विज्ञापन

Google अजेय है। तीन हफ्तों से भी कम समय में, Google ने विंडोज को प्रभावित करने वाले कुल चार शून्य दिन की कमजोरियों का खुलासा किया, उनमें से दो दिन पहले जब Microsoft पैच जारी करने के लिए तैयार था। Microsoft Google की प्रतिक्रिया से चकित और न्याय नहीं कर रहा था, इस तरह के अन्य मामलों का पालन करने की संभावना है।

क्या Google की उनकी प्रतिस्पर्धा सिखाने का तरीका अधिक कुशल है? और उपयोगकर्ताओं के बारे में क्या? क्या Google की हमारे सर्वोत्तम हित में मनमानी समय सीमा का सख्त पालन है?

Google रिपोर्टिंग Windows कमजोरियाँ क्यों है?

परियोजना शून्य, Google सुरक्षा विश्लेषकों का एक दल शोध कर रहा है शून्य दिन शोषण एक शून्य दिवस भेद्यता क्या है? [MakeUseOf बताते हैं] अधिक पढ़ें 2014 के बाद से। परियोजना की स्थापना एक अंशकालिक अनुसंधान समूह ने कई सॉफ्टवेयर बग की पहचान करने के बाद की थी, जिसमें महत्वपूर्ण भी शामिल था हार्दिक भेद्यता हार्दिक - आप सुरक्षित रहने के लिए क्या कर सकते हैं? अधिक पढ़ें .

में उनके प्रोजेक्ट जीरो की घोषणा, Google ने जोर दिया कि उनकी सर्वोच्च प्राथमिकता अपने स्वयं के उत्पादों को सुरक्षित बनाना है। चूंकि Google किसी वैक्यूम में काम नहीं कर रहा है, इसलिए उनका शोध किसी भी सॉफ़्टवेयर का उपयोग करता है जिसे उनके ग्राहक उपयोग कर रहे हैं।

instagram viewer

अब तक, टीम ने विभिन्न उत्पादों में 200 से अधिक बग की पहचान की है, जिसमें एडोब रीडर, फ्लैश, ओएस एक्स, लिनक्स और विंडोज शामिल हैं। प्रत्येक भेद्यता को केवल सॉफ़्टवेयर विक्रेता को सूचित किया जाता है और 90 दिनों की अनुग्रह अवधि प्राप्त होती है, जिसके बाद इसे सार्वजनिक किया जाता है Google सुरक्षा अनुसंधान मंच.

यह बग 90 दिनों के प्रकटीकरण की समय सीमा के अधीन है। यदि व्यापक रूप से उपलब्ध पैच के बिना 90 दिन बीत जाते हैं, तो बग रिपोर्ट सार्वजनिक रूप से दिखाई देगी।

Microsoft के साथ ऐसा ही हुआ है। चार बार। पहली Windows भेद्यता (अंक # ११ issue) की पहचान 30 सितंबर 2014 को हुई थी और बाद में 29 दिसंबर 2014 को प्रकाशित हुई थी। 11 जनवरी को, ठीक कुछ दिन पहले, जब Microsoft एक फ़िक्स आउट के माध्यम से पुश करने के लिए तैयार था पैच मंगलवार विंडोज अपडेट: वह सब कुछ जो आपको जानना चाहिएक्या विंडोज अपडेट आपके पीसी पर सक्षम है? विंडोज अपडेट आपको नवीनतम सुरक्षा पैच और बग फिक्स के साथ विंडोज, इंटरनेट एक्सप्लोरर और माइक्रोसॉफ्ट ऑफिस को अप-टू-डेट रखकर सुरक्षा कमजोरियों से बचाता है। अधिक पढ़ें , दूसरी भेद्यता (अंक # 123) को सार्वजनिक किया गया था, इस बारे में एक बहस शुरू करते हुए कि क्या Google ने इंतजार नहीं किया है। केवल दिनों के बाद, दो और कमजोरियाँ (अंक # 128 & अंक # 138) सार्वजनिक डेटाबेस पर दिखाई दिया, आगे की स्थिति को बढ़ाते हुए।

हैक

पर्दे के पीछे क्या हुआ?

