Technologickým firmám se nelíbí tlak Googlu na vydávání bezpečnostních aktualizací

Martin Stančík , 13. únor 2015 07:40 7 komentářů
Rubriky: Security
Technologickým firmám se nelíbí tlak Googlu na vydávání bezpečnostních aktualizací

Google dal před časem konkurenčním společnostem ultimátum: Buďto vydáte záplaty na svůj software do devadesáti dnů, nebo bezpečnostní chyby zveřejníme. Řadě z nich se to však nelíbí.

Elitní tým programátorů z Googlu hledá bezpečnostní díry ve svém vlastním softwaru a v softwaru konkurence, přičemž následně dává firmám omezený čas na vydání aktualizací. Google říká, že softwaroví vývojáři musejí reagovat rychle, protože sami kybernetičtí zločinci jednají - pokud najdou v softwaru nějakou díru - s rychlostí světla.

Jde o citlivé téma - Microsoft a Apple odmítli o své taktice hovořit, zatímco jiné technologické firmy podnikající v tomto odvětví říkají, že pomoc v tomto směru není vždy vítána. "Nevím, kdo z Googlu udělal oficiálního hlídače trhu, který upozorňuje na nalezené díry," uvedl John Dickson ze společnosti Denim Group s tím, že tlak na firmy, aby rychle opravily díry, je ve své podstatě dobrým nápadem, ale je otázkou, jaké jsou opravdové motivy Googlu.

Google tým vytvořil v červenci 2014 a nazval jej Project Zero. Tým tak dostal pojmenování po tzv. "zero day" bezpečnostních dírách, které jsou útočníky zneužívány před tím, než se o nich vývojáři dozví. Google tvrdí, že se snaží pomoci a zároveň chránit své vlastní produkty, které běží na zařízeních třetích stran. A to je činnost, kterou by se spíše měla zabývat nějaká vládní agentura.

O roli soukromého a veřejného sektoru se mluvilo tento týden na bezpečnostní konferenci v Palo Altu, kde prezident Obama volal po tom, aby technologičtí lídři zlepšili svou spolupráci a sdíleli spolu více informací.

Někteří odborníci však zvažují, do jaké míry bude možné spolupráci rozšířit. "Podporujeme řadu různých snah včetně projektu Zero a našeho Security Reward programu, jež mají sloužit k nalezení online bezpečnostních hrozeb," uvedl mluvčí Googlu Aaron Stein. Apple se odmítl vyjádřit, zatímco Microsoft pouze odkázal na své předchozí prohlášení, v němž se ke snahám Googlu nevyjádřil příliš kladně.

"Pokud spolu tyto společnosti neumějí vycházet, je to špatné pro bezpečnost celého ekosystému," uvedl Jake Kouns ze společnosti Risk Based Security.

Odpůrci praktik Googlu poukazují na to, že americký gigant tím, že zveřejňuje informace o bezpečnostních dírách ještě před tím, než jsou záplatovány, uvádí uživatele do nebezpečí. Hackeři totiž pracují rychle. Čínští útočníci zneužili v minulém roce bezpečnostní díru známou jako Heartbleed k útoku na Community Health Systems jen týden poté, co se o ní začalo psát na internetu.

Apple nedávno žádal Google, aby počkal asi týden před tím, než zveřejní informace o třech dírách v operačním systému Mac OS X, aby bylo možné mezitím vydat záplatu. Google to však podle blíže nejmenovaných zdrojů agentury Bloomberg odmítl a informace o díře zveřejnil. Microsoft pak v minulém roce chtěl dva dny navíc na opravu díry ve Windows, avšak Google se zachoval stejně, jako u Apple a informace publikoval bez ohledu na záplatu. Zastánci Googlu tvrdí, že tvrdý přístup tohoto amerického gigantu pomůže změnit praktiky, kdy firmám často trvá několik měsíců či dokonce let, než vydají záplaty na některé díry.

Podle analýzy Risk Based Security projekt Zero identifikoval 39 děr v produktech Apple a 20 v produktech Microsoftu. Tým navíc našel 37 děr v softwaru Adobe Systems a 33 v knihovně FreeType.

Projekt Zero podle Kounse zveřejnil informace o dírách v softwaru Apple bez ohledu na vydání aktualizace v asi šestnácti případech, u Microsoftu ve třech případech a u Adobe k tomu došlo jednou. Podle Toma Gorupa ze společnosti Rook Security je "striktní politika pro průmysl jako celek dobrá" a Google by za to měl být oceněn. "Běžný člověk na ulici nemá tušení o tom, co všechno Google dělá," uvedl Gorup. "Pokud máme velké společnosti jako Microsoft, Apple a Google, které po sobě jdou a zlepšují tak bezpečnost, pro konečné uživatele to je výhra."

Google vytvořil projekt Zero poté, co se objevily informace o Heartbleed a špionážních praktikách americké NSA. "Internet byste měli být schopni používat bez obav z toho, že vás někdo špehuje a krade vaše tajemství," uvedli 15. července na blogu vývojáři z projektu Zero. "Naším cílem je znatelně zredukovat množství lidí, které jsou těmito útoky postiženi."

Podle Christophera Kissela ze společnosti Frost & Sullivan počet nalezených bezpečnostních děr vzrostl z 5174 v roce 2013 na 7903 v roce 2014. V průměru pak trvalo firmám 205 dnů, než zjistili, že hackeři pronikli do jejich sítí.

"I když řada útočníků využívá zero-day díry, mnoho jich zneužívá také díry, na něž již byly vydány patche, přičemž počítají s tím, že aktualizační proces některých subjektů je pomalý a vlastníci sítí určité díry vůbec nezáplatují," stojí v lednovém prohlášení FBI.

Podle Craiga Younga ze společnosti Tripwire Pro může být 90denní lhůta pro velké firmy, které se musí probírat tisíci řádky kódu a ujistit se, že patche negativně neovlivní fungování jiného softwaru, opravdu krátká. V řadě případů však firmy nejednají tak rychle, jak by měly. "Zaznamenali jsme řadu případů, kde firmy nejednaly až do té doby, než se o daném problému začalo psát nebo nešlo o bezprostřední riziko," dodal Young.


Komentáře

Alois #0
Alois 13. únor 2015 09:02

Tak by se měly chovat postižené firmy stejně. Má divize google průser, tak ho pěkně s detaily zveřejnit.

Peter #3
Peter 14. únor 2015 07:08

A na to znova Google odpovie že ho nezaujímajú bezpečnostné chyby v jeho produktoch, tak ako to bolo teraz v prípade Androidového prehliadača internetu. A to aj v prípade že sa jedná o závažné bezpečnostné chyby.

Má rád keď niekto používa dvojakí meter. Imponuje mi to. Len najsilnejší z vyvolených si to môžu dovoliť. A preto musíme zvolať referendum za zrušenie antimonopolného zákona!

Honza #4
Honza 14. únor 2015 10:32

Tak ta chyba je zajímala a byla opravena, ale Google neovlivní její distribuci na koncová zařízení...

Peter #5
Peter 14. únor 2015 11:43

Keby bola tá chyba opravená, tak je záplata zverejnená pre celý aktívny ekosystém Androidu. Nielen pre poslednú Betu generácie 5.

Ak sa mýlim, tak ma prosim Ťa oprav a prezraď kde Google zverejnil danú opravu. Kľudne môžeš aj vyniesť firemné tajomstvo, veď to robíš v záujme zachovania dobrého mena tvojmu zamestnávateľovi. On to žiaľ neurobil.

Pavel Šimerda #1
Pavel Šimerda 13. únor 2015 12:36

Devadesát dní je nehorázně dlouhá doba. Taky by to mohli zveřejňovat hned. Není důvod, proč by to nemol dělat zrovna Google a stovky dalších firem a jednotlivců. Alespoň nebudou tak lehce podplatitelní jako vládní agentury, protože podplácející nikdy nebude vědět, jestli někdo další chybu rovněž objevil nebo jestli se o ní dozvěděl bokem.

Jestli Google upozorní tvůrce, počká devadesát dní a i tak vydá upozornění dříve, než je software záplatovaný, tak by se měl asi někdo pořádně zamyslet.

Za dva týdny můžou ve firmě přijít na to, kdo je za řešení chyby zodpovědný, za další dva týdny můžou připravit záplatu, další dva týdny se věnovat testování a pořád jim zbývá více než měsíc na distribuci. Kolik by na to asi tak chtěli času? Rok?

Roman Vráblík #2
Roman Vráblík 13. únor 2015 14:11

Naprostý souhlas s předchozími komentářemi:
1) GOOGLE je TOP1 technologická firma, která s bezpečnostními problémy alespon chce pohnout! (má na to peníze, čas, znalé a schopné zaměstnance, energii a hlavně odvahu)

2) 90 dnů je podle mě také rozumné maximum. Už při 30 dnech bz "Tým ZERO" měl dávat připomínku vývojářům ohrožených produktů Applu, MicroSoftu, ale i Google upomínku o vydání opravných bezpečnostních aktualizací!! Po 60 dnech druhou upomínku a po 90 dnech chybu bez jakýchkoliv vyjímek zveřejnit!!!!

3) Pikantní na vyjádření Microsoftu o funkčnosti takového tlaku při vydávání bezpečnostích aktualizací je to, že přecházejí základní skutečnost: od ranného vývoje Windows se věnovali hlavně vývoji her, marketingu/reklamám a nejvíce finančnímu modelu, tj. jak z Windows vytěžit co nejvíc! Veřejným tajemstvím je, že MS vypustí jako odladěnou novinku nový OS, ale ve skutečnosti vypustil BETA verzi (viz WINDOWS-VISTA=6.0 a WINDOWS7=6.1 !!!. Nikdo z Microsoftu už dnes nemluví o návrhu, o kterém mluvili "tiše" (jen v byznys sektoru) před pár lety: kyberbezpečnost je finančně náročná, proto MS bude od VŠECH UŽIVATELŮ VYBÍRAT POPLATKY A ROZDĚLOVAT JE NA BEZPEČNOSTNÍ PROJEKTY!!! Proti realizaci takového nápadu se naštěstí mnoho firem ozvalo a MS se dnes o tom raději nešíří, aby si nenaboural své "dobré jméno firmy"...

4) Microsoft i Apple mohou udělat to samé: Postavit svůj "tým ZERO", zkoumat své i konkurenční produkty. Ale měl by také dávat druhým nejvíce 2 upomínky a po 90 dnech chybu prostě zveřejnit...

5) Bohužel všechny 3 firmy by se měli věnovat nejen následkům (tj. vydávání bezpečnostních aktualizací), ale hlavně prevenci: Mám na mysli vývoj mnoha malých bezpečnostních utilit, kterými by administrátor mohl "obalit" OS počítače i několika desítkami různě zkombinovaných "bezpečnostních vrstev". Tím by značně ztížili hackerům (ale také i sobě :-) přístup do jiného sítového PC !!!

dev4 #6
dev4 16. únor 2015 15:00

Prevence znamená především dělat všechno pořádně a pak 'jen' udržovat, což je hlavně na zažátku drahé a vypatí se to až časem, takže firmy velké i malé volí postup udělat to nějak a pak už na to nesahat.
Jo to s tou vládní agenturou, to se povedlo velmi diplomaticky říct že jim to vadí a chtějí to zrušit, aleb když něco funguje svěřte to státu, spotřebuje to mnohem víc drojů a fungovat to přestane.


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář

20. 03.

24. 03.
CeBIT 2017
RSS 

Zprávičky

Nový zákon o výzkumu chystá "blacklist" příjemců i ministerstvo

ČTK , 09. prosinec 2016 16:31

Velké změny ve fungování Grantové a Technologické agentury, novou vědeckou radu ČR i takzvaný "black...

Více 0 komentářů

Fitbit koupil průkopníka chytrých hodinek Pebble

ČTK , 09. prosinec 2016 15:00

Americký výrobce chytrých náramků a hodinek Fitbit koupil software, patenty a další aktiva duševního...

Více 0 komentářů

Američané možná umožní v letadlech telefonování přes wi-fi

ČTK , 09. prosinec 2016 13:00

Aerolinky ve Spojených státech by v budoucnu mohly umožňovat telefonování v letadle s použitím wi-fi...

Více 2 komentářů

Starší zprávičky

Česká pošta od ledna zdraží posílání do zahraničí o pět až 20 Kč

ČTK , 09. prosinec 2016 11:39

Česká pošta od ledna zvýší ceny za posílání listovních zásilek do zahraničí o pět korun, balíky podr...

Více 0 komentářů

Za vzněcováním smartphonu iPhone 6 jsou vnější vlivy, tvrdí Apple

ČTK , 08. prosinec 2016 11:30

Firma Apple odmítla podezření čínských uživatelů svého chytrého telefonu iPhone 6, že za problémy s ...

Více 0 komentářů

Verizon prodá firmě Equinix datová centra za 3,6 miliardy USD

ČTK , 08. prosinec 2016 10:00

Největší americký mobilní operátor Verizon Communications prodá specializované společnosti Equinix 2...

Více 0 komentářů

Tchajwanský Foxconn jedná o rozšíření svých aktivit v USA

ČTK , 07. prosinec 2016 15:00

Tchajwanská společnost Foxconn jedná o rozšíření svých aktivit ve Spojených státech. Oznámila to dne...

Více 0 komentářů