»

Pisci Linuxa najhitreje krpajo luknje

Google Project Zero - Raziskovalci iz Googlovega Project Zero ugotavljajo, da je Linux programsko okolje, kjer se najhitreje zakrpajo odkrite ranljivosti. Če to privzamemo kot merilo za varnost operacijskega sistema, Linux odločno prehiti Windows in macOS. Najslabše se je odrezal Oracle, ki je v povprečju potreboval 109 dni, da je zakrpal odkrite in prijavljene hrošče. Linuxu, ki resnično odstopa, sledita Mozilla in Google.

V okviru Projecta Zero, ki sodi pod Googlovo okrilje, strokovnjaki iščejo ranljivosti v pogosti programski opremi in nanje proizvajalca odgovorno opozorijo. To pomeni, da mu dajo na voljo 90 dni, da luknje zakrpa. Če se ne zgodi nič, začne teči dodatni 14-dnevni rok, nato pa odkrito ranljivost javno priobčijo na spletu. V takem primeru lahko ranljivost začno izkoriščati tudi zlonamerni igralci, kar predstavlja velik in skrajni pritisk na proizvajalca, da luknjo vendarle odstrani.

Gogole Project Zero je v letih 2019-2021 odkril 376 ranljivosti. Od teh jih je bilo 93,4 odstotka...

9 komentarjev

Kako deluje orodje ForcedEntry podjetja NSO Group

Google Project Zero - Googlova skupina raziskovalcev kibernetske varnosti, Project Zero, je ponudila zanimiv vpogled v programje ForcedEntry, s katerim je zloglasno izraelsko podjetje NSO Group vdiralo v iphone in nanje nameščalo vohunsko zlobno kodo Pegasus.

Zanka okoli vratu izraelske firme za razvoj vohunskega programja, NSO Group, se v zadnjem času vztrajno zateguje, saj so jo na piko dobila tako velika podjetja kakor vlade zahodnih držav. Toda še vedno gre za izjemno nevarnega akterja na tržišču vohunske zlobne kode in kako domiselna so njihova orodja za vdiranje v naprave, strokovnjaki odkrivajo šele sedaj. Googlov laboratorij za raziskovanje programskih ranljivosti Project Zero se je lotil podrobnega vpogleda v orodje ForcedEntry, ki omogoča samodejno vdiranje v naprave brez uporabnikove interakcije (zero-click). Primerek kode so jim poslali iz kanadskega laboratorija Citizen Lab, kjer so ga sicer pridobili s telefona savdskega aktivista.

ForcedEntry je sicer serija aplikacij NSO Group za...

7 komentarjev

Google odkril ranljivost v Windows in jo (pre)hitro pokazal

Slo-Tech - Google je pred tednom dni sporočil, da je v Windows odkril ranljivost (CVE-2020-17087), ki jo hekerji že aktivno izkoriščajo, zato je Microsoftu dal na razpolago le sedem dni za zakrpanje. Microsoft tako kratkega roka ni izpolnil, zato je Google v v petek zvečer razkril podrobnosti ranljivosti. Ta je nezakrpana (0-day), aktivno napadana in sedaj povsem razkrita. Microsoft bo popravek izdal ob naslednji priložnosti, to je drugi torek v mesecu (10. novembra) na tako imenovani Patch Tuesday.

Googlov Project Zero je namenjen iskanju ranljivosti v najrazličnejši programski opremi več proizvajalcev. O odkritih ranljivostih obvestijo proizvajalca, ki ima potem 90 dni časa, da izda popravek. Google po izdaji popravka ali najpozneje v 90 dneh javnosti razkrije podrobnosti ranljivosti, s čimer se poskrbi, da imajo proizvajalci motivacijo v doglednem času izdelati popravek. Roki pa se spremenijo, ko je ranljivost že aktivno zlorabljena. V tem primeru Google počaka le sedem dni, kar v...

22 komentarjev

Google spet razkril nezkrpano ranljivost v Windows

Slo-Tech - Google je ponovno ujezil Microsoft, saj je spet razkril podrobnosti o varnostni luknji, preden je Microsoft pripravil in izdal popravek zanjo. To se načeloma ne počne, a če proizvajalec luknjičaste programske opreme ne reagira na opozorila o luknji, je to sprejemljiva poteza. Google in Microsoft sta se že pred dvema letoma pregovarjala, ali je 90 dni dovolj dolgo obdobje, da bi proizvajalec moral pokrpati luknje. Google vztraja pri brezpogojnem spoštovanju tega lastnega roka, zato njegovi raziskovalci po 90 dneh od obvestila proizvajalcu luknjo razgrnejo javnosti, medtem ko Microsoft poudarja, da stvari niso črno-bele. Pred tremi meseci se je zgodilo isto in spet je Microsoft tarnal, da se Google obnaša grdo.

To pot se je zgodilo podobno. Google je razkril...

9 komentarjev

Google rahlo omilil politiko razkrivanja ranljivosti

Google - Google je v novi različici politike razkrivanja ranljivosti nekoliko omilil časovne roke, ki so v začetku tega leta povzročili veliko hude krvi. V okviru Projecta Zero je namreč Google našel ranljivosti v Microsoftovi in Applovi programski opremi, o čemer je proizvajalca obvestil. Ko v 90 dneh popravkov ni bilo, je Google v skladu s svojo politiko podrobnosti ranljivosti javno razkril, kar je hudo razburilo Microsoft in Apple. Microsoft je na primer imel popravek že bolj ali manj končan in je čakal še zadnje faze testiranja pred izdajo, kar so Googlu sporočilu, a so bili v Mountain Viewu neomajni; 90 dni je dovolj za vsakogar.

Sedaj so pri Googlu vendarle nekoliko omilili svojo politiko. Še vedno vztrajajo pri 90-dnevnem roku za razkrivanje ranljivosti, kar...

4 komentarji

Google Zero bo iskal hrošče tudi v tujih programih

Chris Evans nabira ekipo za Project Zero.

Wired News - Projekti nagrajevanja odkriteljev ranljivosti v programski opremi (bug bounties) so med podjetji že nekaj običajnega. Ima ga tudi Google, kjer so v štirih letih podelili že precej nagrad. Sedaj pa bo Google lovljenje hroščev dvignil na novo dimenzijo, saj se bodo lotili tudi tuje programske opreme in to kar v lastni hiši.

Zagnali so Project Zero, na katerem bodo zaposlili največje strokovnjake za iskanje ranljivosti in lovljenje hroščev. Ti ne bodo imeli...

15 komentarjev