Probabil că nu e frumos să privești atunci când două persoane se dedau la spălatul rufelor în public, dar un episod recent întâmplat în războiul Microsoft-Google mi s-a părut că ne arată lucruri interesante.
Acum vreo câteva săptămâni, Google a anunțat o nouă politică referitoare la raportarea bug-urilor software descoperite de echipele lor de securitate: acestea vor fi publicate automat după 90 de zile de la descoperire, chiar dacă autorii software-ului respectiv nu au emis încă un patch pentru acesta. Publicarea unei astfel de vulnerabilități în Windows 7 a stârnit reacții virulente pe blogurile Microsoft, aceștia susținând că fix-ul urma să fie inclus în pachetul obișnuit de update-uri din ziua de marți, două zile după publicare și că au cerut Google să amâne anunțul până la apariția update-ului.
Între timp Google a recidivat, publicând încă trei bug-uri nerezolvate la momentul respectiv de cei de la Microsoft.
Pentru cei nefamiliarizați cu problematica vulnerabilităților software, trebuie să explic că “bunele maniere în domeniu” cer ca atunci când descoperi un bug care ar putea avea impact asupra securității să informezi producătorul respectivului software; acesta va avea grijă să îl repare și eventual va emite un buletin informativ pentru utilizatori, înainte ca problema să devină publică. In acest fel impactul va fi limitat.
Este lesne de văzut că această formulă funcționează doar în cazul în care actorii implicați dau dovadă de bună credință și responsabilitate. Evident că vulnerabilitatea poate fi descoperită de o persoană rău intenționată, care nu va informa producătorul, ci va încerca să o folosească în interes propriu. În cazul acesta, probabil că problema va fi redescoperită ceva mai târziu, eventual de vreun producător de antiviruși solicitat să rezolve cazul devenit critic.
E însă mai greu de spus ce e de făcut în cazul în care producătorul software-ului respectiv nu răspunde în nici un fel sesizării analistului de securitate. La prima vedere ai spune că e bine să ții vulnerabilitatea ascunsă pentru vecie, așa cum insinuează blogger-ul Microsoft. Însă problema este că faptul că o ții ascunsă tu nu te asigură că nu o va descoperi altcineva. Mai mulți analiști și organizații au ajuns la concluzia că „tăierea cozii pisicii” e de preferat; anunțarea publică a unei vulnerabilități, chiar dacă permite infractorilor cibernetici să o folosească ușor, îl poate forța pe producător să o corecteze în regim de urgență sau cel puțin îl ajută pe administratorul de sistem responsabil să găsească măcar o soluție de ocolire a problemei.
În treacăt fie spus, Google se confruntă la rândul lor cu acuzații de rele practici, după ce au anunțat că nu vor emite patch pentru o vulnerabilitate găsită în Android WebView 4.3 pe motiv că nu afectează versiunea curentă, 4.4 . Or se știe că planeta e plină de telefoane cu Android de toate versiunile, care nici măcar nu pot fi updatate din cauza caracteristicilor tehnice.
Ceea ce mi se pare însă revoltător în această poveste este timpul de răspuns extrem de mare (90 de zile) în cazul Microsoft. Google este o companie care are o echipă de securitate, probabil foarte bună, dar nu este o companie de securitate. Deci e de așteptat ca alte companii sau entități, care se ocupă chiar cu asta ( deși probabil că nu au la dispoziție cantitatea de date pe care o are Google, ei având un număr imens de clienți) să descopere și ei aceste probleme în intervalul de 90 de zile, dacă nu cumva mai devreme. E o fereastră de oportunitate imensă pentru un infractor. Câtă vreme ne legănam în iluzia că un patch critic se elaborează în câteva zile puteam să avem o oarecare certitudine că un sistem bine administrat este în siguranță. Când însă vorbim de trei luni, am putea spune că certitudinea este … vițăvercea. Pot înțelege că unele vulnerabilități sunt minore și nu necesită prea multă atenție ( deși în domeniul acesta totul e discutabil, se pare că inventivitatea atacatorilor e nelimitată) dar din ce am văzut până acum, nu e totdeauna cazul. Unele probleme descrise par majore, și problema nu sunt cele doua zile scurse între anunțul Google și patch-ul Microsoft, ci restul de 90. Cu o echipă destoinică în 90 de zile poți scrie o aplicație destul de complexă; e greu de crezut că nu poți să corectezi o vulnerabilitate în propriul cod, chiar dacă, sunt conștient de asta, uneori va trebui să tratezi și unele efecte colaterale. Și atunci?
