Uživatelé jako rukojmí: Google dá Microsoftu jen sedm dnů na opravu chyb

aktualizováno 
Vývojář firmy Google zveřejnil chybu Microsoftu dřív, než je obvyklé. Byl dlouhodobě nespokojen s tím, jak pomalu Microsoft chyby opravuje. Tím zároveň dal hackerům návod, jak Windows napadnout. Google uvedl, že sedm dnů od nahlášení je dostatek, ale námi oslovený odborník tak docela nesouhlasí.

Tarvis Ormandy, bezpečnostní odborník ze společnosti Google | foto: Tavise Ormandy

Tavis Ormandy patří mezi známé bezpečnostní vývojáře společnosti Google. I proto mělo jeho rozhodnutí zveřejnit návod na obejití zabezpečení Windows  (tzv. exploit) takový ohlas. Hledání chyb ve vlastním i cizím softwaru je přitom Ormandyho každodenní práce.

Pokud on, nebo jeho kolegové najdou chybu v cizím softwaru, zdokumentují ji a odešlou autorovi daného softwaru. Nepsaný etický kodex pak říká, že by měli počkat alespoň 30 dní, než tuto chybu kdekoli zveřejní (někdo dokonce mluví o 60 dnech). Provozovatel má tak možnost chybu opravit dříve, než se k ní dostanou tisíce hackerů a napáchají jejím prostřednictvím škody u konkrétních uživatelů.

Ukázka z kódu exploitu zveřejněného 2. června 2013 (Tavise Ormandy)

Ukázka z kódu exploitu zveřejněného 2. června 2013 (Tavise Ormandy), kód je určený pro 32bitové Windows NT a vyšší.

Jenže Ormandyho už nebavilo čekat se zveřejněním tak dlouho. Publikováním "exploitu" na fóru dal hackerům z celého světa návod, jak narušit bezpečnost operačního systému Windows. A programátorům v Microsoftu dal silnou motivaci k tomu, aby si s opravou chyby pospíšili. Místo 30 dnů od něj dostali "náskok" pouze sedm dnů. To by podle něj mělo být víc než dost.

Dlouhodobě pomalé opravovaní chyb

Problém se přitom neobjevil jen tak odnikud. Ormandy v minulosti kritizoval Microsoft za to, že mu trvá dlouho opravit chyby, které on a jeho kolegové hlásí. Na hlemýždí záplatovaní produktů Microsoftu si stěžují i další. "Ormandy navíc nedělá nic zvlášť zákeřného," domnívá se Julie Bortová, redaktorka periodika Business Insider. "Tím, že exploit zveřejnil, jej ukázal zároveň zlým i hodným hackerům, a přispěl tak k jeho rychlejší opravě."

Názor odborníka: záleží na závažnosti chyby

Na otázky ohledně odhalování chyb nám v krátkém rozhovoru odpověděl Vitalij Kamluk, Chief Malware Expert z Kaspersky Lab.

Jak vnímáte oznámení Googlu o zkrácené lhůtě sedmi dní?
Podle mého názoru jde o ukázku eskalace dlohodobě napjatějších vztahů mezi oběma společnostmi. Microsoft rozhodně potřebuje více času na pořádné otestování záplat. Mají tolik různých produktů a u svých záplat musejí zajistit dostatečné otestování jejich kvality (quallity assurance).

A také musejí brát ohled na některé služby, které na jejich platformách závisejí. Takže rozumím tomu, že Microsoftu trvá déle, než vydá záplatu. To samozřejmě není příjemné pro profesionály v bezpečnostní sféře. Často jde o čas. Mnoho lidí se zabývá stejnou oblastí a každou chvíli může někdo odhalit stejnou zranitelnost a využít ji. Rozumím zkrátka oběma stranám. Ale důležítá otázka je, co je lepší pro uživatele.

Máte pocit, že časnější uveřejnění zranitelnosti může ohrozit uživatele?
Myslím, že je potřeba řídit se typem konkrétní nalezené chyby. Některé jsou kritické a extrémně nebezpečné, a ty musejí být opraveny okamžitě. Tam by Microsoft mohl trochu přidat a tyto záplaty zpřístupnit rychle. Na jiné, méně důležité záplaty by si měli nechat hodně času.

