Technologickým firmám se nelíbí tlak Googlu na vydávání bezpečnostních aktualizací

Martin Stančík , 13. únor 2015 07:40 7 komentářů
Rubriky: Security
Technologickým firmám se nelíbí tlak Googlu na vydávání bezpečnostních aktualizací

Google dal před časem konkurenčním společnostem ultimátum: Buďto vydáte záplaty na svůj software do devadesáti dnů, nebo bezpečnostní chyby zveřejníme. Řadě z nich se to však nelíbí.

Elitní tým programátorů z Googlu hledá bezpečnostní díry ve svém vlastním softwaru a v softwaru konkurence, přičemž následně dává firmám omezený čas na vydání aktualizací. Google říká, že softwaroví vývojáři musejí reagovat rychle, protože sami kybernetičtí zločinci jednají - pokud najdou v softwaru nějakou díru - s rychlostí světla.

Jde o citlivé téma - Microsoft a Apple odmítli o své taktice hovořit, zatímco jiné technologické firmy podnikající v tomto odvětví říkají, že pomoc v tomto směru není vždy vítána. "Nevím, kdo z Googlu udělal oficiálního hlídače trhu, který upozorňuje na nalezené díry," uvedl John Dickson ze společnosti Denim Group s tím, že tlak na firmy, aby rychle opravily díry, je ve své podstatě dobrým nápadem, ale je otázkou, jaké jsou opravdové motivy Googlu.

Google tým vytvořil v červenci 2014 a nazval jej Project Zero. Tým tak dostal pojmenování po tzv. "zero day" bezpečnostních dírách, které jsou útočníky zneužívány před tím, než se o nich vývojáři dozví. Google tvrdí, že se snaží pomoci a zároveň chránit své vlastní produkty, které běží na zařízeních třetích stran. A to je činnost, kterou by se spíše měla zabývat nějaká vládní agentura.

O roli soukromého a veřejného sektoru se mluvilo tento týden na bezpečnostní konferenci v Palo Altu, kde prezident Obama volal po tom, aby technologičtí lídři zlepšili svou spolupráci a sdíleli spolu více informací.

Někteří odborníci však zvažují, do jaké míry bude možné spolupráci rozšířit. "Podporujeme řadu různých snah včetně projektu Zero a našeho Security Reward programu, jež mají sloužit k nalezení online bezpečnostních hrozeb," uvedl mluvčí Googlu Aaron Stein. Apple se odmítl vyjádřit, zatímco Microsoft pouze odkázal na své předchozí prohlášení, v němž se ke snahám Googlu nevyjádřil příliš kladně.

"Pokud spolu tyto společnosti neumějí vycházet, je to špatné pro bezpečnost celého ekosystému," uvedl Jake Kouns ze společnosti Risk Based Security.

Odpůrci praktik Googlu poukazují na to, že americký gigant tím, že zveřejňuje informace o bezpečnostních dírách ještě před tím, než jsou záplatovány, uvádí uživatele do nebezpečí. Hackeři totiž pracují rychle. Čínští útočníci zneužili v minulém roce bezpečnostní díru známou jako Heartbleed k útoku na Community Health Systems jen týden poté, co se o ní začalo psát na internetu.

Apple nedávno žádal Google, aby počkal asi týden před tím, než zveřejní informace o třech dírách v operačním systému Mac OS X, aby bylo možné mezitím vydat záplatu. Google to však podle blíže nejmenovaných zdrojů agentury Bloomberg odmítl a informace o díře zveřejnil. Microsoft pak v minulém roce chtěl dva dny navíc na opravu díry ve Windows, avšak Google se zachoval stejně, jako u Apple a informace publikoval bez ohledu na záplatu. Zastánci Googlu tvrdí, že tvrdý přístup tohoto amerického gigantu pomůže změnit praktiky, kdy firmám často trvá několik měsíců či dokonce let, než vydají záplaty na některé díry.

Podle analýzy Risk Based Security projekt Zero identifikoval 39 děr v produktech Apple a 20 v produktech Microsoftu. Tým navíc našel 37 děr v softwaru Adobe Systems a 33 v knihovně FreeType.

Projekt Zero podle Kounse zveřejnil informace o dírách v softwaru Apple bez ohledu na vydání aktualizace v asi šestnácti případech, u Microsoftu ve třech případech a u Adobe k tomu došlo jednou. Podle Toma Gorupa ze společnosti Rook Security je "striktní politika pro průmysl jako celek dobrá" a Google by za to měl být oceněn. "Běžný člověk na ulici nemá tušení o tom, co všechno Google dělá," uvedl Gorup. "Pokud máme velké společnosti jako Microsoft, Apple a Google, které po sobě jdou a zlepšují tak bezpečnost, pro konečné uživatele to je výhra."

