Lebih dari 95% dari 1.600 kerentanan yang ditemukan oleh Project Zero Google diperbaiki dalam waktu 90 hari

Mengapa itu penting: Project Zero adalah tim peneliti keamanan yang mengerikan yang terkenal karena tiga hal: menemukan kerentanan terburuk di luar sana, menemukan kerentanan baru setiap hari, dan memberi perusahaan hanya 90 hari untuk menemukan perbaikan sebelum publik mengungkapkan sepenuhnya. Sama-sama dikagumi dan dibenci oleh sebagian besar komunitas keamanan, mereka baru-baru ini memecah kebisuan mereka untuk mempertahankan kebijakan kontra-intuitif mereka dan menjelaskan apa yang sebenarnya mereka lakukan.

Setiap perusahaan teknologi besar, dari Microsoft hingga Apple kepada Intel, telah menerima laporan bug dari Project Zero yang berisi pernyataan berikut: "Bug ini tunduk pada batas waktu pengungkapan 90 hari. Setelah 90 hari berlalu atau patch dibuat tersedia secara luas (mana yang lebih awal), laporan bug akan terlihat oleh publik. ”Sejak saat itu, perusahaan dapat memilih untuk memperbaiki bug dengan bantuan Project Zero, sendiri, atau tidak sama sekali – dalam hal ini laporan bug dipublikasikan segera.

Setiap laporan bug berisi hampir semua yang bisa dikumpulkan Project Zero tentang kerentanan, mulai dari bagaimana pertama kali ditemukan hingga kode proof-of-concept yang mengeksploitasinya untuk menunjukkan masalah.

Pada 30 Juli, Project Zero telah menerbitkan laporan bug dari 1.585 kerentanan tetap dan 66 yang tidak diperbaiki. 1.411 dari 1.585 diterbitkan dalam waktu 90 hari dan 174 tambahan dikeluarkan dalam masa tenggang 14 hari yang diizinkan Project Zero ketika mereka yakin perusahaan hampir menyelesaikan perbaikan. Hanya dua yang melampaui itu, Spectre & Meltdown, dan task_t, keduanya, ketika dieksploitasi, memungkinkan akses program ke rahasia tertinggi sistem operasi.

Project Zero mengakui bahwa merilis laporan bug sebelum perbaikan agak berbahaya, tetapi itulah intinya: itu membuat perusahaan takut untuk benar-benar memperbaikinya, yang mereka katakan tidak akan dilakukan jika mereka berharap laporan bug tetap tersembunyi.

“Jika Anda berasumsi bahwa hanya vendor dan reporter yang memiliki pengetahuan tentang kerentanan, maka masalahnya dapat diperbaiki tanpa urgensi. Namun, kami semakin memiliki bukti bahwa penyerang menemukan (atau memperoleh) banyak kerentanan yang sama dengan yang dilaporkan oleh peneliti keamanan defensif. Kami tidak dapat mengetahui dengan pasti kapan bug keamanan yang kami laporkan sebelumnya telah ditemukan oleh penyerang, tetapi kami tahu bahwa itu terjadi cukup rutin untuk memasukkan kebijakan pengungkapan kami.

Pada dasarnya, tenggat waktu pengungkapan adalah cara bagi peneliti keamanan untuk menetapkan harapan dan memberikan insentif yang jelas bagi vendor dan proyek sumber terbuka untuk meningkatkan upaya perbaikan kerentanan mereka. Kami mencoba mengkalibrasi kerangka waktu pengungkapan kami untuk menjadi ambisius, adil, dan dapat dicapai secara realistis. ”

Project Zero memiliki garis bukti yang jelas untuk ini. Satu studi menganalisis lebih dari 4.300 kerentanan dan menemukan bahwa 15% hingga 20% kerentanan ditemukan secara independen setidaknya dua kali dalam setahun. Untuk Android, misalnya, 14% kerentanan ditemukan kembali dalam 60 hari dan 20% dalam 90, untuk Chrome ada 13% penemuan kembali dalam 60 hari. Ini menunjukkan bahwa meskipun seorang peneliti keamanan mungkin berada di depan kurva, ada kemungkinan yang masuk akal bahwa apa pun yang mereka temukan akan ditemukan oleh penyerang segera setelah itu.