Aikido cu mintea si corpul coordonate. Invatati cum sa va relaxati si cum sa va pastrati calmul in conditii de stress. 
Timpul de raspuns Microsoft nu e de 90 de zile, ci de 90+x de la momentul informarii producatorului. Dovada ca Microsoft nu si-a imbunatatit timpul de reactie scazandu-l sub 90 de zile, este ca dupa primul anunt, au mai urmat 3. Publicate tot la 90 de zile de la descoperire si informare, daca inteleg bine ceea ce ati scris.
Din cate stiu pana acum vulnerabilitatile publicate cu deadline de 90 zile au fost 3, cea care a starnit valul de proteste de la Microsoft fiind cea cu numarul 2. (Google issue 123)
Este interesant de notat ca pentru issue 123 MIcrosoft a fost notificat pe 13 Octombrie 2014 si a cerut un deadline prelungit pana in Februarie 2015. Ulterior a cerut amanarea pana pe 13 Ianuarie. http://www.infoworld.com/article/2871477/security/third-zero-day-disclosure-by-google-holding-mss-feet-too-close-to-the-fire.html
Personal cred ca un deadline fix este o solutie slaba, dar cea mai buna ramasa in contextul actual. Ce as dori sa stiu este daca problemele de securitate sunt anuntate la 90 de zile si in cazul in care acestea au fost deja rezolvate: ar fi un risc gratuit pentru clientii care inca nu au adus sistemele la zi.
In momentul in care sunt rezolvate, normal ca producatorul va emite o data cu patch-ul si un security bulletin care descrie pe scurt problema, posibilul impact si alte informatii relevante in context. Nedumerirea mea este cum poti sa stai fara reactie trei luni, macar un workaround daca nu altceva tot ar trebui sa existe.
Pai sa discutam pe rand
1. Cel putin primul bug „critic” de securitate. Nu era delog un bug critic, din cat am studiat eu. pentru a profita de el trebuia sa ai un credential valid pe o masina si sa ai si acces fizic la masina. Asta nu e un bug critic de securitate. De celelalta nu am apucat sa ma uit.
2. Da, poti sa te legi de MS ca a reactionat greu. Dar e o mizerie sa faci ce a facut Google. Adica nu doar ca a spus „sa le fie rusine celor de la MS, am descoperit un bug, le-am zis si ei nu au reactionat in 90 de zile”. Ei au descries detaliat cum care sunt pasii de reproducere. Au ajutat utilizatorii finali, nu? Le-a pasat de utilizatori sau a vrut doar sa isi atace concurenta?
3. Si cine ridica piatra primul? Google? Android e o mizerie in materie de securitate. Norocul lor e ca sunt inexistenti pe piata enterprise, acolo unde problemele sunt cu adevarat critice. Asa ca ii doare in basca de asta. Ai terminalui compormis? Ura! Reset total si cu asta basta. Sau arunca-l si cumpara-ti altul nou. Vezi chiar bugul cu adevarat critic de care ati pomenit, cel din Android WebView din versiunile 4.3 si inferior. Adica 60% din piata Androis! Si au anuntat senin ca sistemul e prea vechi, ei nu mai aduc corectii unei versiuni de OS livrat in iulie 2013. Ei, uite cine ridica primul piatra.
Dacă în loc să creeze monștri precum WIndows 8 Microsoft-ul s-ar fi ocupat de îmbunătățirea reală a Windows-ului 3.1- era de discutat.
Iar daca Bugatti in loc sa creeze monstri precum Veyron s-ar fi ocupat de imbunatatirea reala a carutelor ce bine o duceam acum cu ecologia :)
:)) Seems llegit.
„în loc să creeze monștri precum WIndows 8 Microsoft-ul s-ar fi ocupat de îmbunătățirea reală a Windows-ului 3.1”
Haaaa, ha ha ha ha aha ha ha…. Ce bine am mai ras. Imbunatatirea la 3.1 care era numai o interfata grafica peste ms-dos? Hi hi hi hi. Pai daca imbunatateau ms-dos-ul iesea linux si nu aveau nici o sansa la competitie ca linux-ul era gratis, plus ca mai toti aia care nu le aveau cu tehnica nu ar fi apelat la windows ever ever… He he he he, pe acelasi principiu Nokia daca isi imbunatatea modelul 3210 ar fi cumparat ea acum Microsoft-ul nu-i asa?
Clar, romanul chiar se pricepe la toate!