V květnu letošního roku objevil bezpečnostní vývojář Googlu Tavis Ormandy možnost, jak obejít zabezpečení Windows, které by útočníkovi mohlo umožnit získat stejná práva pro řízení počítače jako současnému uživateli (dostala označení CVE-2013-3660).
Není to nic neobvyklého, naopak jde o běžnou záležitost. Stejně tak je obvyklé, že objevitel by měl chybu zdokumentovat, doložit a poslat autorovi softwaru, tedy v tomto případě firmě Microsoft. Pak mu měl poskytnout jistou dobu na opravení a až potom se má svým objevem pochlubit na veřejnosti.
Jádrem sporu v tomto případě bylo, že Ormandy nepočkal. Chybu sice nejprve nahlásil Microsoftu, ale už po týdnu ji oznámil i veřejně. Ormandy tak podle všeho chtěl Microsoft donutit, aby chyby opravoval rychleji. Tvrdil (a nejen v tomto případě, ale i předtím), že výrobce Windows reaguje na podobná hlášení příliš pomalu. Jeho zaměstnavatel Google se ho zastal.
Z běžné události se tak stala událost neobvyklá, která přitáhla pozornost a na které se pak vytvarovaly názory zastánců i odpůrců rychlého zveřejnění zranitelnosti (tzv. exploitu).
Ovšem příběh chyby tím neskončil. Týdenní lhůta byla Microsoftu skutečně málo a "záplatu" na chybu vydal až v úterý 9. července, tedy zhruba po dvou měsících (je dostupná přes Window Update či na update.microsoft.com).
Zajímavá je ovšem i technická zpráva, která vydání záplaty doprovázela (dostupná zde). Je v ní uvedeno, že podle informací Microsoftu dokázali hackeři zranitelnosti už v praxi využít a tuto chybu se snaží cíleně využívat. Více nevíme, protože zpráva neříká, kolik počítačů bylo tímto způsobem napadeno.
Ega a chyby
Je jasné, že podobné řešení bezpečnostních problémů není do budoucna udržitelné. Biti na tom budou v podstatě jenom uživatelé. Proč vůbec k takové události došlo?
Svou roli nejspíše hraje rivalita mezi firmami Google a Microsoft. "Podle mého názoru jde o ukázku eskalace dlouhodobě napjatějších vztahů mezi oběma společnostmi," řekl pro Technet Vitalij Kamluk z Kaspersky Lab. Ale to jistě nebude všechno, protože když o něco jde, firmy jsou schopné spolupráce.
Větší roli zřejmě hraje zcela "netechnologická" záležitost: rivalita mezi samotnými bezpečnostními experty. To není jen metafora, protože hledání bezpečnostních chyb v softwaru je vysoce soutěživá záležitost. Reputace je v tomto oboru klíčová a nejlepší způsob, jak si ji vytvořit, je být viditelně první. Potvrdil to i Vitalij Kamluk: "Mnoho lidí se zabývá stejnou oblastí a každou chvíli může někdo odhalit stejnou zranitelnost a využít ji," vysvětloval rozhodnutí bezpečnostního experta Ormandyho zveřejnit chybu tak rychle a nečekat na Microsoft.
