Google trvá na zverejňovaní aj neopravených chýb, zjemnil ale pravidlá

Značky: GooglebezpečnosťMicrosoftApple

DSL.sk, 18.2.2015

Spoločnosť Google, ktorej bezpečnostní experti z tímu tzv. Projektu Zero hľadajú bezpečnostné chyby v populárnom softvéri, trvá na dodržiavaní jej politiky zverejňovania informácií o objavených bezpečnostných chybách najneskôr 90 dní od ich nahlásenia tvorcom aj v prípade ich neopravenia a bude v nej pokračovať.

Spoločnosť Google o tom informuje v tomto oznámení.

Google svoje stanovisko zverejnil po tom, ako ho verejne za politiku zverejňovania chýb kritizoval Microsoft.

Projekt Zero je novou bezpečnostnou iniciatívou Google, ktorý v rámci nej zamestnáva hackerov a bezpečnostných expertov aktívne hľadajúcich bezpečnostné chyby v populárnych masovo používaných softvéroch od ľubovoľných tvorcov. Google objavené chyby v produktoch iných firiem nahlasuje tvorcom softvéru. Ak ale nie sú opravené do 90 dní, podľa svojej politiky informácie o nich zverejní.

Podľa aktuálne zverejnených štatistík zo 154 chýb odhalených projektom bolo 85% opravených v lehote 90 dní, vrátane napríklad všetkých 37 chýb objavených v Adobe Flash.

Google považuje svoju politiku zverejňovania chýb v pevnej lehote za dobrú a zlepšujúcu bezpečnosť, keď núti tvorcov softvéru vydávať opravy v relatívne krátkom čase. Chyby objavené v populárnych softvéroch sú podľa Google totiž často v čase ich objavenia bezpečnostnými expertami už známe osobám a organizáciám zneužívajúcim ich na útoky.

Microsoft kritizoval v januári Google po tom ako spoločnosť zverejnila informácie o bezpečnostných chybách vo Windows, keď ich Microsoft neopravil v termíne 90 dní. V prípade jednej z chýb zverejnil Microsoft opravu len niekoľko dní po uplynutí lehoty. Podobne Google zverejnil aj informácie o troch bezpečnostných chybách v operačnom systéme OS X od Apple, ktoré boli rovnako spoločnosťou Apple opravené niekoľko dní po uplynutí lehoty.

Google síce na svojej politike trvá, mierne ju ale pozmenil a zavádza dve zmeny. Ak posledný deň lehoty padne na deň pracovného voľna v USA, lehota sa posunie na ďalší pracovný deň. Hlavne Google ale lehotu predĺži o maximálne 14 dní, ak mu tvorca softvéru pred skončením lehoty avizuje plánované vydanie opravy v konkrétny deň v tejto predĺženej lehote.

Spoločnosť tiež v prípade, že tak nespraví tvorca softvéru, získa pre chybu jednoznačný identifikátor CVE tak, aby pri prvom zverejnení informácií o chybe bola táto jednoznačne CVE identifikátorom identifikovaná.




Najnovšie články:



Diskusia:

ked trva, tak trva Od reg.: roob_ | Pridané: 18.2.2015 9:20 ako sa do hory vola, tak sa z hory ozyva.. alebo preco chce google silou mocou vojnu? Odpovedať Známka: -7.2 Hodnotiť:

Re: ked trva, tak trva Od: jsmp | Pridané: 18.2.2015 9:38 Vojnou by som to nenazyval. Tato iniciativa pomoze zvysit bezpecnost sw + nakladay na hladanie chyb na seba prebera google. Len by sa mohli vyhnut podobnym pripadom ako pri Apple/MS ked zverejnili chybu par dni pred opravenim. Odpovedať Známka: 8.8 Hodnotiť:

Re: ked trva, tak trva Od: qwerty/z | Pridané: 18.2.2015 9:45 Chyba je ze robia opravi v pravidelnych itervaloch. Ak by bola vo windowse nejaka velka chyba, ktora by obmedzovala funkcnost tak by asi necakali na datum kedy su naplanovane aktualizacie ale opravu by vypustili hned ako by to bolo mozne. Odpovedať Známka: 2.7 Hodnotiť:

Re: ked trva, tak trva Od reg.: roob_ | Pridané: 18.2.2015 9:48 to by sa ti potom kazde 2 hodiny restartoval pocitac po auto update :) To chces? Odpovedať Známka: -1.8 Hodnotiť:

Re: ked trva, tak trva Od: sensei-san | Pridané: 18.2.2015 11:21 Alternatíva je: bežať deravý systém. To chceš? Odpovedať Známka: 4.7 Hodnotiť:

Re: ked trva, tak trva Od: milan.ko | Pridané: 18.2.2015 14:31 Pokial viem, kriticke chyby opravuje MS aj mimo pravidelnych terminov (historicky sa to da dohladat aj tu na DSL). Ostatne opravuje v pravidelnych mesacnych intervaloch. Odpovedať Hodnotiť:

Re: ked trva, tak trva Od: jjjjjjjjjj | Pridané: 18.2.2015 9:38 takže opravovat chyby je špatné? ty díry od Applu a Microsoftu kupují stejně jen trotli, co je jim to fuk Odpovedať Známka: 0.6 Hodnotiť:

Re: ked trva, tak trva Od reg.: roob_ | Pridané: 18.2.2015 9:41 nie, spatne je, ze ked jjjjjj odide na dovolenku a necha otvorene dvere na byte tak vypisem na net aby to vsetci vedeli a mohli ta vykradnut... Odpovedať Známka: -8.8 Hodnotiť:

Re: ked trva, tak trva Od reg.: jupiii | Pridané: 18.2.2015 10:00 Preskocil si jednu podstatnu vec. A to, oznamit mu, ze ma byt nezamknuty a dat mu 3 mesiace na to, aby ho zamkol. Odpovedať Známka: 10.0 Hodnotiť:

Re: ked trva, tak trva Od reg.: roob_ | Pridané: 18.2.2015 10:07 ty neberies do uvahy, ze niektore veci opravit je zlozitejsie ako keby si dovolenkarovi dal na navrat a zamknutie 20 sekund. Google ked ide o bezpecnost, tak chyby ma nahlasit kompetentnym a nie vytrubit do sveta. Lebo aj google robi chyby, tiez sa im nebude pacit, ked budu zverejnene tie ich. Odpovedať Známka: -9.1 Hodnotiť:

Re: ked trva, tak trva Od: wassef... | Pridané: 18.2.2015 10:41 Snáď mi nechceš povedať že týmu vývojárov trvá opraviť chybu, i keď zložitú viac ako 90 dni. A že spoločnosti ako MS alebo Apple nemajú prostriedky na to, aby to stihli v danom termíne. MS donedávna vždy kašlal na bezpečnosť a v minulosti nebol problém aby chyba nebola v OS patchnuta aj niekoľko mesiacov. Preto tých 90 dni. Je to dostatok času na opravu a kto tvrdí že nie, niky nerobil vývoj sw. Odpovedať Známka: 6.4 Hodnotiť:

Re: ked trva, tak trva Od reg.: jebebejbe | Pridané: 18.2.2015 10:54 operacny system su miliony riadkov kodu a niektore zasahy ovplyvnuju stovky dalsich veci (vratene sowtwaru 3. stran). navyse to nie je len o oprave, ale o zdokumentovani a odtestovani na nemalej vzorke hw, konfikuracii, dalsieho softwaru... takze 90 dni naozaj nemusi byt dost Odpovedať Známka: -5.2 Hodnotiť:

Re: ked trva, tak trva Od reg.: roob_ | Pridané: 18.2.2015 11:25 ser na to, niektori ludia tu si predstavuju veci ako hurvinek valku. Lehota v dnoch je irelevantna, ked to MS neopravi ani za 2 roky aj tak ich to neopravnuje zavaznu chybu zverejnit! z principu Odpovedať Známka: -9.0 Hodnotiť:

Re: ked trva, tak trva Od reg.: jupiii | Pridané: 18.2.2015 11:54 Ale opravnuje. Pretoze aj sam Google riskuje zneuzitie chyb softveru, ktory pouziva. A teda nemoze garantovat tretim stranam, ze uniknu ich citlive data. A teda pre zvysenie bezpecnosti tlaci na firmy vyvijajuce softver nielen opravovat chyby, ale im aj predvidat a venovat bezpecnosti softveru viac casu. Odpovedať Známka: 10.0 Hodnotiť:

Re: ked trva, tak trva Od reg.: jupiii | Pridané: 18.2.2015 11:54 Oprava: ze neuniknu Odpovedať Hodnotiť:

Re: ked trva, tak trva Od reg.: roob_ | Pridané: 18.2.2015 12:14 aha chapem, bojim sa zneuzitia chyby ktoru som nasiel, tak ju zverejnim, cim minimalizujem riziko ze sa to obrati proti mne :) ok, tak to je potom ina.. Odpovedať Známka: -10.0 Hodnotiť:

Re: ked trva, tak trva Od reg.: jupiii | Pridané: 18.2.2015 14:15 Dva problemy: 1. Moze ju uz davno zneuzivat lubovolny pocet osob/firiem 2. Ak ju vedia identifikovat, tak vedia aj urobit workaround - co pravdepodobne aj maju. Lenze zbytocne to zdrzuje a zbytocne im to dviha naklady Odpovedať Hodnotiť:

Re: ked trva, tak trva Od reg.: K-NinetyNine | Pridané: 18.2.2015 15:06 spravne. ak pohrozim autorovi ze ju zverejnim (a autor uz vie, ze to myslim vazne), tak ho dost motivujem k tomu, aby ju opravil, co zvysi aj moju bezpecnost. ak ju neodstrani a nahodou pouzivam ich sw, tak musim velmi rychlo utekat ku konkurencii (a po zverejneni chyby tak ucini aj cast populacie), ale aspon viem, ze chyba sa nezneuziva tajne ako tomu mohlo (a casto bolo) doteraz, ale ze jej existencia a potencialne riziko je zname kazdemu (a teda kazdy sa vie rozhodnut, ci chce toto riziko pouzivanim daneho sw podstupit alebo nie). Odpovedať Hodnotiť:

Re: ked trva, tak trva Od: Muad'Dib | Pridané: 19.2.2015 20:54 Nehnevaj sa, ale ak tí vývojári nedokážu opraviť chybu za 1 semester, tak by ich mali prepustiť naspäť do školy... Prečo by to nemali zverejniť??! Aby kadejakí kapitalisti (=tí, ktorí bohatnú z predaja popisov zraniteľností) na tom mohli ďalej nerušene bohatnúť?! Odpovedať Hodnotiť:

Re: ked trva, tak trva Od reg.: jupiii | Pridané: 18.2.2015 11:48 Zly technicky navrh softveru NIKDY nema byt ospravedlnenim jeho chybovosti!!! Preto WinXP mal po opravach vaznych chyb tak dodrbane zdrojaky, ze vela krat museli vydavat zaplatu na zaplaty. Preto aj vznikla Vista, kde ten navrh museli prepracovat a osamostatnili z jadra kopu casti kodu, ktore s nim nesuviseli (zvukove centrum, grafika, sietovky, ovladace tretich stran ...). Ak ma firma zly navrh, musi ho do buducej verzie prepracovat. No u MS, ktory je leaderom a dlhodobym inovatorom v oblasti vyvoja softveru (.NET a VisualStudio) ospravedlnovat "komplikovane opravovanie chyb vo Windowse" je nasmiech. Ked sa chyba da nasimulovat a je detailne popisany priebeh vyvolania chyby, tak jej oprava nemoze byt narocnejsia ako 1 mesiac. Odpovedať Známka: 5.7 Hodnotiť:

Re: ked trva, tak trva Od: ponozka | Pridané: 18.2.2015 13:25 na testovanie riesenia zabudas? u nas sa pouziva jeden mesiac, kedy sa veci zaplataju a chyba nesmie negativne ovplyvnit ziadny iny process. v inych firmach tri mesiace... niekde aj pol roka, zalezi od citlivosti procesu :) inak sa ti moze stat, ze ti oprava chyby (alebo pridanie novej funkcie) moze zrutit cely system (to, co sa ms podarilo pred par mesiacmi s win update. alebo heartbleed, ktory sa po pridavani funkcnosti, zrazu objavil. pripadne kernel panic, ktory sposobilo nove jadro. alebo ukazka sikovnosti aka goto, nech je uz koleso stastia kompletne). Odpovedať Známka: 2.0 Hodnotiť:

Re: ked trva, tak trva Od reg.: K-NinetyNine | Pridané: 18.2.2015 15:10 ak sa zrazi firma, ktora nutne potrebuje vsetko funkcne, bez odstavok a riadne otestovane so sw od firmy, ktora nie je schopna poriadne pisat kod, pripadnu najdenu chybu odstranit, otestovat a patch distribuovat do 90 dni od ziskania podrobnej specifikacie chyby, tak to vyzera celkom zaujimavo a som rad, ze som doteraz nemusel stat v centre takej kolizie. Odpovedať Hodnotiť:

Re: ked trva, tak trva Od reg.: K-NinetyNine | Pridané: 18.2.2015 15:17 zrutenie win po update bolo sposobene nedostatocnym testovanim (myslim ze ani neslo o kriticke updaty a ich oprava taktiez zahadne netrvala 90 dni). heartbleed bol opraveny takmer okamzite (podstatne menej nez 90 dni). spominane goto je ukazka zlych programovacich navykov a pokial je vyvoj sw (a pripadne aj oprava najdenych chyb) brzdena zlymi programatormi, tak chyba je v tych programatoroch a nie v nedostatku casu. casu mali dostatok - dlhe roky studia ako programovat. Odpovedať Hodnotiť:

Re: operacny system su miliony riadkov kodu Od: Rudolf Dovičín | Pridané: 18.2.2015 19:52 Vieš, chlapci ( a možno aj dievčence ;-) od Digital Equipment Corporation vyvinuli Microsoftu modulárne jadro Windows NT, ktoré používajú dodnes. Vieš, čo znamená slovko "modulárny"? To, že Microsoft nevie implementovať protokoly ako napr. LDAP v podobe jeho deravého Active Directory, http://Google.com/search?numq=Micosoft+JasBug je niečo úplne iné. Za také fatálne chyby sa platí. (Tým ignorantom trvalo viac ako rok to opraviť.) Žiaľ, škody nehradí Microsoft, ale poškodení zákazníci a ich zákazníci a kopa ďalších nevinných ľudí, ktorí sú napádaní (napr. DDoS) infikovanými počítačmi s malware Microsoft Windows... Odpovedať Hodnotiť:

Re: ked trva, tak trva Od: wtf | Pridané: 18.2.2015 17:34 stavim sa ze pouzivas android telefon na verzi 4.3 :D :D Odpovedať Hodnotiť:

super Od: baGoLo | Pridané: 18.2.2015 9:39 Myslím, že idú veľmi správnou cestou. Som rád, že existuje Project Zero. Odpovedať Známka: 9.0 Hodnotiť:

Re: super Od: Tomek ma bobek | Pridané: 18.2.2015 11:14 Poďme si aj my spraviť spoločný projekt, ProjektDSL.sk! len neviem čo vyprojektovať :/ Odpovedať Známka: 5.0 Hodnotiť:

aaaaBpiaty_znak Od: dsajfl | Pridané: 18.2.2015 9:50 Takýto postup je skvelý pre užívateľa, ale čo z toho má google? Fakt mu ide len o to aby zlepšil bezpečnosť? Odpovedať Známka: 5.0 Hodnotiť:

Re: aaaaBpiaty_znak Od: baGoLo | Pridané: 18.2.2015 10:21 Google je hlavne spoločnosť postavená na internete a technologických inováciách. Ak budú technológie zraniteľné a zneužiteľné (viď nedávnu BMW kauzu), je to len kvôli nedôslednému prístupu vývojárov (a teda aj firiem, ktoré týchto vývojárov platia). Myslím, že platí rovnica: čím viac chýb, tým viac zneužití a o to viac obáv a o to menej technológií v našom živote. ...a pre Google platí rovnica: čím viac technológií vo svete, o to viac biznisu pre firmu ako je Google. Prečo spustili Project Zero? ...podľa mňa preto, lebo s ich príjmami si to jednoducho môžu dovoliť... ...zamestnajú hackerov, ktorí pracujú na identifikácii chýb, tým pádom nebudú títo hackeri riešiť zneužívanie týchto chýb, tým pádom bude menej zneužití a tým pádom prispejú k tomu, aby technológie boli lepšie... Niekto by možno za rovnaký budget podporoval nejaký športový klub, ale oni sa rozhodli investovať do hackerov. Takto to vidím ja. Odpovedať Známka: 9.2 Hodnotiť:

Re: aaaaBpiaty_znak Od: gugel | Pridané: 19.2.2015 15:59 A ja to vidim takto: pred rokmi sme sa pytali, ze preco gugel poskytuje zadarmo najlepsi vyhladavac? Potom, ze preco dava zadarmo najlepsi gmail s najvacsou kapacitou a funkcnostou? Potom sa zacalo tvrdit, ze asi kvoli reklamam, na ktorych dokaze krasne zarobit (a vraj su efektivne - vyhodne aj pre zadavatelov). V poslednom case vraj kvoli tomu, aby mohol spehovat. Extrapolaciou by sa dalo povedat, ze p0 je kvoli tomu, aby strapnil konkurenciu a vsetkym natlacil svoje chrome androidy a iny spyware. (Tu ma napada aj ze preco chce davat ssl certifikaty zadara: lebo ich uz prelomil:)) Nie som hater, pouzivam aj android aj obcas windows a myslim si, ze okrem chyb tam aj nieco funguje. Ale srandu z konspiracnych teoretikov sme mali len do doby snowdena a spol. Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár