Strona główna > Newsy > Odpowiedzialne ujawnienia według Google'a: 60 dni to wszystko, co można dać

"Odpowiedzialne ujawnienia według Google'a: 60 dni to wszystko, co można dać".

2010-07-24

Ujawnienie luki w systemie pomocy Windows XP przez google'owego inżyniera Tavisa Ormandy'ego z jednej strony rozgniewało Microsoft i dało pretekst do oskarżeń o nieodpowiedzialność, czy wręcz wrogie intencje, z drugiej strony zmobilizowało środowisko ekspertów od bezpieczeństwa IT do dyskusji, jakie powinny być kryteria odpowiedzialnego ujawnienia. Jedno jest pewne ? kryteria te powinny być ustalane przez społeczność, a nie znanych z opieszałości producentów oprogramowania.

Przygotowywanie przez specjalistów od white hat security działających exploitów, wymierzonych w software'owe luki, to popularny ?bat? na producentów, stosowany wówczas, gdy ociągają się z wydaniem poprawek. Najczęściej obrywa nim Microsoft, ale przydarza się to także innym wielkim korporacjom software'owym ? ostatnio dopiero wydanie exploitu dla środowiska uruchomieniowego Javy zmusiło Oracle do działania (firma Larry'ego Ellisona wcześniej długo bagatelizowała sprawę).

Zdaniem Redmond, odpowiedzialne ujawnienie luki wygląda tak, że jej odkrywca trzyma się z dala od list dyskusyjnych w stylu Full Disclosure, pisze do producenta e-maila z pełnym opisem sytuacji, a potem czeka, czeka i czeka, aż ten przygotuje łatkę. Wówczas może poinformować świat o swoim odkryciu. Jeśli ktoś nie chce przestrzegać takich zasad, to uznaje się go za nieodpowiedzialnego, oskarża o działanie na korzyść cyberprzestępców.

Działający w ?białych kapeluszach? eksperci od bezpieczeństwa uważają jednak, że to bzdura. Nie są przecież jedyni na świecie. Wielu znakomitych hakerów działa w świecie black hat, a nawet zatrudnionych jest przez grupy cyberprzestępców. Gdy odkryją oni lukę typu 0-day, niezałataną przez producenta, konsekwencje są znacznie gorsze. Wydanie exploita to ostroga, którą można wbić w bok producenta.

Po ujawnieniu szczegółów ataku na system pomocy Windows XP przez Ormandy'ego, Redmond potrzebowało tylko 34 dni na przygotowanie poprawki. Wcześniej w prywatnej korespondencji Microsoft Security Response Team w ogóle nie był w stanie podać terminu rozwiązania problemu.

Teraz zespół bezpieczeństwa Google'a zaprasza wszystkich ekspertów z tej dziedziny do debaty nad czymś w rodzaju nowego kodeksu moralnego odpowiedzialnych ujawnień. Chodzi o to, aby odkrywca mógł wyznaczyć ostateczny termin przygotowania poprawki dla odkrytej luki. Jeśli producent zignoruje informację odkrywcy, albo nie zdąży z przygotowaniem łatki, ekspert będzie mógł bez żadnych konsekwencji upublicznić informację o znalezionej usterce, wraz z propozycją ochrony przed atakiem.

Czas dla producenta powinien być dostosowany do powagi błędu (np. błędowi w architekturze systemu trzeba dać więcej czasu, niż zwykłemu wyciekowi pamięci) ? jednak nie powinien przekroczyć 60 dni. Dopiero w sytuacji, gdy istnieją dowody, że społeczność black hat zna już problem, dopuszczalne byłoby publiczne wydanie exploitu.

Specjaliści z Google'a przyznają, że w przeszłości oni sami nie trzymali się przedstawionych tu zasad, jednak zapewniają, że jeśli społeczność przyjmie ich propozycję, oni sami będą respektować te zapisy. Ujednolicenie podejścia do producentów oprogramowania pozwoli ostatecznie na zwiększenie bezpieczeństwa użytkowników.

Źródło: googleonlinesecurity.blogspot.com