Megmakacsolta magát a Google

A Google ismét bizonyította, hogy egy perccel sem lett türelmesebb, és ha eljön az ideje, akkor könyörtelenül nyilvánosságra hozza a támadókat is segítő felfedezéseinek részleteit.
 

A Google biztonsági csapata, a Project Zero tavaly közölte, hogy 90 napos periódusban kezeli az általa feltárt sebezhetőségeket. Ez azt jelenti, hogy amikor a kutatók felfedeznek egy biztonsági rést, akkor azonnal értesítik az adott gyártót, fejlesztőt, és rögtön elindul a visszaszámlálás. Ezt követően 90 nap áll rendelkezésre arra, hogy a feltárt sérülékenységet az illetékesek megszüntessék. Amennyiben ennyi idő alatt nem sikerül elhárítani a problémát, akkor a Google nyilvánosságra hozza a hiba technikai részleteit, hogy alternatív kockázatcsökkentő intézkedéseket lehessen foganatosítani. Így például fel lehessen készíteni az exploitok felderítésére alkalmas biztonsági szoftvereket, szükség esetén korlátozni lehessen a sebezhető szoftver használatát stb.
 
Tavaly év végén a Google irányelveit részben átvette a Yahoo is, hiszen jelezte, hogy a nagy riválisához hasonlóan 90 napos haladékot ad a biztonsági kutatói által kimutatott sérülékenységek orvoslására. Ezzel pedig nagyon úgy fest, hogy a biztonsági szakma elmozdult egy olyan irányba, amelynek legalább annyi ellenzője van, mint amennyi támogatója.
 
Nagy a szigor
 
"A jól képzett támadók mindig felfedeznek és kihasználnak nulladik napi sérülékenységeket. Nincs olyan rendszer vagy platform, ami áthatolhatatlan lenne számukra. Pontosan tisztában vagyunk azzal, hogy egy olyan biztonsági ökoszisztémára van szükség, amellyel biztosítható, hogy a lehető legkevesebb ember eshessen áldozatául az ilyesfajta támadásoknak" - nyilatkozta Chris Rohlf, a Yahoo biztonsági rések után kutató csoportjának vezetője. Majd hozzátette, hogy a három hónapos időszak nagyobb esélyt ad arra, hogy a biztonsági rések befoltozása viszonylag gyorsan megtörténhessen. Ez és az ehhez hasonló elgondolások addig nem is váltottak ki túlzott ellenszenvet, amíg élesre nem fordult a helyzet. Idén ugyanis több biztonsági hiba esetén is lejárt a határidő a Google berkein belül, ezért több sérülékenység leírása napvilágra került. Ráadásul a Google a kihasználáshoz szükséges kódokat is publikálta, így aztán jelentősen megkönnyítette a kiberbűnözők dolgát.
 
Az első két esetben Windows-os sebezhetőségekről hullt le a lepel. Az egyiket szeptember 30-án, a másodikat október 17-én jelezte a Google a Microsoftnak. Az egyik esetben egy olyan biztonsági résről van szó, amely jogosultsági szint emelésre adhat módot, és akár rendszergazdai jogosultságokkal is felruházhatja a Windows 8 ellen harcba szálló támadókat. A második hiba valamivel kevesebb kockázatot hordoz, de így is segítheti az elkövetőket bizalmas információkhoz való hozzáférésben.
 
Egy harmadik esetben a Google azt is érzékeltette, hogy egy gyártó sem bújhat ki a felelősség alól, hiszen a Mac OS X három sebezhetőségéről számolt be meglehetősen nagy részletességgel. A Project Zero csapata ezeket a rendellenességeket október 20-án, 21-én és 23-án jelezte az Apple fejlesztőinek. Mivel a hibákra nem sikerült 90 napon belül gyógymódot találni, ezért ezek is nyilvánosságra kerültek. A sebezhetőségek magas veszélyességi besorolást kaptak, és az IOKit kernel, valamint a networkd kapcsán merültek fel.
 
Pro és kontra
 
A Google, a Yahoo - és egyéb szervezetek - határidőhöz kötött biztonsági programjainak célja, hogy rávegyék a fejlesztőket arra, hogy minél előbb szüntessék meg a biztonsági réseket az alkalmazásaikban, és a javításokat még véletlenül se tudják elódázni, vagy hónapokig, akár évekig halogatni. A Google úgy gondolja, hogy a korábbiakhoz képest radikális változásokra van szükség, mivel sok esetben a sebezhetőségek javítása bizony komoly késedelmet szenved. Ha ebből a szempontból nézzük, akkor valóban lehetnek pozitív hozadékai az e fajta elgondolásoknak, azonban sajnos a helyzet nem ilyen egyszerű. Ha ugyanis egy vállalat nem ad ki időben hibajavítást (akár azért, mert nem foglalkozik vele kellő mértékben, vagy a hiba komplexitása miatt nem tudja a frissítést a meghatározott időn belül elkészíteni és megfelelő módon tesztelni), akkor annak végül a felhasználók lehetnek a kárvallottjai. A kiberbűnözők ugyanis egy percig sem várnak a napvilágra kerülő információk kihasználásával.
 
A Microsoft roppant mód ellenzi a Google féle gyakorlatot, és inkább annak a híve, hogy addig semmiképpen ne kerüljenek publikálásra sérülékenységi információk, ameddig a frissítések elérhetővé nem válnak. Állítólag a vállalat már a januári hibajavító kedden be akarta foltozni a Google által jelzett második hibát, de kompatibilitási okok miatt el kellett halasztania a javítást. Erről a Google is tudott, de nem engedett. Nagyon úgy fest, hogy a cég tartja magát az elveihez, és nem lazít a szabályain. Ezzel pedig csak akkor ér célba, ha valóban sikerül rávennie a fejlesztőket arra, hogy nagyobb lendülettel, több erőforrás biztosításával szüntessék meg a szoftvereikben a hibákat. Ha így lesz, akkor azzal mindenki nyerhet, de ha nem, akkor abból a kiberbűnözés fog profitálni.