في 7 كانون الثاني (يناير) ، أعلن فريق Google Project Zero المتخصص في الثغرات الأمنية في البرنامج عن تغييرات في قواعد الكشف عن المعلومات المتعلقة بالأخطاء المكتشفة (
الأخبار ، منشور المدونة). في عام 2020 ، سيكشف Project Zero عن معلومات الثغرات الأمنية بعد 90 يومًا من الإخطار الأول للبائع "المتأثر". لم يتغير الموعد النهائي ، ولكن قبل ذلك ، يمكن للباحثين من Project Zero نشر تقرير حول المشكلة بشكل أسرع إذا تمكن مطور البرامج من إصدار التصحيح قبل هذا الموعد النهائي. الآن سينتظر Project Zero 90 يومًا ، بغض النظر عن توفر التصحيح.
القواعد الجديدة ذات أهمية لعدد من الأسباب. أولاً ، لا يوجد معيار واحد - كم من الوقت لمنح مطور برامج لتحليل الثغرة الأمنية وإصلاحها. يتخذ فريق Project Zero ، الذي يكتشف بانتظام نقاط الضعف الخطيرة في البرامج ، مثل هذه القرارات من تلقاء نفسه ، وبالتالي يحاول التأثير على الصناعة بأكملها. ثانياً ، من المهم تغيير الأولويات: بدلاً من "دعونا نغلق هذا الخطأ بشكل أسرع" ، يكون لدى المطورين الدافع لإصلاح الثغرة الأمنية بشكل موثوق. خلاف ذلك ، فقد تبين أن التصحيح إما لا يحل المشكلة على الإطلاق ، أو يضيف أخطاء جديدة.
تبدو قواعد الإبلاغ عن الثغرات الأمنية الجديدة في Project Zero الآن كما يلي:
يمكن إصلاح تغيير مهم آخر: أصبحت القواعد أكثر تعقيدًا. يمكن تمديد فترة التسعين يومًا نفسها إلى 104 أيام - إذا واجه البائع صعوبات ، لكن يمكنه حل المشكلة خلال أسبوعين إضافيين. هناك مهلة زمنية قصيرة مدتها 7 أيام لنقاط الضعف في اليوم صفر: إذا كان المهاجمون يستغلون بالفعل خللًا في البرنامج ، فلا فائدة من إخفاءه عن الجمهور. القواعد المعقدة طبيعية ، حيث توجد حالات مختلفة. على سبيل المثال ، تمت معالجة الأخطاء السابقة في التصحيحات بشكل غير متسق: إما على شكل ثغرة جديدة ، أو كإضافة إلى الثغرة القديمة. سيتم إضافتهم الآن إلى التقرير الحالي ، حتى إذا كان متاحًا بالفعل للجمهور.
موضوع الكشف عن الضعف ، بحكم تعريفه ، متضارب. قد يعتبر مطور البرامج الكشف عن معلومات الثغرة بمثابة ضربة لسمعته. يمكن أن يتهم الباحث الذي يعثر على خلل "العلاقات العامة في مصيبة شخص آخر". على الأقل ، قبل بدء عمل نظام الباعة ذوي "القبعات البيضاء" ، كان الوضع في معظم الحالات هو ذلك. بمرور الوقت ، يتغير الإدراك: توجد ثغرات أمنية في أي برنامج. يمكنك تقييم شركة معينة ليس من خلال عدد الأخطاء التي تم العثور عليها ، ولكن بواسطة سرعة إغلاقها. كما أن التفاعل مع صيادي الحشرات المستقلين آخذ في التحسن - بمساعدة كل من برامج مكافآت الأخطاء ، ومن خلال هذه المحاولات لوضع قواعد اللعبة.