Google vytvořil projekt Zero poté, co se objevily informace o Heartbleed a špionážních praktikách americké NSA. "Internet byste měli být schopni používat bez obav z toho, že vás někdo špehuje a krade vaše tajemství," uvedli 15. července na blogu vývojáři z projektu Zero. "Naším cílem je znatelně zredukovat množství lidí, které jsou těmito útoky postiženi."

Podle Christophera Kissela ze společnosti Frost & Sullivan počet nalezených bezpečnostních děr vzrostl z 5174 v roce 2013 na 7903 v roce 2014. V průměru pak trvalo firmám 205 dnů, než zjistili, že hackeři pronikli do jejich sítí.

"I když řada útočníků využívá zero-day díry, mnoho jich zneužívá také díry, na něž již byly vydány patche, přičemž počítají s tím, že aktualizační proces některých subjektů je pomalý a vlastníci sítí určité díry vůbec nezáplatují," stojí v lednovém prohlášení FBI.

Podle Craiga Younga ze společnosti Tripwire Pro může být 90denní lhůta pro velké firmy, které se musí probírat tisíci řádky kódu a ujistit se, že patche negativně neovlivní fungování jiného softwaru, opravdu krátká. V řadě případů však firmy nejednají tak rychle, jak by měly. "Zaznamenali jsme řadu případů, kde firmy nejednaly až do té doby, než se o daném problému začalo psát nebo nešlo o bezprostřední riziko," dodal Young.


Komentáře

Alois #0
Alois 13. únor 2015 09:02

Tak by se měly chovat postižené firmy stejně. Má divize google průser, tak ho pěkně s detaily zveřejnit.

Peter #3
Peter 14. únor 2015 07:08

A na to znova Google odpovie že ho nezaujímajú bezpečnostné chyby v jeho produktoch, tak ako to bolo teraz v prípade Androidového prehliadača internetu. A to aj v prípade že sa jedná o závažné bezpečnostné chyby.

Má rád keď niekto používa dvojakí meter. Imponuje mi to. Len najsilnejší z vyvolených si to môžu dovoliť. A preto musíme zvolať referendum za zrušenie antimonopolného zákona!

Honza #4
Honza 14. únor 2015 10:32

Tak ta chyba je zajímala a byla opravena, ale Google neovlivní její distribuci na koncová zařízení...

Peter #5
Peter 14. únor 2015 11:43

Keby bola tá chyba opravená, tak je záplata zverejnená pre celý aktívny ekosystém Androidu. Nielen pre poslednú Betu generácie 5.

Ak sa mýlim, tak ma prosim Ťa oprav a prezraď kde Google zverejnil danú opravu. Kľudne môžeš aj vyniesť firemné tajomstvo, veď to robíš v záujme zachovania dobrého mena tvojmu zamestnávateľovi. On to žiaľ neurobil.

Pavel Šimerda #1
Pavel Šimerda 13. únor 2015 12:36

Devadesát dní je nehorázně dlouhá doba. Taky by to mohli zveřejňovat hned. Není důvod, proč by to nemol dělat zrovna Google a stovky dalších firem a jednotlivců. Alespoň nebudou tak lehce podplatitelní jako vládní agentury, protože podplácející nikdy nebude vědět, jestli někdo další chybu rovněž objevil nebo jestli se o ní dozvěděl bokem.

Jestli Google upozorní tvůrce, počká devadesát dní a i tak vydá upozornění dříve, než je software záplatovaný, tak by se měl asi někdo pořádně zamyslet.

Za dva týdny můžou ve firmě přijít na to, kdo je za řešení chyby zodpovědný, za další dva týdny můžou připravit záplatu, další dva týdny se věnovat testování a pořád jim zbývá více než měsíc na distribuci. Kolik by na to asi tak chtěli času? Rok?

Roman Vráblík #2
Roman Vráblík 13. únor 2015 14:11

Naprostý souhlas s předchozími komentářemi:
1) GOOGLE je TOP1 technologická firma, která s bezpečnostními problémy alespon chce pohnout! (má na to peníze, čas, znalé a schopné zaměstnance, energii a hlavně odvahu)

2) 90 dnů je podle mě také rozumné maximum. Už při 30 dnech bz "Tým ZERO" měl dávat připomínku vývojářům ohrožených produktů Applu, MicroSoftu, ale i Google upomínku o vydání opravných bezpečnostních aktualizací!! Po 60 dnech druhou upomínku a po 90 dnech chybu bez jakýchkoliv vyjímek zveřejnit!!!!

