گوگل در پروژه صفر (Project Zero) دائما به دنبال بخشهای آسیبپذیر نرمافزارهای سیستمها و سرویسهای مختلف میگردد و به محض کشف آنها را به شرکتهای سازندهشان گزارش میکند. البته در این میان چندان هم تولیدکننده نرم افزار را راحت نمیگذارد. در صورتی که شرکت مسئول در خصوص باگ کشف شده طی ۹۰ روز آن را رفع نکرده و پچ امنیتی لازم را منتشر نکند، تیم زیرو اطلاعات کامل آن حفره امنیتی را به صورت آنلاین منتشر میکنند.
حالا مایکروسافت قربانی شیوه کار این پروژه گوگلی شده است. یکی از محققان پروژه صفر گوگل باگی را در ویندوز ۸.۱ یافته بود که به کاربران سطح پایین تر اجازه دسترسی همتراز مدیران سیستم میداد. و آنها به اطلاعات حساسی از قبیل عملکردهای سرور دست پیدا میکردند. مواردی که به طور معمول اصلا اجازه نزدیکی به آنها را هم ندارند. اما مایکروسافت پس از ۹۰ روز این حفره امنیتی را همچنان باز گذارده و به سراغ حل مشکل نرفته است. لذا چند روز پیش تیم پروژه صفر طبق برنامه زمانبندی مرسوم خود اطلاعات این باگ را منتشر کرد.
مایکروسافت هم تنها به همین عکسالعمل اکتفا کرده که بگوید: «حمله با استفاده از این اطلاعات به یک دسترسی مجاز در سیستم نیاز دارد و باید به صورت محلی و با حضور فیزیکی روی سیستم اعمال شود.» در حالی که این موضوع میزان آسیب را محدود میکند، بدان معنی نیست که چنین حفره امنیتی کاملا بی خطر است. یک کارمند عصبانی یا اخراجی با دسترسی متوسط در سیستم که اندکی هم توانایی برنامه نویسی دارد با استفاده از این باگ میتواند سیستم یک شرکت را به کلی مختل کرده یا اطلاعات حساسی را سرقت کند. گوگل میگوید: «برای شفافسازی باید گفت که اطلاعات لازم درباره این باگ روز ۳۰ سپتامبر ۲۰۱۴ در اختیار مایکروسافت قرار گرفته و رسما سیاست کاری تیم زیرو به آنها اعلام شد. اما آنها هیچ کاری نکردند و ما طبق برنامه اطلاعات را منتشر کردیم.»
البته بسیاری از تحلیلگران و ناظران بر این عقیدهاند که درصورتی گوگل در خصوص برنامه زمانبندی این پروژه منعطفتر عمل نکند، پروژه صفر بیش از فایدهاش میتواند ضرر داشته و حتی خطرناک باشد. زیرا برخی باگهای مهم میتوانند آسیبهای امنیتی شدیدی را به دنبال داشته باشند. البته گروهی هم میگویند مایکروسافت زمان بسیار زیادی را برای حل مشکل در اختیار داشته است… و گوگل در این برنامهاش زمان فراوان و منصفانهای را در اختیار تولیدکنندگان نرمافزار گذارده است تا علاوه بر رفع مشکل، فرآیندهای مدیریت آسیب و باگ را در شرکت خود بررسی و بازسازی کنند.
البته مایکروسافت مدعی است که «در حال کار بر روی این آپدیت امنیتی هستند تا مشکل Elevation of Privilege را حل کنند.»
مایکروسافت:
ما مشغول کار برای عرضه یک بهروزرسانی امنیتی هستنیم تا مشکل Elevation of Privilege را حل کند. و لازم است اشاره کنیم که مهاجمان باید به طور بالقوه دسترسی لازم را در سیستم داشته باشند و برای بهرهگیری از این باگ باید ابتدا یک اکانت با دسترسی مجاز در سیستم در اختیار داشته و همچنین به صورت فیزیکی هم آن سیستم در اختیارشان باشد. ما به مشتریانمان اطمینان میدهیم که در صورت به روز نگهداشتن آنتی ویروس و نصب آپدیتهای امنیتی لازم روی کامپیوترشان و روشن نگه داشتن دیواره آتش، دیگر نگرانی امنیتی نخواهند داشت.
گوگل:
پس از انتشار این کد، صحبتهایی درباره تمام درست و اخطار دهنده ما با مایکروسافت قبل از این کار به میان آمد. برای همین لازم است به نکاتی اشاره کنیم.
در ابتدا بگذارید موضوع را کاملا روشن کنیم. ایراد ahcache.sys/NtApphelpCacheControl روز ۳۰ سپتامبر ۲۰۱۴ به مایکروسافت گزارش شده بود. همچنین در گزارش ارسالی به مایکروسافت درج شده بود که آنها فرصتی ۹۰ روزه برای حل مشکل دارند و پس از آن اطلاعات منتشر خواهد شد.
مدت زمان تعیین شده در پروژه صفر ما از همان ابتدای شکل گیری در اوایل سال ۲۰۱۴ طبق آیین نامه گروه تعیین گردیده است. این موضوع نتیجه سالها پیگیری صبورانه و مراقبتهای امنیتی در سطح تجاری و بحثهای فراوان در زمینه زمان لازم برای حل مشکلات امنیتی است. متخصصان امنیتی سراسر دنیا نیز طی ۱۳ سال گذشته از همین برنامه زمانی برای فعالیتهایشان پیروی کرده اند. و ما فکر میکنیم برنامه افشای مان لازم است که از قوانین حاکم بر اکوسیستم امنیت اطلاعات پیروی کند.