Tapi bukankah berbahaya menerbitkan laporan bug sebelum tambalan?

“Jawabannya berlawanan dengan intuisi pada awalnya: mengungkapkan sejumlah kecil kerentanan yang tidak diperbaiki tidak secara bermakna meningkatkan atau menurunkan kemampuan penyerang. Pengungkapan 'berdasarkan tenggat waktu' kami memiliki efek jangka pendek netral pada kemampuan penyerang.

Kita tentu tahu bahwa ada kelompok dan individu yang menunggu untuk menggunakan serangan publik untuk merugikan pengguna (seperti mengeksploitasi penulis kit), tetapi kita juga tahu bahwa biaya untuk mengubah laporan kerentanan Project Zero yang khas menjadi serangan dunia nyata yang praktis bukanlah -sepele."

Project Zero tidak menerbitkan panduan hacking panduan langkah demi langkah, mereka mempublikasikan apa yang mereka gambarkan sebagai "hanya satu bagian dari rantai eksploitasi." Secara teori, penyerang akan membutuhkan sumber daya dan keterampilan yang signifikan untuk mengubah kerentanan ini menjadi eksploitasi yang andal, dan Project Zero berpendapat bahwa penyerang yang mampu melakukan ini bisa melakukannya bahkan jika mereka tidak mengekspos bug. Mungkin penyerang terlalu malas untuk memulai sendiri karena seperti studi tahun 2017 menemukan, waktu rata-rata dari kerentanan ke "eksploitasi berfungsi penuh" adalah 22 hari.

Itu hanya satu masalah, itu masalah besar, tetapi sebagian besar perusahaan menekan dalam waktu 90 hari. Kritik kedua yang dimiliki banyak peneliti adalah kebijakan Project Zero mempublikasikan laporan bug setelah patch dikeluarkan, terutama karena patch cenderung tidak sempurna, dan karena kerentanan yang sama mungkin muncul di lokasi lain. Project Zero percaya ini menguntungkan bagi para pembela HAM, memungkinkan mereka untuk lebih memahami kerentanan, dan sedikit konsekuensi bagi para penyerang yang akan mampu merekayasa balik eksploit dari patch.

“Penyerang memiliki insentif yang jelas untuk menghabiskan waktu menganalisis tambalan keamanan untuk mempelajari tentang kerentanan (baik melalui tinjauan kode sumber dan rekayasa balik biner), dan mereka akan dengan cepat menetapkan perincian lengkap bahkan jika vendor dan peneliti berusaha menahan data teknis .

Karena kegunaan informasi tentang kerentanan sangat berbeda untuk para pembela lawan penyerang, kami tidak berharap bahwa para pembela HAM biasanya mampu melakukan kedalaman analisis yang sama dengan para penyerang.

Informasi yang kami rilis biasanya dapat digunakan oleh para pembela HAM untuk segera meningkatkan pertahanan, menguji keakuratan perbaikan bug, dan selalu dapat digunakan untuk membuat keputusan berdasarkan informasi tentang adopsi patch atau mitigasi jangka pendek. "

Terkadang, dalam perang, risiko harus diambil untuk mencapai kesuksesan secara keseluruhan. Dan jangan salah, pertempuran antara peneliti keamanan dan peretas adalah nyata, dengan implikasi serius, kehidupan nyata. Sejauh ini Project Zero telah beroperasi dengan sukses tanpa konsekuensi signifikan dari kebijakan agresif mereka, dan mereka tidak akan ragu melanjutkan dengan cara yang sama kecuali jika hal itu menyebabkan masalah drastis. Semoga itu tidak terjadi.

Pos terkait

Back to top button