3) Pikantní na vyjádření Microsoftu o funkčnosti takového tlaku při vydávání bezpečnostích aktualizací je to, že přecházejí základní skutečnost: od ranného vývoje Windows se věnovali hlavně vývoji her, marketingu/reklamám a nejvíce finančnímu modelu, tj. jak z Windows vytěžit co nejvíc! Veřejným tajemstvím je, že MS vypustí jako odladěnou novinku nový OS, ale ve skutečnosti vypustil BETA verzi (viz WINDOWS-VISTA=6.0 a WINDOWS7=6.1 !!!. Nikdo z Microsoftu už dnes nemluví o návrhu, o kterém mluvili "tiše" (jen v byznys sektoru) před pár lety: kyberbezpečnost je finančně náročná, proto MS bude od VŠECH UŽIVATELŮ VYBÍRAT POPLATKY A ROZDĚLOVAT JE NA BEZPEČNOSTNÍ PROJEKTY!!! Proti realizaci takového nápadu se naštěstí mnoho firem ozvalo a MS se dnes o tom raději nešíří, aby si nenaboural své "dobré jméno firmy"...

4) Microsoft i Apple mohou udělat to samé: Postavit svůj "tým ZERO", zkoumat své i konkurenční produkty. Ale měl by také dávat druhým nejvíce 2 upomínky a po 90 dnech chybu prostě zveřejnit...

5) Bohužel všechny 3 firmy by se měli věnovat nejen následkům (tj. vydávání bezpečnostních aktualizací), ale hlavně prevenci: Mám na mysli vývoj mnoha malých bezpečnostních utilit, kterými by administrátor mohl "obalit" OS počítače i několika desítkami různě zkombinovaných "bezpečnostních vrstev". Tím by značně ztížili hackerům (ale také i sobě :-) přístup do jiného sítového PC !!!

dev4 #6
dev4 16. únor 2015 15:00

Prevence znamená především dělat všechno pořádně a pak 'jen' udržovat, což je hlavně na zažátku drahé a vypatí se to až časem, takže firmy velké i malé volí postup udělat to nějak a pak už na to nesahat.
Jo to s tou vládní agenturou, to se povedlo velmi diplomaticky říct že jim to vadí a chtějí to zrušit, aleb když něco funguje svěřte to státu, spotřebuje to mnohem víc drojů a fungovat to přestane.

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
01. 09.

06. 09.
IFA 2017
RSS 

Zprávičky

Apple ukončí prodej iPodů Shuffle a Nano

ČTK , 28. červenec 2017 14:54

Přehrávače hudby jsou další obětí chytrých telefonů. Jediným přístrojem s jednostranným použitím, kt...

Více 0 komentářů

Operátor O2 zvýšil v pololetí zisk o 3 % na 2,6 mld. Kč

ČTK , 28. červenec 2017 11:05

Důvodem růstu jsou zejména vyšší výnosy z O2 TV a z mobilního internetu. ...

Více 0 komentářů

28 % organizací po celém světě bylo v červnu postiženo malvertisingovou kampaní RoughTed

Pavel Houser , 28. červenec 2017 10:00

RoughTed byl velmi nebezpečný už koncem května a během června dosáhl zatím svého maxima. ...

Více 0 komentářů

Starší zprávičky

Samsung díky čipům a obrazovkám vykázal rekordní zisk

ČTK , 28. červenec 2017 09:00

Samsung ve čtvrtletí překonal ve výrobě čipů Intel a stal se největším výrobcem čipů na světě....

Více 0 komentářů

Foxconn postaví v USA továrnu za 10 miliard dolarů

ČTK , 28. červenec 2017 08:00

Foxconn je mimo jiné hlavním dodavatelem Applu, výrobní závody má i v ČR....

Více 0 komentářů

Pozornost věnovaná e-mailům se zvyšuje

ITBiz.cz , 27. červenec 2017 13:30

Průměrný čas strávený čtením e-mailu se mezi lety 2011-16 zvýšil o 7 %. V průběhu 6 let, mezi roky 2...

Více 0 komentářů

Zisk Facebooku prudce stoupl

ČTK , 27. červenec 2017 10:30

Celkové příjmy společnosti se zvýšily o téměř 45 % na 9,32 miliardy dolarů....

Více 0 komentářů