A Microsoftnak nem tetszik a Google-önkény
A Google a Project Zero keretén belül múlt héten nyilvánosságra hozott egy kritikus hibát a Windows 8.1-ben, az annak kihasználását bemutató példakóddal együtt – azelőtt, hogy a Microsoft kiadta volna a hibajavítást. A redmondi vállalat most egy hosszabb bejegyzésben ismertette álláspontját, és szúrt oda a Google-nak.
Mindössze néhány napnak kellett eltelnie 2015-ből, hogy megkapjuk az év első drámáját a technológiai szektorban. Múlt héten írtunk arról, hogy a Google az IT szektor – szerinte – ósdi biztonsági gyakorlatát gatyába rázni szándékozó Project Zero keretén belül közzé tette a Windows 8.1 egy kritikus hibájának leírását az azt demonstráló példakóddal együtt – azelőtt, hogy a Microsoft még nem adta ki a javítást. A sérülékenység az AhcVerifyAdminContext() függvényben van jelen, kihasználásával jogosultságkiterjesztést lehet elérni egy érvényes felhasználói fiók és egy rendszerfolyamattól származó megszemélyesítési token használatával.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A Google akkor (és korábbi esetekben is) azzal érvelt, hogy egyrészt a Project Zero által a fejlesztőknek biztosított 90 napnak elégnek kell lennie a frissítés elkészítéséhez, másrészt a fix határidő nyomása jó a felhasználóknak, mert a cégek így nem tudnak ráülni egy-egy hibára és eközben támadásoknak tenni ki a felhasználóikat. A Project Zero egyik mérnöke azt is az iparág szemére vetette, hogy a sebezhetőségek javításának gyakorlata nem tartott lépést az elmúlt évtized fejlődésével, és ideje változtatni a módszereken.
A Microsoft akkor egy szűkszavú közleményben jelezte, hogy tudnak a hibáról és készül a javítás, de több konkrétummal nem szolgáltak. Most azonban Chris Betz, a Security Response Center vezetője egy bő lére eresztett blogbejegyzésben ismertette a vállalat hivatalos álláspontját, és pirított oda a Google-nak. A piac szereplőinek össze kéne tartaniuk ahelyett, hogy saját szakállukra magánakciókba kezdenek – írja Betz. A mostani esetnél kifejezetten arra kérték a Google-t, hogy várjon még néhány napot egészen január 13-áig, amikor a szokásos patch-kedd keretében a Microsoft kiadja a hibajavítást. A Google azonban tartotta magát a Project Zero 90 napos határidejéhez, ami a Microsoft szerint inkább amolyan “Most megvagy!” hozzáállás, semmint valódi segítő szándék. “A lépés egy amúgy is komplikált helyzetet tett még bonyolultabbá. Ami jó a Google-nak, nem feltétlenül jó a vásárlóknak is” - áll a bejegyzésben.
A harc senkinek sem jó
A redmondi vállalat továbbra is azon az állásponton van, hogy azok a biztonsági szakemberek, akik még a javítás elkészülte és kiadása előtt nyilvánosságra hoznak egy sérülékenységet – főleg a kihasználását is bemutató kóddal együtt – milliókat sodornak veszélyes helyzetbe. “Az ilyen gyakorlat a kutatóknak, a fejlesztőknek és a vásárlóknak sem jó. Ezzel mindenki csak veszíthet” - foglal állást a Microsoft. Betz szerint itt az idő, hogy az iparág magáévá tegye a Coordinated Vulnerability Disclosure (CVD) szemléletet – azaz teljeskörű információcsere és együttműködés keretében még azelőtt kijavítani a hibákat, mielőtt azokat bármelyik vállalat vagy biztonsági szakember nyilvánosságra hozná.
A Microsoft már 2010 óta szeretné, hogy az újonnan felfedezett sérülékenységeket a CVD szellemiségében kerüljenek nyilvánosságra. A piac szereplői azonban a mai napig megosztottak a témát illetően. A radikálisabb felek az azonnali és teljes nyilvánosságot erőltetik, ami nagy nyomás alá helyezi az érintett feleket, ugyanakkor komoly feszültségforrás is. A patch-kedd gyakorlatát egyre több kritika éri, ahogy a szoftverfrissítési ciklusok általánosan rövidülnek, ugyanakkor a Microsoft álláspontja is védhető, hiszen egy ekkora vállalatnak rengeteg szempontot kell figyelembe vennie ilyen esetekben.
Ugyanakkor a Google keményvonalas politikája historikusan számos példával igazolható – olyanokkal, amikor kutatók vagy kutatócsoportok átadták a fejlesztőknek egy-egy biztonsági hiba leírását, a kijavításra azonban hetekig, hónapokig, akár évekig kellett várni, ezalatt pedig a sebezhető szoftver veszélybe sodorta a felhasználókat. A Google álláspontja szerint ezt a fajta hanyagságot minden eszközzel irtani kell, ha muszáj, akkor példát kell statuálni egy-egy kevésbé kritikus sebezhetőséggel (mint a fenti).
Az könnyen belátható, hogy önmagában mindkét megoldás problémás, és az iparági konszenzus lenne az ideális. A Microsoft megközelítése túl laza és magában hordozza az eltussolás lehetőségét, a Google kompromisszumképtelensége viszont szintén veszélyes helyzeteket idézhet elő. A mostani helyzet csak a “rosszfúknak” kedvez, nekik viszont nagyon, hiszen egyrészt a lassú (vagy sosem érkező) javítások miatt rengeteg sebezhető szoftver fut élesben, másrészt ezek nyilvánosságra hozása önmagában nyilván nem megoldás.
Nincs több előzetes értesítés patch-kedd előtt
Közben néhány napja a Microsoft minden lényegi magyarázat nélkül eltörölte a patch-keddeket megelőző csütörtökön hagyományosan kiadott értesítéseket. Az úgynevezett Advance Notification Service (ANS) egy előzetes értesítés, amely a sérülékenységek számát, súlyosságát és az érintett szoftverek listáját is tartalmazza, és ezentúl csak a prémium ügyfelek számára lesz elérhető. A vállalat szerint az ANS már nem hatékony eszköze az információk átadásának - az eredetileg megcélzott nagyvállalati ügyfelek már más csatornákon informálódnak, a kisebb ügyfelek pedig általában nem tervezik meg előre a frissítések telepítését, hanem rábízzák magukat a Windows Update automatizált munkájára. A biztonsági szakembereknél a lépés kiverte a biztosítékot, de a Microsoft egyelőre nem változtatott álláspontján.