Google dal před časem konkurenčním společnostem ultimátum: Buďto vydáte záplaty na svůj software do devadesáti dnů, nebo bezpečnostní chyby zveřejníme. Řadě z nich se to však nelíbí.
Elitní tým programátorů z Googlu hledá bezpečnostní díry ve svém vlastním softwaru a v softwaru konkurence, přičemž následně dává firmám omezený čas na vydání aktualizací. Google říká, že softwaroví vývojáři musejí reagovat rychle, protože sami kybernetičtí zločinci jednají – pokud najdou v softwaru nějakou díru – s rychlostí světla.
Jde o citlivé téma – Microsoft a Apple odmítli o své taktice hovořit, zatímco jiné technologické firmy podnikající v tomto odvětví říkají, že pomoc v tomto směru není vždy vítána. „Nevím, kdo z Googlu udělal oficiálního hlídače trhu, který upozorňuje na nalezené díry,“ uvedl John Dickson ze společnosti Denim Group s tím, že tlak na firmy, aby rychle opravily díry, je ve své podstatě dobrým nápadem, ale je otázkou, jaké jsou opravdové motivy Googlu.
Google tým vytvořil v červenci 2014 a nazval jej Project Zero. Tým tak dostal pojmenování po tzv. „zero day“ bezpečnostních dírách, které jsou útočníky zneužívány před tím, než se o nich vývojáři dozví. Google tvrdí, že se snaží pomoci a zároveň chránit své vlastní produkty, které běží na zařízeních třetích stran. A to je činnost, kterou by se spíše měla zabývat nějaká vládní agentura.
O roli soukromého a veřejného sektoru se mluvilo tento týden na bezpečnostní konferenci v Palo Altu, kde prezident Obama volal po tom, aby technologičtí lídři zlepšili svou spolupráci a sdíleli spolu více informací.
Někteří odborníci však zvažují, do jaké míry bude možné spolupráci rozšířit. „Podporujeme řadu různých snah včetně projektu Zero a našeho Security Reward programu, jež mají sloužit k nalezení online bezpečnostních hrozeb,“ uvedl mluvčí Googlu Aaron Stein. Apple se odmítl vyjádřit, zatímco Microsoft pouze odkázal na své předchozí prohlášení, v němž se ke snahám Googlu nevyjádřil příliš kladně.
„Pokud spolu tyto společnosti neumějí vycházet, je to špatné pro bezpečnost celého ekosystému,“ uvedl Jake Kouns ze společnosti Risk Based Security.
Odpůrci praktik Googlu poukazují na to, že americký gigant tím, že zveřejňuje informace o bezpečnostních dírách ještě před tím, než jsou záplatovány, uvádí uživatele do nebezpečí. Hackeři totiž pracují rychle. Čínští útočníci zneužili v minulém roce bezpečnostní díru známou jako Heartbleed k útoku na Community Health Systems jen týden poté, co se o ní začalo psát na internetu.
Apple nedávno žádal Google, aby počkal asi týden před tím, než zveřejní informace o třech dírách v operačním systému Mac OS X, aby bylo možné mezitím vydat záplatu. Google to však podle blíže nejmenovaných zdrojů agentury Bloomberg odmítl a informace o díře zveřejnil. Microsoft pak v minulém roce chtěl dva dny navíc na opravu díry ve Windows, avšak Google se zachoval stejně, jako u Apple a informace publikoval bez ohledu na záplatu. Zastánci Googlu tvrdí, že tvrdý přístup tohoto amerického gigantu pomůže změnit praktiky, kdy firmám často trvá několik měsíců či dokonce let, než vydají záplaty na některé díry.
Podle analýzy Risk Based Security projekt Zero identifikoval 39 děr v produktech Apple a 20 v produktech Microsoftu. Tým navíc našel 37 děr v softwaru Adobe Systems a 33 v knihovně FreeType.
Projekt Zero podle Kounse zveřejnil informace o dírách v softwaru Apple bez ohledu na vydání aktualizace v asi šestnácti případech, u Microsoftu ve třech případech a u Adobe k tomu došlo jednou. Podle Toma Gorupa ze společnosti Rook Security je „striktní politika pro průmysl jako celek dobrá“ a Google by za to měl být oceněn. „Běžný člověk na ulici nemá tušení o tom, co všechno Google dělá,“ uvedl Gorup. „Pokud máme velké společnosti jako Microsoft, Apple a Google, které po sobě jdou a zlepšují tak bezpečnost, pro konečné uživatele to je výhra.“
Google vytvořil projekt Zero poté, co se objevily informace o Heartbleed a špionážních praktikách americké NSA. „Internet byste měli být schopni používat bez obav z toho, že vás někdo špehuje a krade vaše tajemství,“ uvedli 15. července na blogu vývojáři z projektu Zero. „Naším cílem je znatelně zredukovat množství lidí, které jsou těmito útoky postiženi.“
Podle Christophera Kissela ze společnosti Frost & Sullivan počet nalezených bezpečnostních děr vzrostl z 5174 v roce 2013 na 7903 v roce 2014. V průměru pak trvalo firmám 205 dnů, než zjistili, že hackeři pronikli do jejich sítí.
„I když řada útočníků využívá zero-day díry, mnoho jich zneužívá také díry, na něž již byly vydány patche, přičemž počítají s tím, že aktualizační proces některých subjektů je pomalý a vlastníci sítí určité díry vůbec nezáplatují,“ stojí v lednovém prohlášení FBI.
Podle Craiga Younga ze společnosti Tripwire Pro může být 90denní lhůta pro velké firmy, které se musí probírat tisíci řádky kódu a ujistit se, že patche negativně neovlivní fungování jiného softwaru, opravdu krátká. V řadě případů však firmy nejednají tak rychle, jak by měly. „Zaznamenali jsme řadu případů, kde firmy nejednaly až do té doby, než se o daném problému začalo psát nebo nešlo o bezprostřední riziko,“ dodal Young.