Ale pak by byl krok Googlu celkem rozumný. Sedm dnů na kritické záplaty a u ostatních to není tak podstatné.
Dává to smysl, ale důležité je, aby se rozlišovalo mezi typem chyb. Kdyby se z toho stalo pravidlo platné pro všechny typy chyb, byl by to problém. Je to určitá evoluce. Uvidíme, jak se systém přizpůsobí tomuto novému postupu.

Co děláte vy konkrétně, když najdete zranitelnost v nějakém produktu třetí strany?
Chyby hlásíme Microsoftu i dalším a nikdy tyto chyby nezveřejňujeme ani nepublikujeme. Pouze se snažíme pomoci zlepšit operační systém, který naši zákazníci používají. Nežádáme žádnou slávu nebo uznání za to, že jsme chybu našli. Komunikace je soukromá.

Google se svého inženýra zastal a potvrdil, že zrychlený kolotoč nahlašování a zveřejňováni chyb v cizím systému schvaluje: "Toto není ojedinělý incident, naši inženýři objevují důležité chyby a jsou svědky jejich veřejného zneužívání. Vždycky tyto chyby nahlásíme výrobcům a spolupracujeme s nimi na opravě," píšou na blogu bezpečnostní inženýři z Googlu. "Naše dlouhodobá politika je, že firmy by měly chybu opravit do 60 dnů. Na základě našich zkušeností se nicméně domníváme, že u chyb, které jsou již aktivně zneužívány, je potřeba reagovat do sedmi dnů. A to proto, že každý den, kdy není chyba opravena, se kvůli ní stanou obětí další a další počítače."

"Víme, že sedm dní je dost přísný limit a někteří výrobci během týdne nestihnou opravit svůj produkt," uznávají bezpečnostní odborníci z Google. "Ale měla by to být dostatečná časová rezerva na to, aby firma alespoň informovala veřejnost a doporučila dočasné řešení, například nevyužívání určité služby."

Google je podle nich připraven jednat podle stejného standardu, a svoje vlastní aktivně využívané chyby do týdne opravovat.

Autor:
 

Nejčtenější

Unikla hesla rekordních 773 milionů uživatelů. Najdete tam to svoje?

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

Více než miliarda unikátních kombinací e-mailu a hesla unikla na web v zatím rekordní databázi přístupových údajů....

Nájemný vrah doplatil na svůj koníček, udaly jej chytré sportovní hodinky

Mark Fellows na snímku z desetikilometrového závodu v Manchesteru v roce 2015

Britský běžec a cyklista Mark Fellows byl odsouzen k doživotnímu trestu za dvojnásobnou vraždu. K jeho odhalení a...

Čeští vývojáři vylepšili vláček pro koleje z IKEA. Uhání až 90 cm/s

Intelino tým

Vypadá jako obyčejný vláček, ale můžete ho ovládat přes aplikaci v mobilu nebo jen pokládáním barevných terčíků na...

Tito lidé neexistují. Počítač si je vymyslel, napodobí rasu i vlasy

Fotografie neexistujících celebrit generované neuronovou sítí Nvidia na základě...

Podívejte se na fotky lidí, které jste nikdy nepotkali a nepotkáte. Počítač si je totiž vymyslel. Generativní...

SpaceX začíná zkoušky „superrakety“. Bude se lesknout jako zrcadlo

Stavba pokusné rakety konceptu Starship na raketodromu SpaceX v jižním Texasu.

Fanouškům kosmonautiky přichystal šéf společnosti SpaceX Elon Musk na přelomu roku nečekaný dárek: nové plány na stavbu...

Další z rubriky

Těla byla nahá, v šatech odešli povstalci. Následky havárie letu OK-584

Letoun DC-3 "Dakota" v barvách ČSA na ruzyňském letišti

Trosky letu OK-584 jsou rozesety na úpatí řeckého pohoří Taygetos. Na místo havárie se z ČSA vydává Josef Hubáček a...

OBRAZEM: Kluzák porazil „tryskáče“. Československá letadla století

Albatros a Delfin

Součástí projektu Československá křídla 1918 - 2018 byla mimo jiné anketa Nejpopulárnější československé letadlo...

Fúzní elektrárnu budeme mít do pěti let, chlubí se firma

Pohled na část experimentálnho fúzního zařízení C2-U společnosti TAE. Má velmi...

Společnost TAE, dříve známá jako Tri Alpha Energy, během příštích pěti let začne na trhu nabízet fúzní zařízení na...

Najdete na iDNES.cz