezelfde manier doorgaan, tenzij ze ongetwijfeld een ernstig probleem veroorzaken. Ik hoop dat dit niet gebeurt.