Když do 90 dní chybu neodstraníte, tak vše zveřejníme!
V červenci minulého roku zahájila společnost Google tzv. Project Zero.
Cílem tohoto projektu je odhalování zranitelností nultého dne v široce používaném software, které jsou dost často zneužívány k šíření malware a nejrůznějším APT útokům. Google ve svém prohlášení tehdy uvedl, že chyby, které odhalí, bude reportovat pouze výrobcům daného software.
A aby bylo možné sledovat, jak rychle výrobci na jejich hlášení reagují, tak bude tyto chyby též zapisovat do veřejně přístupné databáze. A pokud daná společnost do 90 dnů chybu ve svém software neopraví a neuvolní příslušný patch, tak ji zveřejní včetně detailního popisu.
Tento termín a další postup samozřejmě v odkazovaném prohlášení, zveřejněném spolu se zahájením projektu, uveden není, nicméně nachází se u každé zranitelnosti zapsané v databázi, kde se píše: „This bug is subject to a 90 day disclosure deadline. If 90 days elapse without a broadly available patch, then the bug report will automatically become visible to the public.“
A nyní po půl roce od zahájení toho projektu došlo k situaci, která se dala předpokládat. Googlem stanovený termín 90 dnů pro odstranění chyby, nebyl ze strany Microsoftu o pár dní dodržen, a tak Google chybu zveřejnil, i přesto, že ho Microsoft žádal, aby s tím počkal.
Odborná veřejnost se záhy opět rozdělila na dva tábory. Jeden postup Google kritizuje, a tvrdí, že mohl těch pár dní počkat, obzvlášť když ho o to Microsoft žádal. Druhý naopak postup Google obhajuje, protože je přesvědčen, že čtvrt roku na odstranění chyby je dost, a že jedině tímto nekompromisním přístupem je možné firmy donutit, aby bezpečnost braly vážně.
Je nasnadě, že zveřejnění zranitelnosti pár dní před avizovaným uvolněním příslušného patche nahrává spíše útočníkům. Ovšem na druhou stranu Google tímto krokem dostál svému prohlášení a dal jasně najevo, že to myslí vážně.
Je však otázka, zda tento postup skutečně povede k tomu, co Google předpokládá, tedy že to firmy donutí včas na nahlášené zranitelnosti reagovat a uvolnit příslušný patch a tím ochránit uživatele daného software. A co si myslíte vy, nenapomáhá zveřejnění detailní informace o určité zranitelnosti spíše útočníkům? Hlasovat můžete zde.
ČERMÁK, Miroslav, 2015. Když do 90 dní chybu neodstraníte, tak vše zveřejníme!. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/kdyz-do-90-dni-chybu-neodstranite-tak-vse-zverejnime/. [citováno 07.12.2024].
Štítky: zranitelnosti
K článku “Když do 90 dní chybu neodstraníte, tak vše zveřejníme!” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.