El 7 de enero, el equipo de Google Project Zero especializado en vulnerabilidades en software anunció cambios en las reglas para revelar información sobre errores detectados (
noticias , publicación de blog). En 2020, el Proyecto Cero revelará información de vulnerabilidad 90 días después de la primera notificación del proveedor "afectado". La fecha límite no ha cambiado, pero antes de eso, los investigadores del Proyecto Cero podrían publicar un informe sobre el problema más rápido si el desarrollador de software lograra lanzar el parche antes de esta fecha límite. Ahora Project Zero esperará 90 días, independientemente de la disponibilidad del parche.
Las nuevas reglas son de interés por varias razones. En primer lugar, no existe un estándar único: cuánto tiempo le da a un desarrollador de software para analizar una vulnerabilidad y solucionarla. El equipo de Project Zero, que detecta regularmente vulnerabilidades serias de software, toma esas decisiones por sí solo y por lo tanto trata de influir en toda la industria. En segundo lugar, es importante cambiar las prioridades: en lugar de "cerremos este error más rápido", los desarrolladores están motivados para corregir la vulnerabilidad de manera confiable. De lo contrario, resulta que el parche no resuelve el problema en absoluto o agrega nuevos errores.
Las nuevas reglas de informes de vulnerabilidad de divulgación en Project Zero ahora se ven así:
Se puede arreglar otro cambio importante: las reglas se han vuelto un poco más complicadas. El mismo período de 90 días se puede extender a 104 días, si el proveedor tiene dificultades, pero puede resolver el problema en dos semanas adicionales. Hay un corto plazo de 7 días para las vulnerabilidades de día cero: si los atacantes ya explotan un error en el software, entonces no tiene sentido ocultarlo del público. Las reglas complicadas son normales, ya que hay diferentes casos. Por ejemplo, los errores anteriores en los parches se procesaron de manera inconsistente: como una nueva vulnerabilidad o como una adición a la anterior. Ahora se agregarán al informe existente, incluso si ya está disponible públicamente.
El tema de la divulgación de vulnerabilidades es, por definición, conflictivo. Un desarrollador de software puede considerar revelar información de vulnerabilidad como un golpe a su reputación. Un investigador que encuentra un error puede ser acusado de "relaciones públicas en la desgracia de otra persona". Al menos, antes de que comenzara el trabajo del sistema de los vendedores con "sombreros blancos", la situación en la mayoría de los casos era solo eso. Con el tiempo, la percepción cambia: existen vulnerabilidades en cualquier software. Puede evaluar una empresa en particular no por la cantidad de errores encontrados, sino por la rapidez con que se cierran. La interacción con cazadores de insectos independientes también se está estableciendo, tanto con la ayuda de programas de recompensas de errores como a través de tales intentos de establecer las reglas del juego.
Sin embargo, esto no significa que se hayan resuelto todos los problemas. ¿Qué pasa si el error no se puede cerrar, como la vulnerabilidad checkm8 en dispositivos Apple? ¿Es ético revelar que el parche no funciona y que el plazo de 90 días ya ha expirado? Por lo tanto, Project Zero agregó el prefijo beta a las nuevas reglas y no excluye su cambio en el futuro, de acuerdo con los resultados de trabajar con proveedores. Hasta ahora, según el Proyecto Cero, un período de noventa días es suficiente para cerrar la vulnerabilidad en el 97.7% de los casos. Sea como fuere, cambiar el enfoque de "lanzar el parche lo antes posible" a "cerrar la vulnerabilidad de forma segura" es una buena noticia.
¿Qué más pasó?El algoritmo de cifrado SHA-1 se ha vuelto más barato de romper (
noticias , investigación). Los investigadores llevaron a cabo un ataque práctico contra SHA-1 en 2017, pero
luego la potencia informática necesaria a precios condicionales de Amazon costaría cientos de miles de dólares. El nuevo trabajo redujo esta cantidad a $ 45 mil en teoría y a $ 75 mil en la práctica, teniendo en cuenta la adquisición subóptima de capacidades y costos de capacitación. El ataque es bastante real: si el algoritmo se usa para cifrar correspondencia, puede interceptar mensajes. SHA-1 se erradica casi por completo en la web, pero aún se usa en varias aplicaciones desactualizadas.
Investigadores de Malwarebytes encontraron una
puerta trasera inamovible en teléfonos inteligentes Android baratos que el operador móvil estadounidense distribuyó como parte de un programa gubernamental para apoyar a los pobres.
La nueva versión de Firefox 72 ha
cerrado varios errores graves e implementado herramientas para combatir las "huellas digitales": identificación del usuario mediante la configuración del navegador. El navegador proporciona docenas de parámetros a la web, incluidos, por ejemplo, fuentes y complementos instalados. La combinación de estas configuraciones le permite determinar el usuario, incluso si ha limitado el uso de medios estándar de identificación mediante cookies. El problema se resolvió prohibiendo la transferencia de información a las empresas, "sobre las cuales se sabe que utilizan métodos de huellas digitales".
CheckPoint
investigó el mensajero TikTok. Anteriormente, esta aplicación con raíces chinas estaba
prohibida para su uso en el ejército de los EE. UU. Un estudio de CheckPoint menos politizado encontró vulnerabilidades graves, incluida la capacidad de enviar videos de un atacante desde la cuenta de otra persona. Otro mensajero, ToTok, popular (debido a la prohibición de otros servicios) en los EAU, fue expulsado de Google Play Store, pero luego
regresó : fue suficiente para cambiar el acuerdo del usuario, indicando explícitamente que el programa, por ejemplo, carga una libreta de direcciones en sus servidores usuario
Facebook ha
prohibido las falsificaciones "políticas". Bajo las nuevas reglas de la red social, por ejemplo, no puedes publicar un video modificado con Donald Trump, pero con Nicolas Cage sí puedes. Este último cae en la categoría de sátira. Me pregunto cómo lo determinarán. Se
están desarrollando métodos técnicos, y ahora no es fácil distinguir la realidad de la ficción.
Google
cerró temporalmente el acceso de la cámara web de Xiaomi a su herramienta de domótica inteligente Nest Hub. Como resultado de un "mal funcionamiento del almacenamiento en caché", los usuarios de Nest Hub que conectaron su cámara Xiaomi vieron videos e imágenes de otras cámaras que no les pertenecen.