Am 7. Januar kündigte das auf Sicherheitslücken in Software spezialisierte Google Project Zero-Team Änderungen an den Regeln für die Offenlegung von Informationen zu erkannten Fehlern an (
Nachrichten , Blogbeitrag). Im Jahr 2020 wird Project Zero 90 Tage nach der ersten Benachrichtigung des „betroffenen“ Anbieters Informationen zu Sicherheitslücken veröffentlichen. Die Frist hat sich nicht geändert, aber zuvor konnten Forscher von Project Zero einen Bericht über das Problem schneller veröffentlichen, wenn es dem Softwareentwickler gelang, den Patch vor Ablauf dieser Frist zu veröffentlichen. Jetzt wartet Project Zero 90 Tage, unabhängig von der Verfügbarkeit des Patches.
Die neuen Regeln sind aus mehreren Gründen von Interesse. Erstens gibt es keinen einheitlichen Standard - wie viel Zeit ein Softwareentwickler hat, um eine Sicherheitsanfälligkeit zu analysieren und zu beheben. Das Project Zero-Team, das regelmäßig schwerwiegende Software-Schwachstellen aufdeckt, trifft solche Entscheidungen selbst und versucht so, die gesamte Branche zu beeinflussen. Zweitens ist es wichtig, die Prioritäten zu ändern: Anstatt „diesen Fehler schneller zu beheben“, sind Entwickler motiviert, die Sicherheitsanfälligkeit zuverlässig zu beheben. Andernfalls stellt sich regelmäßig heraus, dass der Patch das Problem entweder überhaupt nicht löst oder neue Fehler hinzufügt.
Die neuen Regeln für das Melden von Sicherheitslücken in Project Zero sehen jetzt folgendermaßen aus:
Eine weitere wichtige Änderung kann behoben werden: Die Regeln sind etwas komplizierter geworden. Der gleiche Zeitraum von 90 Tagen kann auf 104 Tage verlängert werden - wenn der Anbieter auf Schwierigkeiten stößt, das Problem jedoch in weiteren zwei Wochen lösen kann. Für Zero-Day-Sicherheitslücken gilt eine kurze Frist von sieben Tagen: Wenn ein Softwarefehler bereits von Angreifern ausgenutzt wird, ist es sinnlos, ihn vor der Öffentlichkeit zu verbergen. Komplizierte Regeln sind normal, da es verschiedene Fälle gibt. Beispielsweise wurden frühere Fehler in Patches inkonsistent verarbeitet: entweder als neue Sicherheitsanfälligkeit oder als Ergänzung zu der alten. Jetzt werden sie dem vorhandenen Bericht hinzugefügt, auch wenn dieser bereits öffentlich verfügbar ist.
Das Thema der Offenlegung von Sicherheitslücken ist per definitionem widersprüchlich. Ein Softwareentwickler kann die Offenlegung von Schwachstelleninformationen als einen Schlag für seinen Ruf ansehen. Ein Forscher, der einen Fehler entdeckt, kann beschuldigt werden, "PR im Unglück eines anderen" zu sein. Zumindest bevor die Systemarbeit von Anbietern mit „weißen Hüten“ begann, war die Situation in den meisten Fällen genau so. Im Laufe der Zeit ändert sich die Wahrnehmung: In jeder Software sind Sicherheitslücken vorhanden. Sie können ein bestimmtes Unternehmen nicht nach der Anzahl der gefundenen Bugs beurteilen, sondern danach, wie schnell sie geschlossen werden. Die Interaktion mit unabhängigen Bugsuchern wird ebenfalls besser - sowohl mit Hilfe von Bugs-Bounty-Programmen als auch durch solche Versuche, die Spielregeln festzulegen.
