Pada tanggal 7 Januari, tim Google Project Zero yang berspesialisasi dalam kerentanan dalam perangkat lunak mengumumkan perubahan pada aturan untuk mengungkapkan informasi tentang bug yang terdeteksi (
berita , posting blog). Pada tahun 2020, Project Zero akan mengungkapkan informasi kerentanan 90 hari setelah pemberitahuan pertama dari vendor yang "terpengaruh". Tenggat waktu tidak berubah, tetapi sebelum itu, para peneliti dari Project Zero dapat menerbitkan laporan tentang masalah lebih cepat jika pengembang perangkat lunak berhasil melepaskan tambalan sebelum batas waktu ini. Sekarang Project Zero akan menunggu 90 hari, terlepas dari ketersediaan tambalan.
Aturan baru itu menarik karena sejumlah alasan. Pertama, tidak ada standar tunggal - berapa banyak waktu untuk memberikan pengembang perangkat lunak untuk menganalisis kerentanan dan memperbaikinya. Tim Project Zero, yang secara teratur mendeteksi kerentanan perangkat lunak yang serius, membuat keputusan sendiri dan dengan demikian mencoba memengaruhi seluruh industri. Kedua, penting untuk mengubah prioritas: alih-alih βmari kita tutup bug ini lebih cepatβ, pengembang termotivasi untuk memperbaiki kerentanan dengan andal. Jika tidak, ternyata tambalan itu tidak menyelesaikan masalah sama sekali, atau menambah bug baru.
Aturan pelaporan kerentanan pengungkapan baru di Project Zero sekarang terlihat seperti ini:
Perubahan penting lainnya dapat diperbaiki: aturan menjadi sedikit lebih rumit. Periode 90 hari yang sama dapat diperpanjang hingga 104 hari - jika vendor mengalami kesulitan, tetapi dapat menyelesaikan masalah dalam dua minggu tambahan. Ada batas waktu pendek 7 hari untuk kerentanan zero-day: jika bug dalam perangkat lunak sudah dieksploitasi oleh penyerang, maka tidak ada gunanya menyembunyikannya dari publik. Aturan rumit adalah normal, karena ada kasus yang berbeda. Misalnya, kesalahan sebelumnya dalam tambalan diproses secara tidak konsisten: baik sebagai kerentanan baru, atau sebagai tambahan untuk yang lama. Sekarang mereka akan ditambahkan ke laporan yang ada, bahkan jika sudah tersedia untuk umum.
Topik pengungkapan kerentanan, menurut definisi, saling bertentangan. Pengembang perangkat lunak dapat mempertimbangkan mengungkapkan informasi kerentanan sebagai pukulan terhadap reputasinya. Seorang peneliti yang menemukan bug dapat dituduh "PR dalam kemalangan orang lain." Setidaknya, sebelum sistem kerja vendor dengan "topi putih" dimulai, situasi dalam kebanyakan kasus hanya itu. Seiring waktu, persepsi berubah: kerentanan ada dalam perangkat lunak apa pun. Anda dapat mengevaluasi perusahaan tertentu bukan dengan jumlah bug yang ditemukan, tetapi dengan seberapa cepat mereka ditutup. Interaksi dengan pemburu bug independen juga menjadi lebih baik - baik dengan bantuan program hadiah bug, dan melalui upaya seperti itu untuk menetapkan aturan permainan.
Namun, ini tidak berarti bahwa semua masalah telah diselesaikan. Bagaimana jika bug tidak dapat ditutup, seperti kerentanan checkm8 di perangkat Apple? Apakah etis mengungkapkan bahwa tambalan tidak berfungsi, dan batas waktu 90 hari telah berakhir? Oleh karena itu, Project Zero menambahkan awalan beta ke aturan baru dan tidak mengecualikan perubahannya di masa depan, menurut hasil bekerja dengan vendor. Sejauh ini, menurut Project Zero, periode sembilan puluh hari cukup untuk menutup kerentanan pada 97,7% kasus. Meskipun demikian, mengubah pendekatan dari "melepaskan tambalan sesegera mungkin" menjadi "menutup kerentanan dengan aman" adalah berita baik.
Apa lagi yang terjadi:Algoritma enkripsi SHA-1 menjadi lebih murah untuk dipecahkan (
berita , penelitian). Para peneliti melakukan serangan praktis terhadap SHA-1 pada tahun 2017, tetapi
kemudian kekuatan komputasi yang diperlukan dengan harga Amazon bersyarat akan menelan biaya ratusan ribu dolar. Pekerjaan baru telah mengurangi jumlah ini menjadi $ 45 ribu dalam teori dan menjadi $ 75 ribu dalam praktik - dengan mempertimbangkan pengadaan kapasitas dan biaya pelatihan yang tidak optimal. Serangannya cukup nyata: jika algoritme digunakan untuk mengenkripsi korespondensi, Anda dapat mencegat pesan. SHA-1 hampir sepenuhnya dimusnahkan di web, tetapi masih digunakan di sejumlah aplikasi yang sudah ketinggalan zaman.
Para peneliti dari Malwarebytes menemukan
pintu belakang yang tidak dapat dilepas dalam ponsel pintar Android murah yang didistribusikan operator seluler Amerika sebagai bagian dari program pemerintah untuk mendukung orang miskin.
Versi baru Firefox 72 telah
menutup beberapa bug serius dan alat yang diimplementasikan untuk memerangi "sidik jari" - identifikasi pengguna dengan pengaturan browser. Peramban memberikan lusinan parameter ke web, termasuk, misalnya, font dan plugin yang dipasang. Kombinasi pengaturan ini memungkinkan Anda untuk menentukan pengguna, bahkan jika ia telah membatasi penggunaan sarana identifikasi standar menggunakan cookie. Masalahnya diselesaikan dengan melarang transfer informasi ke perusahaan, "yang diketahui mereka menggunakan metode sidik jari."
CheckPoint
menyelidiki utusan TikTok. Sebelumnya, aplikasi ini dengan akar Cina
dilarang untuk digunakan di Angkatan Darat AS. Studi CheckPoint yang kurang dipolitisasi menemukan kerentanan serius, termasuk kemampuan untuk mengirim video oleh penyerang dari akun orang lain. Utusan lain, ToTok, populer (karena larangan layanan lain) di UEA, dilarang dari Google Play Store, tetapi kemudian
dikembalikan - cukup untuk mengubah perjanjian pengguna, secara eksplisit menyatakan di sana bahwa program, misalnya, mengunggah buku alamat ke servernya pengguna.
Facebook telah
melarang dipfake "politik". Di bawah aturan baru jejaring sosial, misalnya, Anda tidak dapat memposting video yang dimodifikasi dengan Donald Trump, tetapi dengan Nicolas Cage Anda bisa. Yang terakhir jatuh ke dalam kategori sindiran. Saya bertanya-tanya bagaimana mereka akan menentukan? Metode teknis
sedang dikembangkan, dan sekarang tidak mudah untuk membedakan kenyataan dari fiksi.
Google
sementara menutup akses webcam Xiaomi ke alat otomatisasi rumah pintar Nest Hub-nya. Sebagai hasil dari "kerusakan caching," pengguna Nest Hub yang menghubungkan kamera Xiaomi mereka menonton video dan gambar dari kamera lain yang bukan milik mereka.