На прошлой неделе команда исследователей-безопасников Google Project Zero об изменениях в процедуре раскрытия информации об уязвимостях. Ранее, еще в 2021 году, Project Zero приняла существующую модель раскрытия информации: поставщикам ПО, в котором была обнаружена уязвимость, давалось 90 дней на выпуск патча, плюс 30 дней отводилось на распространение заплатки клиентам и партнерам. Теперь к этой процедуре добавился еще один пункт: через неделю после уведомления вендора о проблеме, Google Project Zero будет публично раскрывать информацию о том, что уязвимость в определенном продукте была обнаружена.
Прежде чем анализировать это нововведение, стоит отметить, что общепринятых норм по раскрытию информации об уязвимостях не существует. Исследователи компании Google таким образом пытаются отчасти навязать свое видение данного процесса сообществу. Достаточно давно и широко применяемое «правило 90 дней» призвано мотивировать разработчиков оперативно закрывать уязвимости, которые иначе могут оставаться непропатченными многие годы. Но зачастую такой дедлайн вызывает сопротивление у вендоров, и в некоторых случаях оно может быть обосновано: определенные уязвимости в принципе не могут быть закрыты, например в уже выпущенных устройствах. Цель нового правила о раскрытии данных через неделю призвана ускорить не разработку патча, а его внедрение пользователями и организациями.
В Google Project Zero и раньше предусматривали возможность раннего раскрытия информации — через семь дней после уведомления разработчика. Это происходит в случае, если обнаруженная уязвимость уже активно эксплуатируется. В отличие от этой ситуации, свежее нововведение будет применяться во всех случаях. Через неделю после уведомления вендора Google Project Zero планирует публично раскрывать самую базовую информацию: имя компании-разработчика, название продукта, в котором обнаружена уязвимость, а также дату, когда заканчивается 90-дневный срок для выпуска патча.
По мнению исследователей в Google, такой «предварительный анонс» поможет клиентам и партнерам разработчика ПО подготовиться к выпуску патча. Главной целью нового правила является сокращение разрыва между выпуском патча и его применением у конечного пользователя. Например, выпуск патча в опенсорсном проекте не гарантирует его скорейшее появление у пользователей — разработчики дистрибутивов, в которые включен данный софт, должны обеспечить доставку обновления. Никаких технических деталей и вообще информации, которая может намекнуть потенциальным злоумышленникам о том, где именно найдена проблема, распространяться при этом не будет.
Новое правило Google Project Zero пока считается экспериментальным. На прошлой неделе было опубликовано исследование, указывающее на то, что подобная пренотификация действительно имеет смысл, хотя бы для серьезных уязвимостей. Компания GreyNoise случаи резкого роста попыток взлома корпоративной инфраструктуры. Из 216 случаев этого скачка активности 50% происходило за три недели, а 80% — за шесть недель до того, как обнародуется информация о новой уязвимости. Причем уязвимость обнаруживается именно в тех продуктах, попытки взлома которых усиливались до сообщения о проблеме.
По мнению специалистов GreyNoise, это не значит, что кто-то регулярно сливает информацию о неопубликованных проблемах. В большинстве случаев подготовительная работа атакующих использовала уже известные проблемы в ПО и сервисах. Но даже сама информация о том, что в определенном софте «что-то обнаружено» позволяет организаторам атаки подготовиться для максимально оперативной эксплуатации новой проблемы, когда ее эксплуатация станет возможной. Вывод Greynoise имеет нечто общее с позицией Google Project Zero: предварительное уведомление об обнаруженной уязвимости, равно как и данные аналитики, указывающие на повышенный интерес атакующих, могут помочь администраторам корпоративных сетей заранее принять меры для защиты своей инфраструктуры. Можно уверенно говорить о том, что организаторы атак такую предварительную работу уже активно проводят.
Что еще произошло
Исследователи «Лаборатории Касперского» прошлогоднюю кибератаку на российские IT-компании.
Специалисты компании Group-IB о необычном случае атаки на инфраструктуру банка. В корпоративную сеть был «подкинут» миникомпьютер Raspberry Pi, с помощью которого, скорее всего, планировалось скомпрометировать работу банкоматов и сделать возможной кражу наличных. Атака с физическим проникновением в инфраструктуру, впрочем, была обнаружена еще до того, как банку был нанесен ущерб.
В дополнение к основной теме дайджеста имеется свежий безалаберного отношения к безопасности. Поставщики «подключенных к сети» секс-игрушек Lovense совершили массу ошибок в соответствующем онлайн-сервисе, так что для любого пользователя можно было не только узнать e-mail регистрации, но и перехватить управление учетной записью. Проблему не могли починить два года, но оперативно исправили после того, как исследователь частично обнародовал информацию.
Исследователи компании Bitdefender критическую уязвимость в сетевых видеокамерах Dahua Hero C1.
Компания OpenAI возможность индексации логов общения с помощником ChatGPT поисковыми сервисами. Это опциональная фича, смысл которой многие пользователи, похоже, не до конца понимали. В результате в поисковиках при помощи нехитрого запроса находились сотни логов общения, зачастую содержащие крайне чувствительную информацию.
