Le 7 janvier, l'équipe de Google Project Zero spécialisée dans les vulnérabilités des logiciels a annoncé des modifications des règles de divulgation d'informations sur les bugs détectés (
actualités , billet de blog). En 2020, Project Zero divulguera des informations sur les vulnérabilités 90 jours après la première notification du fournisseur «concerné». La date limite n'a pas changé, mais avant cela, les chercheurs de Project Zero pourraient publier un rapport sur le problème plus rapidement si le développeur du logiciel réussissait à publier le correctif avant cette date limite. Maintenant, Project Zero attendra 90 jours, quelle que soit la disponibilité du correctif.
Les nouvelles règles sont intéressantes pour un certain nombre de raisons. Premièrement, il n'y a pas de norme unique - combien de temps accorder à un développeur de logiciels pour analyser une vulnérabilité et la corriger. L'équipe de Project Zero, qui détecte régulièrement de graves vulnérabilités logicielles, prend seule de telles décisions et tente ainsi d'influencer l'ensemble de l'industrie. Deuxièmement, il est important de changer les priorités: au lieu de «fermons ce bogue plus rapidement», les développeurs sont motivés pour corriger la vulnérabilité de manière fiable. Sinon, il s'avère régulièrement que le correctif ne résout pas du tout le problème ou ajoute de nouveaux bogues.
Les nouvelles règles de déclaration de vulnérabilité de divulgation dans Project Zero ressemblent maintenant à ceci:
Un autre changement important peut être corrigé: les règles sont devenues un peu plus compliquées. La même période de 90 jours peut être étendue à 104 jours - si le fournisseur éprouve des difficultés, mais peut résoudre le problème en deux semaines supplémentaires. Il y a un court délai de 7 jours pour les vulnérabilités zero-day: si un bogue dans un logiciel est déjà exploité par des attaquants, alors il est inutile de le cacher au public. Les règles compliquées sont normales, car il existe différents cas. Par exemple, les erreurs antérieures dans les correctifs ont été traitées de manière incohérente: soit comme une nouvelle vulnérabilité, soit comme un ajout à l'ancienne. Maintenant, ils seront ajoutés au rapport existant, même s'il est déjà accessible au public.
Le sujet de la divulgation des vulnérabilités est, par définition, conflictuel. Un développeur de logiciels peut considérer que la divulgation d'informations sur les vulnérabilités porte un coup à sa réputation. Un chercheur qui trouve un bogue peut être accusé de «relations publiques dans le malheur de quelqu'un d'autre». Au moins, avant que le travail du système des fournisseurs avec des «chapeaux blancs» ne commence, la situation dans la plupart des cas n'était que cela. Au fil du temps, la perception change: des vulnérabilités existent dans tous les logiciels. Vous pouvez évaluer une entreprise particulière non pas par le nombre de bogues trouvés, mais par la rapidité avec laquelle ils sont fermés. L'interaction avec les chasseurs de bogues indépendants s'améliore également - à la fois avec l'aide de programmes de primes aux bogues et grâce à de telles tentatives pour établir les règles du jeu.
Cependant, cela ne signifie pas que tous les problèmes ont été résolus. Que faire si le bogue ne peut pas être fermé, comme la vulnérabilité checkm8 dans les appareils Apple? Est-il éthique de divulguer que le patch ne fonctionne pas et que le délai de 90 jours a déjà expiré? Par conséquent, Project Zero a ajouté le préfixe bêta aux nouvelles règles et n'exclut pas leur modification à l'avenir, selon les résultats de la collaboration avec les fournisseurs. Jusqu'à présent, selon Project Zero, une période de quatre-vingt-dix jours suffit pour combler la vulnérabilité dans 97,7% des cas. Quoi qu'il en soit, changer l'approche de «libérer le correctif dès que possible» pour «fermer la vulnérabilité en toute sécurité» est une bonne nouvelle.
Que s'est-il passé d'autre:L'algorithme de chiffrement SHA-1 est devenu moins cher à casser (
actualités , recherche). Les chercheurs ont mené une attaque pratique contre SHA-1 en 2017, mais
la puissance de calcul nécessaire aux prix conditionnels d'Amazon coûterait alors des centaines de milliers de dollars. De nouveaux travaux ont réduit ce montant à 45 000 $ en théorie et à 75 000 $ en pratique - compte tenu de l'acquisition sous-optimale des capacités et des coûts de formation. L'attaque est bien réelle: si l'algorithme est utilisé pour crypter la correspondance, vous pouvez intercepter des messages. SHA-1 est presque complètement éradiqué sur le Web, mais est toujours utilisé dans un certain nombre d'applications obsolètes.
Des chercheurs de Malwarebytes ont trouvé une
porte dérobée inamovible dans des smartphones Android bon marché que l'opérateur de téléphonie mobile américain a distribuée dans le cadre d'un programme gouvernemental pour soutenir les pauvres.
La nouvelle version de Firefox 72 a
fermé plusieurs bogues graves et implémenté des outils pour lutter contre les «empreintes digitales» - l'identification des utilisateurs par les paramètres du navigateur. Le navigateur donne des dizaines de paramètres au Web, y compris, par exemple, les polices et plugins installés. La combinaison de ces paramètres vous permet de déterminer l'utilisateur, même s'il a limité l'utilisation de moyens d'identification standard à l'aide de cookies. Le problème a été résolu en interdisant le transfert d'informations aux entreprises, "dont on sait qu'elles utilisent des méthodes de prise d'empreintes digitales".
CheckPoint a
enquêté sur le messager TikTok. Auparavant, cette application avec des racines chinoises était
interdite d'utilisation dans l'armée américaine. Une étude CheckPoint moins politisée a révélé de graves vulnérabilités, notamment la possibilité d'envoyer des vidéos par un attaquant à partir du compte de quelqu'un d'autre. Un autre messager, ToTok, populaire (en raison de l'interdiction d'autres services) aux Émirats arabes unis, a été banni du Google Play Store, mais est ensuite
revenu - il suffisait de modifier le contrat d'utilisation, indiquant clairement que le programme, par exemple, télécharge un carnet d'adresses sur ses serveurs utilisateur.
Facebook a
interdit les dipfakes "politiques". Selon les nouvelles règles du réseau social, par exemple, vous ne pouvez pas publier une vidéo modifiée avec Donald Trump, mais avec Nicolas Cage vous le pouvez. Ce dernier entre dans la catégorie satire. Je me demande comment ils vont déterminer? Les méthodes techniques
sont en cours de développement, et maintenant il n'est pas facile de distinguer la réalité de la fiction.
Google a
temporairement fermé l' accès de la webcam Xiaomi à son outil de domotique intelligente Nest Hub. À la suite d'un «dysfonctionnement de la mise en cache», les utilisateurs de Nest Hub qui ont connecté leur caméra Xiaomi ont regardé des vidéos et des images provenant d'autres caméras qui ne leur appartiennent pas.