Patches zijn al jaren een noodzakelijk kwaad én voer voor felle discussies. ‘Luie leveranciers’ versus ‘aandachtzoekende ontdekkers’ is een negatieve manier om naar patches en 0-days te kijken. Feit is dat Microsoft meer afstemming en geheimhouding wil over zwakke plekken in software.
Microsoft en Google liggen met elkaar overhoop over kwetsbaarheden. Concreet: de twee tech-reuzen zijn het niet eens over de omgang met informatie over kwetsbaarheden. Microsoft pleit al jaren voor een eigen variant van het zogeheten responsible disclosure. Bij ‘verantwoordelijke onthulling’ van bugs en beveiligingsgaten spreken ontdekkers en betrokken ict-leveranciers af dat ze de gevoelige informatie tijdelijk onder de pet houden. Terwijl dat gebeurt, kunnen leveranciers de kwestie onderzoeken, patches ontwikkelen voor hun kwetsbare software en die updates uitrollen naar de uiteindelijke gebruikers.
Het belang van gebruikers
Het tegenovergestelde is het zogeheten full disclosure, waarbij ontdekkers zo snel mogelijk informatie openbaren zodat gebruikers worden geïnformeerd en beschermende maatregelen kunnen nemen. De gedachte is dat kwaadwillenden op eigen houtje ook securitygaten kunnen vinden en die gelijk uitbuiten. Wachten op bevestiging door een ict-leverancier en de ontwikkeling van patches zou cybercriminelen een voorsprong geven.
Microsoft pleit sinds enkele jaren voor een eigen variant: coordinated vulnerability disclosure (CVD). Daarbij wil het niet langer kwetsbaarheden laten melden om die vervolgens stil te houden, maar wil het coördinatie tussen ontdekkers en leveranciers. De softwareproducent spreekt hierbij van een gedeelde verantwoordelijkheid en dus een gedeelde besluitvorming over wanneer en hoe informatie over kwetsbaarheden naar buiten wordt gebracht. Domweg wachten op een patch is niet altijd in het belang van gebruikers en de beveiliging van hun ict-omgevingen.
Tégen responsible disclosure
Google lijkt het daarmee eens te zijn, gezien het feit dat de internetgigant zich in 2010 al duidelijk uitsprak tégen responsible disclosure. Echter, Google hanteert in de praktijk een vorm van full disclosure op een timer. Indien security-onderzoekers van het bedrijf kwetsbaarheden vinden in de producten van derden, dan worden die producenten ingelicht waarna de details na een vaste periode worden geopenbaard. Jaren terug was Google voor zestig dagen, maar het hanteert nu een ‘stille periode’ van negentig dagen.
Dit beleid heeft er nu voor gezorgd dat Google en Microsoft openlijk naar elkaar uithalen. Slechts enkele dagen nadat Microsoft een flinke wijziging aankondigde voor zijn patch-ronde van deze maand is het bedrijf naar buiten gekomen met ‘patch-kritiek’ op concurrent Google. Laatstgenoemde heeft namelijk informatie over een kwetsbaarheid in Windows 8.1 geopenbaard, compleet met proof of concept (PoC)-code die misbruik van het gat mogelijk maakt.
0-day naar buiten gebracht
Bovendien kwam deze openbaarmaking net twee dagen vóór de maandelijkse patch-ronde van Microsoft. Google heeft dus een 0-day naar buiten gebracht: een gat waarbij er nul dagen zitten tussen de onthulling ervan en het uitbrengen van een patch ervoor. Extra ironisch is dat Microsoft net de opzet van zijn maandelijkse Patch Tuesday heeft gewijzigd: het deelt niet langer vooraf informatie over de patches die het uitbrengt. Tenminste, Microsoft deelt die informatie niet langer openbaar. Bedrijven met een Premier Support-contract krijgen nog wel ‘advance notifications’.
De door Google onthulde 0-day heeft dus na twee dagen alsnog een patch gekregen. Nadat Microsoft nog had gevraagd de onthulling uit te stellen. Daarbij was het aanvankelijke verzoek om uitstel tot februari en vervolgens tot op de Patch Tuesday van januari. Google heeft daarop toen gereageerd met de formele mededeling dat zijn disclosure-beleid gelijk is voor alle leveranciers en alle soorten bugs. Uitstel was dus helaas niet mogelijk, kreeg Microsoft te horen.
Prijsschieten?
Maar goed, het gat in kwestie is kort na de onthulling gedicht. Als tenminste elke beheerder gelijk op Patch Tuesday aan de bak is gegaan met de updates die Microsoft uitbrengt. Alleen is hiermee de ruzie tussen Microsoft en Google niet de wereld uit, want Google heeft nog twee andere 0-days onthuld, wederom netjes volgens het eigen negentig dagen-beleid. En wederom compleet met PoC-code beschikbaar.
De ene bug zit in Windows 8.1 en is ook gedicht in de patch-ronde van januari. De andere bug zit in 8.1 én in het veelgebruikte Windows 7, maar is vooralsnog niet gedicht. Deze kwetsbaarheid maakt het voor een aanvaller mogelijk om zich voor te doen als een geautoriseerde gebruiker om dan versleutelde data te ontgrendelen of om juist data te encrypten.
Volgens Microsoft is deze kwetsbaarheid niet direct te gebruiken en moet een kwaadwillende eerst een andere kwetsbaarheid benutten. Aanvallen die gebruikmaken van deze bug zijn nog niet waargenomen, meldt Microsoft. Een patch is wel in de maak en die stond eerst gepland voor januari. Compatibiliteitsproblemen met de patch hebben echter voor uitstel gezorgd, waardoor het nu op stapel staat voor release op 10 februari. Terwijl de patch in ontwikkeling is, roept Microsoft op tot meer steun voor zijn eigen beleid van gecoördineerde onthulling van kwetsbaarheden.
Wat ik interessant zou vinden als aanvulling op dit hele verhaal is de hoe Google in een vergelijkbare situatie met het Android systeem omgaat?
Haalt Google zelf altijd de 60 dagen of eisen zij ook een ander beleid dan dat er gehanteerd wordt door de veiligheidsonderzoekers van een derde partij?
Ik kan me niet helemaal aan de indruk onttrekken dat dit ook een beetje (vergeef me de term) “fabrikantjepesten” van de kant van Google is.