Friday, February 13, 2015

Feedback and data-driven updates to Google’s disclosure policy

Posted by Chris Evans and Ben Hawkes, Project Zero; Heacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Adkins, Matt Moore and Michal Zalewski, Google Security; Gerhard Eschelbeck, Vice President, Google Security

Disclosure deadlines have long been an industry standard practice. They improve end-user security by getting security patches to users faster. As noted in CERT’s 45-day disclosure policy, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y also “balance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public to be informed of security vulnerabilities with vendors' need for time to respond effectively”. Yahoo!’s 90-day policy notes that “Time is of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 essence when we discover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se types of issues: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 more quickly we address cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 less harm an attack can cause”. ZDI’s 120-day policy notes that releasing vulnerability details can “enable cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive community to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user”.

Deadlines also acknowledge an uncomfortable fact that is alluded to by some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above policies: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offensive security community invests considerably more into vulnerability research than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive community. Therefore, when we find a vulnerability in a high profile target, it is often already known by advanced and stealthy actors.

Project Zero has adhered to a 90-day disclosure deadline. Now we are applying this approach for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of Google as well. We notify vendors of vulnerabilities immediately, with details shared in public with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive community after 90 days, or sooner if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor releases a fix. We’ve chosen a middle-of-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-road deadline timeline and feel it’s reasonably calibrated for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current state of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry.

To see how things are going, we crunched some data on Project Zero’s disclosures to date. For example, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Adobe Flash team probably has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 largest install base and number of build combinations of any of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products we’ve researched so far. To date, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have fixed 37 Project Zero vulnerabilities (or 100%) within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90-day deadline. More generally, of 154 Project Zero bugs fixed so far, 85% were fixed within 90 days. Restrict this to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 73 issues filed and fixed after Oct 1st, 2014, and 95% were fixed within 90 days. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, recent well-discussed deadline misses were typically fixed very quickly after 90 days. Looking ahead, we’re not going to have any deadline misses for at least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of February.

Deadlines appear to be working to improve patch times and end user security -- especially when enforced consistently.

We’ve studied cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 above data and taken on board some great debate and external feedback around some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 corner cases for disclosure deadlines. We have improved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following ways:

  • Weekends and holidays. If a deadline is due to expire on a weekend or US public holiday, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deadline will be moved to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next normal work day.
  • Grace period. We now have a 14-day grace period. If a 90-day deadline will expire but a vendor lets us know before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deadline that a patch is scheduled for release on a specific day within 14 days following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deadline, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public disclosure will be delayed until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 availability of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patch. Public disclosure of an unpatched issue now only occurs if a deadline will be significantly missed (2 weeks+).
  • Assignment of CVEs. CVEs are an industry standard for uniquely identifying vulnerabilities. To avoid confusion, it’s important that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first public mention of a vulnerability should include a CVE. For vulnerabilities that go past deadline, we’ll ensure that a CVE has been pre-assigned.

As always, we reserve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right to bring deadlines forwards or backwards based on extreme circumstances. We remain committed to treating all vendors strictly equally. Google expects to be held to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same standard; in fact, Project Zero has bugs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pipeline for Google products (Chrome and Android) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are subject to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same deadline policy.

Putting everything togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, we believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 policy updates are still strongly in line with our desire to improve industry response times to security bugs, but will result in softer landings for bugs marginally over deadline. Finally, we’d like to call on all researchers to adopt disclosure deadlines in some form, and feel free to use our policy verbatim if you find our data and reasoning compelling. We’re excited by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 early results that disclosure deadlines are delivering -- and with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 help of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 broader community, we can achieve even more.

No comments:

Post a Comment