पहला अंक (# 118) एक महत्वपूर्ण विशेषाधिकार वृद्धि भेद्यता थी, जिसे विंडोज 8.1 को प्रभावित करने के लिए दिखाया गया था। इसके अनुसार हैकर समाचार, यह "एक हैकर सामग्री को संशोधित करने या पीड़ितों के कंप्यूटर को पूरी तरह से संभालने की अनुमति दे सकता है, जिससे लाखों उपयोगकर्ता असुरक्षित हो सकते हैं“. Google ने इस समस्या के बारे में Microsoft के साथ कोई संचार नहीं किया है।

दूसरे अंक (# 123) के लिए, Microsoft ने विस्तार के लिए कहा, और जब Google ने इससे इनकार किया, तो उन्होंने पैच को एक महीने पहले जारी करने के प्रयास किए। ये थे जेम्स फोरशॉ की टिप्पणी:

Microsoft ने पुष्टि की कि वे फरवरी 2015 में इन मुद्दों के लिए सुधार प्रदान करने के लिए लक्ष्य पर हैं। उन्होंने पूछा कि क्या इससे 90 दिन की समय सीमा खत्म हो जाएगी। Microsoft को सूचित किया गया कि सभी विक्रेताओं और बग वर्गों के लिए 90 दिन की समय सीमा निर्धारित है और इसलिए इसे बढ़ाया नहीं जा सकता है। इसके अलावा उन्हें सूचित किया गया था कि इस मुद्दे की 90 दिन की समय सीमा 11 जनवरी 2015 को समाप्त हो रही है।

Microsoft ने जनवरी में अपडेट मंगलवार के साथ दोनों मुद्दों के लिए पैच जारी किए।

तीसरे अंक (# 128) के साथ, Microsoft को संगतता समस्याओं के कारण पैच में देरी करनी पड़ी।

Microsoft ने हमें बताया कि जनवरी पैच के लिए एक फिक्स की योजना बनाई गई थी, लेकिन संगतता मुद्दों के कारण इसे खींचा जाना था। इसलिए अब फरवरी पैच में फिक्स होने की उम्मीद है।

भले ही Microsoft ने Google को सूचित किया कि वे इस मुद्दे पर काम कर रहे हैं, लेकिन कठिनाइयों का सामना करते हुए, Google आगे बढ़ा और भेद्यता को प्रकाशित किया। कोई बातचीत नहीं, कोई दया नहीं।

अंतिम अंक (# 138) के लिए, Microsoft ने इसे ठीक नहीं करने का निर्णय लिया। जेम्स Forshaw निम्नलिखित टिप्पणी जोड़ा:

Microsoft ने निष्कर्ष निकाला है कि यह मुद्दा सुरक्षा बुलेटिन के बार से पूरा नहीं होता है। वे कहते हैं कि इसे हमलावर के हिस्से से बहुत अधिक नियंत्रण की आवश्यकता होगी और वे समूह नीति सेटिंग्स को सुरक्षा सुविधा के रूप में नहीं मानते हैं।

क्या Google का व्यवहार स्वीकार्य है?

Microsoft ऐसा नहीं सोचता। एक पूरी प्रतिक्रिया में, Microsoft सुरक्षा अनुसंधान केंद्र के वरिष्ठ निदेशक क्रिस बेत्ज़ कहते हैं एक बेहतर समन्वित भेद्यता प्रकटीकरण. वह इस बात पर जोर देता है कि Microsoft विश्वास करता है समन्वित भेद्यता प्रकटीकरण (सीवीडी), एक अभ्यास जिसमें शोधकर्ताओं और कंपनियों ने ग्राहकों के लिए जोखिम को कम करने के लिए कमजोरियों पर सहयोग किया।

हाल की घटनाओं के बारे में, बैत्ज़ ने पुष्टि की कि Microsoft ने विशेष रूप से Google को उनके साथ काम करने और विवरणों को वापस लेने के लिए कहा है जब तक कि पैच मंगलवार के दौरान सुधार वितरित नहीं किए गए थे। Google ने अनुरोध को अनदेखा कर दिया।

हालांकि, प्रकटीकरण के लिए Google की घोषणा की गई समय-सीमा का पालन करता है, लेकिन निर्णय ग्राहकों की तरह कम और एक "गेटचा" की तरह महसूस करता है, ग्राहकों के साथ जो परिणाम के रूप में पीड़ित हो सकते हैं।

बैतज़ के अनुसार, सार्वजनिक रूप से भेद्यता के अनुभव का साइबर अपराधियों द्वारा किए गए हमले का अनुभव है, a मुश्किल से देखा जाता है जब मुद्दों को सीवीडी के माध्यम से निजी तौर पर प्रकट किया जाता है और सूचना बनने से पहले पैच कर दिया जाता है जनता। इसके अलावा बेट्ज़ कहते हैं, सभी कमजोरियों को समान नहीं बनाया जाता है, जिसका अर्थ है कि जिस समय के भीतर एक मुद्दा पैच हो जाता है वह इसकी जटिलता पर निर्भर करता है।

लाल रस्सी

सहयोग के लिए उनका आह्वान जोर से और स्पष्ट है और उनके तर्क ठोस हैं। यह प्रतिबिंब कि कोई भी सॉफ्टवेयर सही नहीं है क्योंकि यह जटिल प्रणालियों के साथ काम करने वाले सरल मनुष्यों द्वारा बनाया गया है, प्रिय है। जब वह कहता है कि बैतज़ सिर पर कील ठोकता है:

Google के लिए हमेशा ग्राहकों के लिए सही नहीं है। हम Google से ग्राहकों को हमारे सामूहिक प्राथमिक लक्ष्य की सुरक्षा करने का आग्रह करते हैं।

अन्य दृष्टिकोण यह है कि Google की एक स्थापित नीति है और अपवादों को रास्ता नहीं देना चाहता यह Google जैसी अति आधुनिक कंपनी से आपकी अपेक्षा के अनुरूप नहीं है। इसके अलावा, न केवल भेद्यता को प्रकाशित करना, बल्कि शोषण कोड भी गैर जिम्मेदाराना है, यह देखते हुए कि लाखों उपयोगकर्ता एक ठोस हमले की चपेट में आ सकते हैं।

अगर यह फिर से होता है, तो आप अपने सिस्टम की सुरक्षा के लिए क्या कर सकते हैं?

कोई भी सॉफ्टवेयर कभी भी शून्य दिन के कारनामों से सुरक्षित नहीं होगा। आप सामान्य ज्ञान सुरक्षा स्वच्छता अपनाकर अपनी सुरक्षा बढ़ा सकते हैं। यह वही है जो Microsoft अनुशंसा करता है:

