Lebih dari 95% dari 1.600 kerentanan yang ditemukan oleh Google Project Zero diperbaiki di …
Mengapa ini penting: Project Zero adalah tim peneliti keamanan yang mengerikan, terkenal karena tiga hal: menemukan kerentanan terburuk, menemukan kerentanan baru setiap hari, dan memberi perusahaan hanya 90 hari untuk menemukan perbaikan sebelum publik sepenuhnya mengungkap. Sama-sama dikagumi dan dibenci oleh mayoritas komunitas keamanan, mereka baru-baru ini memecah kesunyian untuk mempertahankan kebijakan mereka terhadap wawasan dan menjelaskan apa yang sebenarnya mereka lakukan.
Semua perusahaan teknologi besar, dari Microsoft hingga Apple Intel menerima laporan kesalahan dari Project Zero yang berisi pernyataan berikut: “Kesalahan ini tunduk pada periode pengungkapan 90 hari. Setelah 90 hari berlalu atau tambalan tersedia secara luas (mana yang lebih awal), laporan bug akan terlihat oleh publik. “Sejak saat itu, perusahaan dapat memilih untuk memperbaiki kesalahan dengan bantuan Project Zero, sendirian atau tidak sama sekali, dalam hal ini laporan kesalahan dipublikasikan segera.
Setiap laporan bug berisi hampir semua yang bisa dikumpulkan oleh Project Zero tentang kerentanan, mulai dari bagaimana itu pertama kali ditemukan hingga kode proof-of-concept yang mengeksploitasinya untuk menunjukkan masalah.
Pada 30 Juli, Project Zero telah merilis laporan kesalahan 1.585 kerentanan diperbaiki dan 66 tidak diperbaiki. 1.411 dari 1.585 diterbitkan dalam waktu 90 hari dan tambahan 174 dikeluarkan dalam tenggang waktu 14 hari Project Zero mengizinkan ketika mereka yakin perusahaan hampir selesai. Hanya dua yang melampaui itu, Spectre & Meltdown, dan task_t, keduanya, ketika dieksploitasi, memungkinkan akses program ke rahasia tertinggi dari sistem operasi.
Project Zero mengakui bahwa memposting laporan bug sebelum perbaikan agak berbahaya, tetapi itulah intinya: Itu membuat perusahaan takut untuk memperbaikinya, yang mereka katakan tidak akan terjadi jika mereka berharap laporan bug tetap tersembunyi.
“Jika Anda berasumsi bahwa hanya vendor dan reporter yang menyadari kerentanan, maka masalahnya dapat diselesaikan tanpa urgensi. Namun, kami memiliki semakin banyak bukti bahwa penyerang menemukan (atau memperoleh) banyak kerentanan yang sama yang dilaporkan oleh peneliti keamanan defensif. Kami tidak dapat mengetahui dengan pasti kapan penyerang menemukan bug keamanan yang kami laporkan, tetapi kami tahu bahwa itu terjadi secara rutin untuk memasukkan kebijakan pengungkapan kami.
Pada dasarnya, jadwal pengungkapan adalah cara bagi peneliti keamanan untuk menetapkan harapan dan memberikan insentif yang jelas bagi vendor dan proyek sumber terbuka untuk meningkatkan upaya peningkatan kerentanan mereka. Kami mencoba mengkalibrasi kerangka waktu pengungkapan kami sehingga ambisius, adil, dan realistis. "
Project Zero memiliki garis bukti yang jelas untuk ini. Sebuah studi menganalisis lebih dari 4.300 kerentanan dan menemukan bahwa 15% hingga 20% kerentanan ditemukan secara independen setidaknya dua kali setahun. Untuk Android, misalnya, 14% kerentanan pulih dalam 60 hari dan 20% dalam 90, untuk Chrome ada 13% dari penemuan kembali dalam 60 hari. Ini menunjukkan bahwa sementara seorang peneliti keamanan mungkin berada di depan kurva, ada kemungkinan yang masuk akal bahwa apa pun yang mereka temukan akan ditemukan oleh penyerang segera setelah itu.
Tapi bukankah berbahaya untuk mengirim laporan bug sebelum menambal?
“Jawabannya bertentangan pada awalnya: mengungkapkan sejumlah kecil kerentanan yang tidak dikoreksi tidak secara signifikan meningkatkan atau mengurangi kemampuan penyerang. Pengungkapan 'tenggat waktu' kami memiliki efek netral jangka pendek pada kemampuan penyerang.
Kita tentu tahu bahwa ada kelompok dan individu yang menunggu untuk menggunakan serangan publik untuk membahayakan pengguna (seperti mengeksploitasi kit penulis), tetapi kita juga tahu bahwa biaya untuk mengubah laporan kerentanan Project Zero yang khas menjadi serangan dunia nyata bukanlah praktis sepele. "
Project Zero tidak menerbitkan panduan langkah-demi-langkah, tetapi menerbitkan apa yang digambarkannya sebagai "hanya bagian dari rantai eksploitasi." Secara teori, penyerang akan membutuhkan sumber daya dan keterampilan yang signifikan untuk mengubah kerentanan ini menjadi eksploitasi yang andal, dan Project Zero percaya bahwa penyerang yang dapat melakukannya dapat melakukannya bahkan jika mereka tidak mengekspos bug. Mungkin penyerang terlalu malas untuk memulai sendiri karena, menurut penelitian tahun 2017, waktu rata-rata dari kerentanan hingga "eksploitasi fungsional penuh" adalah 22 hari.
Itu hanya masalah, itu adalah masalah besar, tetapi sebagian besar perusahaan mendorong dalam waktu 90 hari. Kritik kedua yang dimiliki banyak peneliti adalah kebijakan Project Zero dalam menerbitkan laporan bug setelah patch dirilis, terutama karena patch cenderung cacat dan kerentanan yang sama dapat muncul di lokasi lain. Project Zero percaya ini bermanfaat bagi para pembela HAM, karena memungkinkan mereka untuk lebih memahami kerentanan, dan sedikit konsekuensi bagi para penyerang yang akan mampu merekayasa balik eksploit tambalan.
"Penyerang memiliki insentif yang jelas untuk menghabiskan waktu menganalisis tambalan keamanan untuk mempelajari tentang kerentanan (baik melalui tinjauan kode sumber dan membalikkan rekayasa biner), dan akan dengan cepat menetapkan perincian lengkap bahkan jika vendor dan peneliti mencoba simpan data teknis ”.
Karena kegunaan informasi kerentanan sangat berbeda untuk para pembela lawan penyerang, kami tidak berharap para pembela HAM dapat melakukan kedalaman analisis yang sama dengan para penyerang.
Informasi yang kami ungkapkan secara umum dapat digunakan oleh advokat untuk segera meningkatkan pertahanan, menguji keakuratan perbaikan bug, dan selalu dapat digunakan untuk membuat keputusan berdasarkan informasi tentang adopsi patch atau mitigasi jangka pendek. "
Terkadang, dalam perang, risiko harus diambil untuk mencapai kesuksesan secara keseluruhan. Dan jangan salah, pertempuran antara peneliti keamanan dan peretas adalah nyata, dengan implikasi serius, kehidupan nyata. Sampai sekarang, Project Zero telah beroperasi dengan sukses tanpa konsekuensi signifikan dari kebijakan agresifnya, dan mereka tidak akan ragu untuk melanjutkan dengan cara yang sama kecuali jika itu menyebabkan masalah drastis. Semoga itu tidak terjadi.