حالا مایکروسافت قربانی شیوه کار این پروژه گوگلی شده است. یکی از محققان پروژه صفر گوگل باگی را در ویندوز ۸.۱ یافته بود که به کاربران سطح پایین تر اجازه دسترسی همتراز مدیران سیستم میداد. و آنها به اطلاعات حساسی از قبیل عملکردهای سرور دست پیدا میکردند. مواردی که به طور معمول اصلا اجازه نزدیکی به آنها را هم ندارند. اما مایکروسافت پس از ۹۰ روز این حفره امنیتی را همچنان باز گذارده و به سراغ حل مشکل نرفته است. لذا چند روز پیش تیم پروژه صفر طبق برنامه زمانبندی مرسوم خود اطلاعات این باگ را منتشر کرد.
مایکروسافت هم تنها به همین عکسالعمل اکتفا کرده که بگوید: «حمله با استفاده از این اطلاعات به یک دسترسی مجاز در سیستم نیاز دارد و باید به صورت محلی و با حضور فیزیکی روی سیستم اعمال شود.» در حالی که این موضوع میزان آسیب را محدود میکند، بدان معنی نیست که چنین حفره امنیتی کاملا بی خطر است. یک کارمند عصبانی یا اخراجی با دسترسی متوسط در سیستم که اندکی هم توانایی برنامه نویسی دارد با استفاده از این باگ میتواند سیستم یک شرکت را به کلی مختل کرده یا اطلاعات حساسی را سرقت کند. گوگل میگوید: «برای شفافسازی باید گفت که اطلاعات لازم درباره این باگ روز ۳۰ سپتامبر ۲۰۱۴ در اختیار مایکروسافت قرار گرفته و رسما سیاست کاری تیم زیرو به آنها اعلام شد. اما آنها هیچ کاری نکردند و ما طبق برنامه اطلاعات را منتشر کردیم.»
البته بسیاری از تحلیلگران و ناظران بر این عقیدهاند که درصورتی گوگل در خصوص برنامه زمانبندی این پروژه منعطفتر عمل نکند، پروژه صفر بیش از فایدهاش میتواند ضرر داشته و حتی خطرناک باشد. زیرا برخی باگهای مهم میتوانند آسیبهای امنیتی شدیدی را به دنبال داشته باشند. البته گروهی هم میگویند مایکروسافت زمان بسیار زیادی را برای حل مشکل در اختیار داشته است… و گوگل در این برنامهاش زمان فراوان و منصفانهای را در اختیار تولیدکنندگان نرمافزار گذارده است تا علاوه بر رفع مشکل، فرآیندهای مدیریت آسیب و باگ را در شرکت خود بررسی و بازسازی کنند.
البته مایکروسافت مدعی است که «در حال کار بر روی این آپدیت امنیتی هستند تا مشکل Elevation of Privilege را حل کنند.»
مایکروسافت:
ما مشغول کار برای عرضه یک بهروزرسانی امنیتی هستنیم تا مشکل Elevation of Privilege را حل کند. و لازم است اشاره کنیم که مهاجمان باید به طور بالقوه دسترسی لازم را در سیستم داشته باشند و برای بهرهگیری از این باگ باید ابتدا یک اکانت با دسترسی مجاز در سیستم در اختیار داشته و همچنین به صورت فیزیکی هم آن سیستم در اختیارشان باشد. ما به مشتریانمان اطمینان میدهیم که در صورت به روز نگهداشتن آنتی ویروس و نصب آپدیتهای امنیتی لازم روی کامپیوترشان و روشن نگه داشتن دیواره آتش، دیگر نگرانی امنیتی نخواهند داشت.
گوگل:
پس از انتشار این کد، صحبتهایی درباره تمام درست و اخطار دهنده ما با مایکروسافت قبل از این کار به میان آمد. برای همین لازم است به نکاتی اشاره کنیم.
در ابتدا بگذارید موضوع را کاملا روشن کنیم. ایراد ahcache.sys/NtApphelpCacheControl روز ۳۰ سپتامبر ۲۰۱۴ به مایکروسافت گزارش شده بود. همچنین در گزارش ارسالی به مایکروسافت درج شده بود که آنها فرصتی ۹۰ روزه برای حل مشکل دارند و پس از آن اطلاعات منتشر خواهد شد.
مدت زمان تعیین شده در پروژه صفر ما از همان ابتدای شکل گیری در اوایل سال ۲۰۱۴ طبق آیین نامه گروه تعیین گردیده است. این موضوع نتیجه سالها پیگیری صبورانه و مراقبتهای امنیتی در سطح تجاری و بحثهای فراوان در زمینه زمان لازم برای حل مشکلات امنیتی است. متخصصان امنیتی سراسر دنیا نیز طی ۱۳ سال گذشته از همین برنامه زمانی برای فعالیتهایشان پیروی کرده اند. و ما فکر میکنیم برنامه افشای مان لازم است که از قوانین حاکم بر اکوسیستم امنیت اطلاعات پیروی کند.
پاسخ بدهید