Awantura o dziurę w Windows
Zatrudniony w Google'u specjalista ds. bezpieczeństwa, Tavis Ormandy, został skrytykowany zarówno przez Microsoft jak i niezależnych badaczy za nieodpowiedzialne zachowanie i naruszenie zasad etyki zawodowej, które propaguje jego pracodawca. Ormandy'emu dostało się za to, że ujawnił lukę w mechanizmie whitelist Windows zaledwie w pięć dni po tym, jak poinformował o niej Microsoft. Koncern z Redmond nie miał zatem szans, by zbadać dziurę oraz przygotować i przetestować poprawki.
Ormandy poinformował Microsoft w sobotę, a już w najbliższy czwartek opublikował szczegółowe informacje wraz z przygotowanym przez siebie prototypowym szkodliwym kodem.
Ormandy broni się mówiąc, że gdyby nie opublikował szkodliwego kodu, jego informacje zostałaby zlekceważona. Dodaje też, że działał we własnym imieniu i Google nie ma z tym nic wspólnego.
Microsoft obawia się, że działanie Ormandy'ego doprowadzi do rozpoczęcia szeroko zakrojonych ataków na użytkowników Windows. Wszystko wskazuje na to, że atak można przeprowadzić nie tylko za pomocą Internet Explorera, ale wszystkich najpopularniejszych przeglądarek. Microsoft opublikował dokument, w którym opisał sposób na ominięcie niebezpieczeństwa i pracuje nad łatą. Ormandy udostępnił prototypową łatę, jednak zdaniem Microsoftu nie działa ona należycie.
Tymczasem Google'owskiego eksperta krytykują też jego koledzy po fachu. Robert Hansen, szef SecTheory napisał na blogu firmy Kaspersky, że nie jest rozsądne spodziewać się, by łata powstała w tak krótkim czasie. Google w przeszłości był najbardziej aktywnym propagatorem idei odpowiedzialnego ujawniania luk. Być może dla Google'a wszystko jest w porządku, ale dla innych specjalistów tak nie jest. Hipokryzja jest zadziwiająca - stwierdził Hansen. Wtóruje mu Andrew Storms, dyrektor ds. bezpieczeństwa w firmie nCircle. Przypomina on, że nie po raz pierwszy Ormandy zdecydowanie za wcześnie ujawnia szczegóły dziur w produktach Microsoftu. Tavis próbuje twierdzić, że jego działanie nie są działaniami jego pracodawcy, ale musi dziwić fakt, że w ten sposób chętnie dolewa oliwy do ognia, podsyca walkę pomiędzy Microsoftem i Google'em oraz rysuje negatywny obraz bezpieczeństwa produktów Microsoftu - stwierdza Storms.
Rzecznik prasowy Google'a również próbuje odcinać się od akcji Ormandy'ego. Jednak trudno nie zauważyć, że działanie Ormandy'ego zbiega się z czasem z ogłoszeniem przez Google'a rezygnacji z systemu Windows. Wyszukiwarkowy koncern wspomniał przy tym o względach bezpieczeństwa, jednak eksperci nie wierzą w szczerość takiej motywacji.
Nie wszyscy jednak potępiają Ormandy'ego tak zdecydowanie. H.D. Moore, twórca Metasploit, uważa, że najlepszym sposobem na zmuszenie producenta oprogramowania do szybkiej publikacji łaty jest wydanie prototypowego szkodliwego kodu. Ostrożny w potępianiu jest też Gordon Lyon, niezależny ekspert ds. bezpieczeństwa i były szef Computer Professionals for Social Responsability. Stwierdził on, że dzięki działaniu pracownika Google'a jego komputer jest bezpieczny, a wszyscy użytkownicy mogą zabezpieczyć się, sięgając po poradę Microsoftu i stosując zawarty w niej sposób na obejście luki.
Komentarze (0)