Tavis Ormandy patří mezi známé bezpečnostní vývojáře společnosti Google. I proto mělo jeho rozhodnutí zveřejnit návod na obejití zabezpečení Windows (tzv. exploit) takový ohlas. Hledání chyb ve vlastním i cizím softwaru je přitom Ormandyho každodenní práce.
Pokud on, nebo jeho kolegové najdou chybu v cizím softwaru, zdokumentují ji a odešlou autorovi daného softwaru. Nepsaný etický kodex pak říká, že by měli počkat alespoň 30 dní, než tuto chybu kdekoli zveřejní (někdo dokonce mluví o 60 dnech). Provozovatel má tak možnost chybu opravit dříve, než se k ní dostanou tisíce hackerů a napáchají jejím prostřednictvím škody u konkrétních uživatelů.
Ukázka z kódu exploitu zveřejněného 2. června 2013 (Tavise Ormandy), kód je určený pro 32bitové Windows NT a vyšší.
Jenže Ormandyho už nebavilo čekat se zveřejněním tak dlouho. Publikováním "exploitu" na fóru dal hackerům z celého světa návod, jak narušit bezpečnost operačního systému Windows. A programátorům v Microsoftu dal silnou motivaci k tomu, aby si s opravou chyby pospíšili. Místo 30 dnů od něj dostali "náskok" pouze sedm dnů. To by podle něj mělo být víc než dost.
Dlouhodobě pomalé opravovaní chyb
Problém se přitom neobjevil jen tak odnikud. Ormandy v minulosti kritizoval Microsoft za to, že mu trvá dlouho opravit chyby, které on a jeho kolegové hlásí. Na hlemýždí záplatovaní produktů Microsoftu si stěžují i další. "Ormandy navíc nedělá nic zvlášť zákeřného," domnívá se Julie Bortová, redaktorka periodika Business Insider. "Tím, že exploit zveřejnil, jej ukázal zároveň zlým i hodným hackerům, a přispěl tak k jeho rychlejší opravě."
Názor odborníka: záleží na závažnosti chybyNa otázky ohledně odhalování chyb nám v krátkém rozhovoru odpověděl Vitalij Kamluk, Chief Malware Expert z Kaspersky Lab. Jak vnímáte oznámení Googlu o zkrácené lhůtě sedmi dní? A také musejí brát ohled na některé služby, které na jejich platformách závisejí. Takže rozumím tomu, že Microsoftu trvá déle, než vydá záplatu. To samozřejmě není příjemné pro profesionály v bezpečnostní sféře. Často jde o čas. Mnoho lidí se zabývá stejnou oblastí a každou chvíli může někdo odhalit stejnou zranitelnost a využít ji. Rozumím zkrátka oběma stranám. Ale důležítá otázka je, co je lepší pro uživatele. Máte pocit, že časnější uveřejnění zranitelnosti může ohrozit uživatele? Ale pak by byl krok Googlu celkem rozumný. Sedm dnů na kritické záplaty a u ostatních to není tak podstatné. Co děláte vy konkrétně, když najdete zranitelnost v nějakém produktu třetí strany? |
Google se svého inženýra zastal a potvrdil, že zrychlený kolotoč nahlašování a zveřejňováni chyb v cizím systému schvaluje: "Toto není ojedinělý incident, naši inženýři objevují důležité chyby a jsou svědky jejich veřejného zneužívání. Vždycky tyto chyby nahlásíme výrobcům a spolupracujeme s nimi na opravě," píšou na blogu bezpečnostní inženýři z Googlu. "Naše dlouhodobá politika je, že firmy by měly chybu opravit do 60 dnů. Na základě našich zkušeností se nicméně domníváme, že u chyb, které jsou již aktivně zneužívány, je potřeba reagovat do sedmi dnů. A to proto, že každý den, kdy není chyba opravena, se kvůli ní stanou obětí další a další počítače."
"Víme, že sedm dní je dost přísný limit a někteří výrobci během týdne nestihnou opravit svůj produkt," uznávají bezpečnostní odborníci z Google. "Ale měla by to být dostatečná časová rezerva na to, aby firma alespoň informovala veřejnost a doporučila dočasné řešení, například nevyužívání určité služby."
Google je podle nich připraven jednat podle stejného standardu, a svoje vlastní aktivně využívané chyby do týdne opravovat.
