Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Google zachęca do szybszego ujawniania luk 0-day

30 maja 2013, 21:07 | Aktualności | 1 komentarz

Firma Google przedstawiła właśnie na blogu Google Online Security własne stanowisko w kontrowersyjnej kwestii czasów upubliczniania informacji o podatnościach typu zero-day. Gigant zachęca badaczy do publikowania wszystkich szczegółów już nawet po 7 dniach od momentu powiadomienia producenta.

Specjaliści odnajdujący nieznane wcześniej podatności, którzy chcą zachować zasady odpowiedzialnego ujawnienia (ang. Responsible disclosure), stoją bardzo często przed trudną decyzją. W wielu przypadkach zdarza się bowiem tak, że pomimo powiadomienia producenta o szczegółach odkrycia, ten zwleka miesiącami z jakąkolwiek reakcją.

Co w takim wypadku powinien zrobić odkrywca luki? Z jednej strony upublicznienie szczegółów może narazić użytkowników danego rozwiązania na natychmiastowe aktywne ataki. Z drugiej strony, użytkownicy powiadomieni o zagrożeniu mogą na własną rękę podjąć jakieś działania ograniczające ryzyko. Poza tym, jeśli będziemy ujawnienie informacji odkładać, to niewykluczone, że ktoś inny również odnajdzie ten sam problem i wykorzysta go w mniej szlachetny sposób.

Przykładem upublicznienia informacji o nieznanych wcześniej lukach, po nieudanej próbie nawiązania kontaktu z producentem, jest nasz bardzo popularny artykuł o dziurach w urządzeniach firmy TP-Link.

Jak widać, trudno jednoznacznie określić najlepsze granice czasowe odpowiedzialnego ujawnienia w przypadku, gdy producent ociąga się z odpowiednią reakcją. W całej sprawie stanowisko zajęła jednak właśnie firma Google, proponując ustalenie bardzo prostych zasad gry.

Otóż internetowy gigant zachęca odkrywców krytycznych podatności do opublikowania szczegółów po 60 dniach od powiadomienia producenta, jeśli ten w tym czasie nie opracuje odpowiedniej poprawki lub rozwiązania typu workaround (czasowe wyeliminowanie podatności za pomocą innych dostępnych metod, do czasu opracowania ostatecznej poprawki). Jednak w przypadku krytycznych luk aktywnie wykorzystywanych w realnych atakach, przy braku jakiejkolwiek reakcji producenta, Google zachęca do upublicznienia wszystkich informacji już po siedmiu dniach od momentu zgłoszenia problemu.

Powyższe podejście wydaje się całkiem rozsądnym kompromisem pomiędzy interesami producentów, a bezpieczeństwem ich klientów. Z drugiej strony przypadek każdej podatności jest inny i takie sztywne ramy czasowe nie zawsze będą mogły zostać spełnione.

Można także odnieść wrażenie, że firma Google stara się w tym przypadku narzucić (poprzez zachęcanie odkrywców błędów do określonych działań) innym producentom oprogramowania własne standardy, co z pewnością również może być kontrowersyjne. Czy więc waszym zdaniem firma Google przyczyni się tego typu działaniami do poprawy bezpieczeństwa nas wszystkich?

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Anonimowy

    Jak najbardziej uważam że google narzucając standardy przyczyni się do poprawy bezpieczeństwa. Uważam że jak najbardziej nie tylko google ale i inni giganci powinni co do tego procesu się przyłączyć. Im wyższe standardy tym lepsze bezpieczeństwo. Uważam też że jeżeli ktoś lekceważy ostrzeżenia, google powinno taki portal usunąć ze swoich indeksów wyszukiwania gdyż taki niezabezpieczony portal przyczynić się może do utraty prywatności użytkowników.
    Wiem może to być kontrowersyjne, ale sami pomyślcie gdybyśmy byli wychowywani bez zasad, moglibyśmy nie raz skończyć źle. Już na samą logikę weźcie inicjatywe google, korzystasz z jakiegoś portalu, masz tam prywatne zdjęcia, przsyłasz sobie numery telefonów, inne wiadomości, ktoś powiadomił admina portalu że jest luka, a on to zlekceważył, nareszcie dowiadujesz się od komornika że masz długi. Może tak być jak najbardziej, jak najbardziej mogą mieć miejsce takie sytuacje… zastanów się

    Odpowiedz

Odpowiedz