हम ग्राहकों को अपने पास रखने के लिए प्रोत्साहित करते हैं एंटीवायरस सॉफ्टवेयर आपके विंडोज कंप्यूटर के लिए सर्वश्रेष्ठ पीसी सॉफ्टवेयरअपने विंडोज कंप्यूटर के लिए सबसे अच्छा पीसी सॉफ्टवेयर चाहते हैं? हमारी विशाल सूची सभी आवश्यकताओं के लिए सबसे अच्छा और सबसे सुरक्षित कार्यक्रम एकत्र करती है। अधिक पढ़ें आधुनिक, सभी उपलब्ध सुरक्षा अद्यतन स्थापित करें 3 कारण क्यों आप नवीनतम विंडोज सुरक्षा पैच और अपडेट चलना चाहिएविंडोज ऑपरेटिंग सिस्टम को बनाने वाले कोड में सुरक्षा लूप छेद, त्रुटियां, असंगतता, या पुराने सॉफ्टवेयर तत्व शामिल हैं। संक्षेप में, विंडोज सही नहीं है, हम सभी जानते हैं कि। सुरक्षा पैच और अपडेट कमजोरियों को ठीक करते हैं ... अधिक पढ़ें और सक्षम करें फ़ायरवॉल आपके विंडोज कंप्यूटर के लिए सर्वश्रेष्ठ पीसी सॉफ्टवेयरअपने विंडोज कंप्यूटर के लिए सबसे अच्छा पीसी सॉफ्टवेयर चाहते हैं? हमारी विशाल सूची सभी आवश्यकताओं के लिए सबसे अच्छा और सबसे सुरक्षित कार्यक्रम एकत्र करती है। अधिक पढ़ें उनके कंप्यूटर पर।

हमारा निर्णय: Google को Microsoft के साथ सहयोग करना चाहिए

Google अपने उपयोगकर्ताओं के सर्वोत्तम हित में लचीले होने और कार्य करने के बजाय, अपनी मनमानी समय सीमा पर अटक गया। वे कमजोरियों को प्रकट करने के लिए अनुग्रह अवधि बढ़ा सकते थे, विशेष रूप से जब माइक्रोसॉफ्ट ने सूचित किया कि पैच तैयार थे (लगभग)। यदि Google का नेक उद्देश्य इंटरनेट को सुरक्षित बनाना है, तो उन्हें अन्य कंपनियों के साथ सहयोग करने के लिए तैयार होना चाहिए।

इस बीच, Microsoft संभवतः पैच विकसित करने पर अधिक संसाधन फेंक सकता था। 90 दिनों को कुछ लोगों द्वारा पर्याप्त समय सीमा के रूप में माना जाता है। Google के दबाव के कारण, उन्होंने शुरू में अनुमानित तुलना में एक महीने पहले एक पैच आउट किया। यह लगभग ऐसा लगता है कि वे मूल रूप से इस मुद्दे को प्राथमिकता नहीं देते हैं।

आमतौर पर, यदि सॉफ़्टवेयर विक्रेता संकेत देता है कि वे इस मुद्दे पर काम कर रहे हैं, तो Google की प्रोजेक्ट ज़ीरो टीम जैसे शोधकर्ताओं को सहयोग करना चाहिए और अनुग्रह अवधि बढ़ानी चाहिए। जल्द ही रख रहा है भेदी भेद्यता विंडोज उपयोगकर्ता खबरदार: आप एक गंभीर सुरक्षा मुद्दा मिल गया है अधिक पढ़ें हैकर्स का ध्यान आकर्षित करने की तुलना में रहस्य अधिक सुरक्षित है। ग्राहक सुरक्षा किसी भी कंपनी की सर्वोच्च प्राथमिकता नहीं होनी चाहिए?

तुम क्या सोचते हो? एक बेहतर उपाय क्या होता या Google ने आखिरकार क्या सही काम किया?

छवि क्रेडिट: जादूगर वाया शटरस्टॉक, शटरस्टॉक के माध्यम से wk1003mike द्वारा हैक किया गया, मेगा रसेल द्वारा शटरस्टॉक के माध्यम से लाल रस्सी

टीना पिछले एक दशक से उपभोक्ता तकनीक के बारे में लिख रही हैं। वह प्राकृतिक विज्ञान में डॉक्टरेट, जर्मनी से डिप्लोमेट और स्वीडन से एमएससी करती है। उसकी विश्लेषणात्मक पृष्ठभूमि ने उसे मेकओसेफ़ में एक प्रौद्योगिकी पत्रकार के रूप में उत्कृष्टता प्रदान करने में मदद की है, जहां वह अब कीवर्ड अनुसंधान और संचालन का प्रबंधन कर रही है।