Szerző: Voith Hunor

2015. január 13. 10:00

A Microsoftnak nem tetszik a Google-önkény

A Google a Project Zero keretén belül múlt héten nyilvánosságra hozott egy kritikus hibát a Windows 8.1-ben, az annak kihasználását bemutató példakóddal együtt – azelőtt, hogy a Microsoft kiadta volna a hibajavítást. A redmondi vállalat most egy hosszabb bejegyzésben ismertette álláspontját, és szúrt oda a Google-nak.

Mindössze néhány napnak kellett eltelnie 2015-ből, hogy megkapjuk az év első drámáját a technológiai szektorban. Múlt héten írtunk arról, hogy a Google az IT szektor – szerinte – ósdi biztonsági gyakorlatát gatyába rázni szándékozó Project Zero keretén belül közzé tette a Windows 8.1 egy kritikus hibájának leírását az azt demonstráló példakóddal együtt – azelőtt, hogy a Microsoft még nem adta ki a javítást. A sérülékenység az AhcVerifyAdminContext() függvényben van jelen, kihasználásával jogosultságkiterjesztést lehet elérni egy érvényes felhasználói fiók és egy rendszerfolyamattól származó megszemélyesítési token használatával.

Miért nem beszélni AI tökéletesen magyart?

Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?

Miért nem beszélni AI tökéletesen magyart? Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?

A Google akkor (és korábbi esetekben is) azzal érvelt, hogy egyrészt a Project Zero által a fejlesztőknek biztosított 90 napnak elégnek kell lennie a frissítés elkészítéséhez, másrészt a fix határidő nyomása jó a felhasználóknak, mert a cégek így nem tudnak ráülni egy-egy hibára és eközben támadásoknak tenni ki a felhasználóikat. A Project Zero egyik mérnöke azt is az iparág szemére vetette, hogy a sebezhetőségek javításának gyakorlata nem tartott lépést az elmúlt évtized fejlődésével, és ideje változtatni a módszereken.

A Microsoft akkor egy szűkszavú közleményben jelezte, hogy tudnak a hibáról és készül a javítás, de több konkrétummal nem szolgáltak. Most azonban Chris Betz, a Security Response Center vezetője egy bő lére eresztett blogbejegyzésben ismertette a vállalat hivatalos álláspontját, és pirított oda a Google-nak. A piac szereplőinek össze kéne tartaniuk ahelyett, hogy saját szakállukra magánakciókba kezdenek – írja Betz. A mostani esetnél kifejezetten arra kérték a Google-t, hogy várjon még néhány napot egészen január 13-áig, amikor a szokásos patch-kedd keretében a Microsoft kiadja a hibajavítást. A Google azonban tartotta magát a Project Zero 90 napos határidejéhez, ami a Microsoft szerint inkább amolyan “Most megvagy!” hozzáállás, semmint valódi segítő szándék. “A lépés egy amúgy is komplikált helyzetet tett még bonyolultabbá. Ami jó a Google-nak, nem feltétlenül jó a vásárlóknak is” - áll a bejegyzésben.

A harc senkinek sem jó

A redmondi vállalat továbbra is azon az állásponton van, hogy azok a biztonsági szakemberek, akik még a javítás elkészülte és kiadása előtt nyilvánosságra hoznak egy sérülékenységet – főleg a kihasználását is bemutató kóddal együtt – milliókat sodornak veszélyes helyzetbe. “Az ilyen gyakorlat a kutatóknak, a fejlesztőknek és a vásárlóknak sem jó. Ezzel mindenki csak veszíthet” - foglal állást a Microsoft. Betz szerint itt az idő, hogy az iparág magáévá tegye a Coordinated Vulnerability Disclosure (CVD) szemléletet – azaz teljeskörű információcsere és együttműködés keretében még azelőtt kijavítani a hibákat, mielőtt azokat bármelyik vállalat vagy biztonsági szakember nyilvánosságra hozná.

A Microsoft már 2010 óta szeretné, hogy az újonnan felfedezett sérülékenységeket a CVD szellemiségében kerüljenek nyilvánosságra. A piac szereplői azonban a mai napig megosztottak a témát illetően. A radikálisabb felek az azonnali és teljes nyilvánosságot erőltetik, ami nagy nyomás alá helyezi az érintett feleket, ugyanakkor komoly feszültségforrás is. A patch-kedd gyakorlatát egyre több kritika éri, ahogy a szoftverfrissítési ciklusok általánosan rövidülnek, ugyanakkor a Microsoft álláspontja is védhető, hiszen egy ekkora vállalatnak rengeteg szempontot kell figyelembe vennie ilyen esetekben.

Ugyanakkor a Google keményvonalas politikája historikusan számos példával igazolható – olyanokkal, amikor kutatók vagy kutatócsoportok átadták a fejlesztőknek egy-egy biztonsági hiba leírását, a kijavításra azonban hetekig, hónapokig, akár évekig kellett várni, ezalatt pedig a sebezhető szoftver veszélybe sodorta a felhasználókat. A Google álláspontja szerint ezt a fajta hanyagságot minden eszközzel irtani kell, ha muszáj, akkor példát kell statuálni egy-egy kevésbé kritikus sebezhetőséggel (mint a fenti).

Az könnyen belátható, hogy önmagában mindkét megoldás problémás, és az iparági konszenzus lenne az ideális. A Microsoft megközelítése túl laza és magában hordozza az eltussolás lehetőségét, a Google kompromisszumképtelensége viszont szintén veszélyes helyzeteket idézhet elő. A mostani helyzet csak a “rosszfúknak” kedvez, nekik viszont nagyon, hiszen egyrészt a lassú (vagy sosem érkező) javítások miatt rengeteg sebezhető szoftver fut élesben, másrészt ezek nyilvánosságra hozása önmagában nyilván nem megoldás.

Nincs több előzetes értesítés patch-kedd előtt

Közben néhány napja a Microsoft minden lényegi magyarázat nélkül eltörölte a patch-keddeket megelőző csütörtökön hagyományosan kiadott értesítéseket. Az úgynevezett Advance Notification Service (ANS) egy előzetes értesítés, amely a sérülékenységek számát, súlyosságát és az érintett szoftverek listáját is tartalmazza, és ezentúl csak a prémium ügyfelek számára lesz elérhető. A vállalat szerint az ANS már nem hatékony eszköze az információk átadásának - az eredetileg megcélzott nagyvállalati ügyfelek már más csatornákon informálódnak, a kisebb ügyfelek pedig általában nem tervezik meg előre a frissítések telepítését, hanem rábízzák magukat a Windows Update automatizált munkájára. A biztonsági szakembereknél a lépés kiverte a biztosítékot, de a Microsoft egyelőre nem változtatott álláspontján.

Nagyon széles az a skála, amin a állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról

fab

5

Chipgyártó nagyhatalommá válna India

2024. március 18. 12:39

A helyi politikai vezetés szerint van rá esély, hogy a következő néhány évben az ország bekerüljön az öt vezető ország közé.