ومع ذلك ، هذا لا يعني أن جميع المشاكل قد تم حلها. ماذا لو لم يكن بالإمكان إغلاق الخطأ ، مثل ثغرة checkm8 في أجهزة Apple؟ هل من الأخلاقي الكشف عن أن التصحيح لا يعمل ، وأن الموعد النهائي البالغ 90 يومًا قد انتهى بالفعل؟ لذلك ، أضاف Project Zero بادئة بيتا إلى القواعد الجديدة ولا يستبعد تغييرها في المستقبل ، وفقًا لنتائج العمل مع البائعين. حتى الآن ، وفقًا لمشروع Project Zero ، تعد فترة التسعين يومًا كافية لإغلاق الثغرة الأمنية في 97.7٪ من الحالات. سواء كان الأمر كذلك ، فإن تغيير النهج من "تحرير التصحيح في أسرع وقت ممكن" إلى "إغلاق الثغرة الأمنية بشكل آمن" هو خبر جيد.
ماذا حدث:أصبحت خوارزمية تشفير SHA-1 أرخص لكسر (
أخبار ، بحث). نفذ الباحثون هجومًا عمليًا على SHA-1 في عام 2017 ، ولكن
بعد ذلك ستكلف طاقة الحوسبة اللازمة بأسعار الأمازون الشرطية مئات الآلاف من الدولارات. خفض العمل الجديد هذا المبلغ إلى 45 ألف دولار نظريًا و 75 ألف دولار من الناحية العملية - مع الأخذ في الاعتبار الشراء الأمثل للقدرات وتكاليف التدريب. الهجوم حقيقي تمامًا: إذا تم استخدام الخوارزمية لتشفير المراسلات ، فيمكنك اعتراض الرسائل. يتم القضاء على SHA-1 بالكامل تقريبًا على الويب ، ولكن لا يزال يستخدم في عدد من التطبيقات القديمة.
وجد باحثون من Malwarebytes مستترًا غير قابل للإزالة في الهواتف الذكية الرخيصة التي تعمل بنظام Android والتي وزعها مشغل الهاتف المحمول الأمريكي كجزء من برنامج حكومي لدعم الفقراء.
قام الإصدار الجديد من Firefox 72
بإغلاق العديد من الأخطاء الخطيرة وتطبيق أدوات لمكافحة "البصمات" - تحديد المستخدم بواسطة إعدادات المستعرض. يوفر المتصفح عشرات المعلمات على الويب ، بما في ذلك ، على سبيل المثال ، الخطوط والإضافات المثبتة. يتيح لك مزيج هذه الإعدادات تحديد المستخدم ، حتى لو كان قد حد من استخدام وسائل تحديد الهوية القياسية باستخدام ملفات تعريف الارتباط. تم حل المشكلة عن طريق حظر نقل المعلومات إلى الشركات ، "التي من المعروف عنها أنها تستخدم أساليب البصمات".
تحقق CheckPoint رسول TikTok. في السابق ، تم
حظر هذا التطبيق ذي الجذور الصينية للاستخدام في الجيش الأمريكي. وجدت دراسة CheckPoint الأقل تسييسًا نقاط ضعف خطيرة ، بما في ذلك القدرة على إرسال مقاطع فيديو بواسطة مهاجم من حساب شخص آخر. تم حظر رسول آخر ، ToTok ، شائع (بسبب الحظر المفروض على الخدمات الأخرى) في الإمارات ، من متجر Google Play ، ولكن بعد ذلك
عاد - كان يكفي لتغيير اتفاقية المستخدم ، مع الإشارة بوضوح إلى أن البرنامج ، على سبيل المثال ، يحمّل دفتر عناوين على خوادمه المستخدم.
حظرت الفيسبوك dipfakes "السياسية". بموجب القواعد الجديدة للشبكة الاجتماعية ، على سبيل المثال ، لا يمكنك نشر فيديو معدّل مع Donald Trump ، لكن مع Nicolas Cage يمكنك. هذا الأخير يقع في فئة هجاء. أتساءل كيف سيحددون؟ الأساليب التقنية قيد التطوير ، والآن ليس من السهل التمييز بين الواقع والخيال.
أغلقت Google
مؤقتًا وصول كاميرا الويب Xiaomi إلى أداة أتمتة المنزل الذكي Nest Hub. نتيجة "لحدوث خلل في التخزين المؤقت" ، شاهد مستخدمو Nest Hub الذين وصلوا كاميرا Xiaomi الخاصة بهم مقاطع فيديو وصور من كاميرات أخرى لا تنتمي إليهم.