Dies bedeutet jedoch nicht, dass alle Probleme behoben wurden. Was ist, wenn der Fehler nicht behoben werden kann, z. B. die Sicherheitsanfälligkeit in checkm8 auf Apple-Geräten? Ist es ethisch vertretbar, dass der Patch nicht funktioniert und die Frist von 90 Tagen bereits abgelaufen ist? Aus diesem Grund hat Project Zero den neuen Regeln das Beta-Präfix hinzugefügt und schließt deren künftige Änderung nach den Ergebnissen der Zusammenarbeit mit Anbietern nicht aus. Laut Project Zero reicht bislang ein Zeitraum von neunzig Tagen aus, um die Sicherheitslücke in 97,7% der Fälle zu schließen. Wie auch immer, es ist eine gute Nachricht, den Ansatz von "Patch so bald wie möglich veröffentlichen" auf "die Sicherheitslücke sicher schließen" zu ändern.
Was ist noch passiert:Der SHA-1-Verschlüsselungsalgorithmus ist billiger zu brechen (
Nachrichten , Forschung). Die Forscher führten bereits 2017 einen praktischen Angriff auf SHA-1 durch, aber
dann würde die erforderliche Rechenleistung zu bedingten Amazon-Preisen hunderttausende Dollar kosten. Neue Arbeiten haben diesen Betrag auf theoretisch 45.000 USD und in der Praxis auf 75.000 USD reduziert - unter Berücksichtigung einer suboptimalen Beschaffung von Kapazitäten und Schulungskosten. Der Angriff ist realistisch: Wenn der Algorithmus zum Verschlüsseln der Korrespondenz verwendet wird, können Sie Nachrichten abfangen. SHA-1 wird im Web fast vollständig beseitigt, aber immer noch in einer Reihe veralteter Anwendungen verwendet.
Forscher aus Malwarebytes fanden eine nicht entfernbare
Hintertür in billigen Android-Smartphones, die der amerikanische Mobilfunkbetreiber im Rahmen eines Regierungsprogramms zur Unterstützung der Armen verteilte.
Die neue Version von Firefox 72 hat mehrere schwerwiegende Fehler behoben und Tools zur Bekämpfung des „Fingerabdrucks“ implementiert - Benutzeridentifikation durch Browsereinstellungen. Der Browser stellt dem Web Dutzende von Parametern zur Verfügung, darunter beispielsweise installierte Schriftarten und Plugins. Durch die Kombination dieser Einstellungen können Sie den Benutzer bestimmen, auch wenn er die Verwendung von Standard-Identifikationsmitteln mithilfe von Cookies eingeschränkt hat. Das Problem wurde gelöst, indem die Weitergabe von Informationen an Unternehmen verboten wurde, "von denen bekannt ist, dass sie Fingerabdruckmethoden verwenden".
CheckPoint
untersuchte den TikTok-Messenger. Zuvor war diese Anwendung mit chinesischen Wurzeln für die Verwendung in der US-Armee
verboten . Eine weniger politisierte CheckPoint-Studie ergab schwerwiegende Sicherheitslücken, darunter die Möglichkeit, Videos von einem Angreifer über das Konto eines anderen zu senden. Ein anderer Messenger, ToTok, der (aufgrund des Verbots anderer Dienste) in den Vereinigten Arabischen Emiraten beliebt ist, wurde aus dem Google Play Store verbannt,
kehrte jedoch
zurück. Es genügte, um die Benutzervereinbarung zu ändern, in der klar angegeben wurde, dass das Programm beispielsweise ein Adressbuch auf seine Server hochlädt benutzer.
Facebook hat
die "politischen" Fälschungen
verboten . Nach den neuen Regeln des sozialen Netzwerks können Sie beispielsweise bei Donald Trump kein geändertes Video posten, bei Nicolas Cage jedoch. Letzteres fällt in die Kategorie der Satire. Ich frage mich, wie sie bestimmen werden? Technische Methoden
sind in der Entwicklung, und jetzt ist es nicht einfach, Realität von Fiktion zu unterscheiden.
Google hat
die Xiaomi-Webcam
vorübergehend für den Zugriff auf das Nest Hub-Tool zur Automatisierung von Smart Homes
gesperrt . Aufgrund einer Caching-Störung haben Benutzer von Nest Hub, die ihre Xiaomi-Kamera angeschlossen haben, Videos und Bilder von anderen Kameras angesehen, die nicht zu ihnen gehören.