Uživatelé jako rukojmí: Google dá Microsoftu jen sedm dnů na opravu chyb

aktualizováno 
Vývojář firmy Google zveřejnil chybu Microsoftu dřív, než je obvyklé. Byl dlouhodobě nespokojen s tím, jak pomalu Microsoft chyby opravuje. Tím zároveň dal hackerům návod, jak Windows napadnout. Google uvedl, že sedm dnů od nahlášení je dostatek, ale námi oslovený odborník tak docela nesouhlasí.

Tarvis Ormandy, bezpečnostní odborník ze společnosti Google | foto: Tavise Ormandy

Tavis Ormandy patří mezi známé bezpečnostní vývojáře společnosti Google. I proto mělo jeho rozhodnutí zveřejnit návod na obejití zabezpečení Windows  (tzv. exploit) takový ohlas. Hledání chyb ve vlastním i cizím softwaru je přitom Ormandyho každodenní práce.

Pokud on, nebo jeho kolegové najdou chybu v cizím softwaru, zdokumentují ji a odešlou autorovi daného softwaru. Nepsaný etický kodex pak říká, že by měli počkat alespoň 30 dní, než tuto chybu kdekoli zveřejní (někdo dokonce mluví o 60 dnech). Provozovatel má tak možnost chybu opravit dříve, než se k ní dostanou tisíce hackerů a napáchají jejím prostřednictvím škody u konkrétních uživatelů.

Ukázka z kódu exploitu zveřejněného 2. června 2013 (Tavise Ormandy)

Ukázka z kódu exploitu zveřejněného 2. června 2013 (Tavise Ormandy), kód je určený pro 32bitové Windows NT a vyšší.

Jenže Ormandyho už nebavilo čekat se zveřejněním tak dlouho. Publikováním "exploitu" na fóru dal hackerům z celého světa návod, jak narušit bezpečnost operačního systému Windows. A programátorům v Microsoftu dal silnou motivaci k tomu, aby si s opravou chyby pospíšili. Místo 30 dnů od něj dostali "náskok" pouze sedm dnů. To by podle něj mělo být víc než dost.

Dlouhodobě pomalé opravovaní chyb

Problém se přitom neobjevil jen tak odnikud. Ormandy v minulosti kritizoval Microsoft za to, že mu trvá dlouho opravit chyby, které on a jeho kolegové hlásí. Na hlemýždí záplatovaní produktů Microsoftu si stěžují i další. "Ormandy navíc nedělá nic zvlášť zákeřného," domnívá se Julie Bortová, redaktorka periodika Business Insider. "Tím, že exploit zveřejnil, jej ukázal zároveň zlým i hodným hackerům, a přispěl tak k jeho rychlejší opravě."

Názor odborníka: záleží na závažnosti chyby

Na otázky ohledně odhalování chyb nám v krátkém rozhovoru odpověděl Vitalij Kamluk, Chief Malware Expert z Kaspersky Lab.

Jak vnímáte oznámení Googlu o zkrácené lhůtě sedmi dní?
Podle mého názoru jde o ukázku eskalace dlohodobě napjatějších vztahů mezi oběma společnostmi. Microsoft rozhodně potřebuje více času na pořádné otestování záplat. Mají tolik různých produktů a u svých záplat musejí zajistit dostatečné otestování jejich kvality (quallity assurance).

A také musejí brát ohled na některé služby, které na jejich platformách závisejí. Takže rozumím tomu, že Microsoftu trvá déle, než vydá záplatu. To samozřejmě není příjemné pro profesionály v bezpečnostní sféře. Často jde o čas. Mnoho lidí se zabývá stejnou oblastí a každou chvíli může někdo odhalit stejnou zranitelnost a využít ji. Rozumím zkrátka oběma stranám. Ale důležítá otázka je, co je lepší pro uživatele.

Máte pocit, že časnější uveřejnění zranitelnosti může ohrozit uživatele?
Myslím, že je potřeba řídit se typem konkrétní nalezené chyby. Některé jsou kritické a extrémně nebezpečné, a ty musejí být opraveny okamžitě. Tam by Microsoft mohl trochu přidat a tyto záplaty zpřístupnit rychle. Na jiné, méně důležité záplaty by si měli nechat hodně času.

Ale pak by byl krok Googlu celkem rozumný. Sedm dnů na kritické záplaty a u ostatních to není tak podstatné.
Dává to smysl, ale důležité je, aby se rozlišovalo mezi typem chyb. Kdyby se z toho stalo pravidlo platné pro všechny typy chyb, byl by to problém. Je to určitá evoluce. Uvidíme, jak se systém přizpůsobí tomuto novému postupu.

Co děláte vy konkrétně, když najdete zranitelnost v nějakém produktu třetí strany?
Chyby hlásíme Microsoftu i dalším a nikdy tyto chyby nezveřejňujeme ani nepublikujeme. Pouze se snažíme pomoci zlepšit operační systém, který naši zákazníci používají. Nežádáme žádnou slávu nebo uznání za to, že jsme chybu našli. Komunikace je soukromá.

Google se svého inženýra zastal a potvrdil, že zrychlený kolotoč nahlašování a zveřejňováni chyb v cizím systému schvaluje: "Toto není ojedinělý incident, naši inženýři objevují důležité chyby a jsou svědky jejich veřejného zneužívání. Vždycky tyto chyby nahlásíme výrobcům a spolupracujeme s nimi na opravě," píšou na blogu bezpečnostní inženýři z Googlu. "Naše dlouhodobá politika je, že firmy by měly chybu opravit do 60 dnů. Na základě našich zkušeností se nicméně domníváme, že u chyb, které jsou již aktivně zneužívány, je potřeba reagovat do sedmi dnů. A to proto, že každý den, kdy není chyba opravena, se kvůli ní stanou obětí další a další počítače."

"Víme, že sedm dní je dost přísný limit a někteří výrobci během týdne nestihnou opravit svůj produkt," uznávají bezpečnostní odborníci z Google. "Ale měla by to být dostatečná časová rezerva na to, aby firma alespoň informovala veřejnost a doporučila dočasné řešení, například nevyužívání určité služby."

Google je podle nich připraven jednat podle stejného standardu, a svoje vlastní aktivně využívané chyby do týdne opravovat.

Autor:

Nejčtenější

Oumuamua může být mimozemskou časovou schránkou, řekl expert v Rozstřelu

Astronom Petr Scheirich v diskusním pořadu Rozstřel.

„Můj názor je, že jde o těleso přírodního původu, ale přál bych si, aby tomu tak nebylo,“ řekl v Rozstřelu o prvním...

Samopal vz. 58, který není samopalem, má vyšší kadenci než kalašnikov

Československý samopal vz. 58 V - verze pro výsadkáře se sklopnou opěrkou.

V Československu vzniklo několik typů palných pěchotních zbraní, které se mohly směle rovnat se zahraniční konkurencí....

Okřídlení géniové. Vrány si při pokusu zvládly vyrobit složené nástroje

Vrány se ukazují jako stále chytřejší a chytřejší.

Nový experiment naznačuje, že bychom měli přehodnotit rčení chytrý jako liška na chytrý jako vrána. Skupina...

Nové implantáty dovedou zlepšit paměť, ale nesmí se k nim dostat hacker

DBS

Elektronické implantáty by mohly podle neurovědců již v příštím desetiletí pomáhat vylepšovat paměť, zejména pacientům...

Změna v TV vysílání se blíží. Vše, co musíte vědět o přechodu na DVB-T2

Nelamte si s DVB-T2 hlavu. Vše podstatné se dozvíte níže.

Informační kampaň k přechodu na nový standard pozemního televizního vysílání DVB-T2 může stát až 350 milionů korun. V...

Další z rubriky

Malý letoun z Otrokovic, který dobyl velký svět. Legendární Zlin Trener

Zlin Z-326M Trener Master v maďarských barvách

Zlin Trener je na první pohled nenápadný letoun, jehož sláva obletěla celý svět. A to hned několikrát, v tomto případě...

Platba jízdného v MHD podle Fujitsu: systém vypočítá nejlevnější variantu

Fujitsu

Prototyp terminálového systému pro platbu jízdného v hromadné dopravě nás zaujal na konferenci Fujitsu Forum 2018 v...

Miliony korun a 220 voltů do sítě. První republika vsadila na elektřinu

Strojovna pražské teplárny a elektrárny v Holešovicích (dnešní areál PRE) někdy...

Československý stát se do budování robustní elektrické soustavy pustil ještě předtím, než byly definitivně stanoveny...

Najdete na iDNES.cz