Em 7 de janeiro, a equipe do Google Project Zero, especializada em vulnerabilidades em software, anunciou alterações nas regras de divulgação de informações sobre bugs detectados (
notícias , publicação em blog). Em 2020, o Projeto Zero divulgará informações de vulnerabilidade 90 dias após a primeira notificação do fornecedor "afetado". O prazo não mudou, mas antes disso, os pesquisadores do Projeto Zero poderiam publicar um relatório sobre o problema mais rapidamente se o desenvolvedor de software conseguisse liberar o patch antes desse prazo. Agora o Project Zero aguardará 90 dias, independentemente da disponibilidade do patch.
As novas regras são de interesse por vários motivos. Em primeiro lugar, não existe um padrão único - quanto tempo leva para um desenvolvedor de software analisar uma vulnerabilidade e corrigi-la. A equipe do Project Zero, que detecta regularmente sérias vulnerabilidades de software, toma essas decisões por conta própria e, portanto, tenta influenciar todo o setor. Em segundo lugar, é importante alterar as prioridades: em vez de "vamos fechar esse bug mais rapidamente", os desenvolvedores estão motivados a corrigir a vulnerabilidade de maneira confiável. Caso contrário, acontece regularmente que o patch não resolve o problema ou adiciona novos bugs.
As novas regras de relatório de vulnerabilidade de divulgação no Project Zero agora são assim:
Outra mudança importante pode ser corrigida: as regras se tornaram um pouco mais complicadas. O mesmo período de 90 dias pode ser estendido para 104 dias - se o fornecedor estiver com dificuldades, mas puder resolver o problema em mais duas semanas. Há um prazo curto de 7 dias para vulnerabilidades de dia zero: se um bug no software já é explorado por invasores, não faz sentido ocultá-lo do público. Regras complicadas são normais, pois existem casos diferentes. Por exemplo, erros anteriores nos patches eram processados inconsistentemente: como uma nova vulnerabilidade ou como uma adição à antiga. Agora eles serão adicionados ao relatório existente, mesmo que já esteja disponível ao público.
O tópico da divulgação de vulnerabilidades é, por definição, conflitante. Um desenvolvedor de software pode considerar a divulgação de informações de vulnerabilidade um golpe para sua reputação. Um pesquisador que encontra um bug pode ser acusado de "RP no infortúnio de outra pessoa". Pelo menos, antes do início do trabalho do sistema de fornecedores com “bonés brancos”, a situação na maioria dos casos era exatamente isso. Com o tempo, a percepção muda: existem vulnerabilidades em qualquer software. Você pode avaliar uma empresa em particular, não pelo número de erros encontrados, mas pela rapidez com que eles são fechados. A interação com caçadores de bugs independentes também está melhorando - tanto com a ajuda de programas de recompensas de bugs quanto com essas tentativas de estabelecer as regras do jogo.
No entanto, isso não significa que todos os problemas foram resolvidos. E se o bug não puder ser fechado, como a vulnerabilidade checkm8 nos dispositivos Apple? É ético divulgar que o patch não está funcionando e o prazo de 90 dias já expirou? Portanto, o Project Zero adicionou o prefixo beta às novas regras e não exclui suas alterações no futuro, de acordo com os resultados do trabalho com fornecedores. Até agora, segundo o Projeto Zero, um período de noventa dias é suficiente para fechar a vulnerabilidade em 97,7% dos casos. Seja como for, mudar a abordagem de "liberar o patch o mais rápido possível" para "fechar a vulnerabilidade com segurança" é uma boa notícia.
O que mais aconteceu:O algoritmo de criptografia SHA-1 ficou mais barato de quebrar (
notícias , pesquisas). Os pesquisadores realizaram um ataque prático ao SHA-1 em 2017, mas
o poder de computação necessário a preços condicionais da Amazon custaria centenas de milhares de dólares. Novos trabalhos reduziram esse valor para US $ 45 mil em teoria e para US $ 75 mil na prática - levando em consideração a aquisição subótima de capacidades e custos de treinamento. O ataque é bastante real: se o algoritmo for usado para criptografar a correspondência, você poderá interceptar as mensagens. O SHA-1 é quase completamente erradicado na Web, mas ainda é usado em vários aplicativos desatualizados.
Pesquisadores da Malwarebytes encontraram um
backdoor irremovível em smartphones Android baratos que a operadora móvel americana distribuiu como parte de um programa do governo para apoiar os pobres.
A nova versão do Firefox 72
fechou vários bugs sérios e implementou ferramentas para combater a "impressão digital" - identificação do usuário pelas configurações do navegador. O navegador fornece dezenas de parâmetros para a web, incluindo, por exemplo, fontes e plugins instalados. A combinação dessas configurações permite determinar o usuário, mesmo que ele tenha limitado o uso de meios de identificação padrão usando cookies. O problema foi resolvido banindo a transferência de informações para as empresas ", sobre as quais se sabe que elas usam métodos de impressão digital".
A CheckPoint
investigou o messenger TikTok. Anteriormente, esse aplicativo com raízes chinesas era
proibido para uso no exército dos EUA. Um estudo menos politizado da CheckPoint encontrou vulnerabilidades sérias, incluindo a capacidade de enviar vídeos por um invasor da conta de outra pessoa. Outro mensageiro, o ToTok, popular (devido à proibição de outros serviços) nos Emirados Árabes Unidos, foi banido da Google Play Store, mas
retornou - foi o suficiente para alterar o contrato do usuário, afirmando claramente que o programa, por exemplo, carrega um catálogo de endereços em seus servidores usuário.
O Facebook
proibiu os dipfakes "políticos". Sob as novas regras da rede social, por exemplo, você não pode postar um vídeo modificado com Donald Trump, mas com Nicolas Cage, você pode. O último se enquadra na categoria sátira. Gostaria de saber como eles vão determinar? Os métodos técnicos
estão em desenvolvimento e agora não é fácil distinguir a realidade da ficção.
O Google
fechou temporariamente o acesso da webcam da Xiaomi à sua ferramenta inteligente de automação residencial Nest Hub. Como resultado de um "mau funcionamento do cache", os usuários do Nest Hub que conectaram sua câmera Xiaomi assistiram a vídeos e imagens de outras câmeras que não pertencem a eles.