Zespół bezpieczeństwa Google'a definiuje pojęcie odpowiedzialności
Zespół bezpieczeństwa Google'a otwiera dyskusję nad prawidłowym i odpowiedzialnym ujawnianiem luk w zabezpieczeniach. Jego członkowie proponują, aby dopuszczalne było zagwarantowanie producentowi 60 dni na przygotowanie patcha łatającego lukę.
Zespół bezpieczeństwa Google'a otwiera dyskusję nad prawidłowym i odpowiedzialnym ujawnianiem luk w zabezpieczeniach. Jego członkowie proponują, aby dopuszczalne było zagwarantowanie producentowi 60 dni na przygotowanie patcha łatającego lukę.
Do tej pory Microsoft rościł sobie prawa do definicji odpowiedzialnego ujawniania (Responsible Disclosure). Zgodnie z jego pojęciem odpowiedzialności takie ujawnianie ma miejsce wtedy, gdy odkrywca zgłasza producentowi informację o luce, a następnie czeka, aż ten przygotuje dla niej patch. Prowadzi to do sytuacji, w których producenci, tacy jak Microsoft, w poszczególnych przypadkach zwlekają przez całe lata z wydawaniem poprawek dla konkretnych usterek. Jeśli więc ktoś nie zgadza się na wyznaczone przez producenta zasady gry, zostaje uznany za nieodpowiedzialnego i szybko zostaje mu przypięta etykietka człowieka, który lubi straszyć innych i niepotrzebnie ściąga zagrożenie na użytkowników.
Tak niedawno stało się w przypadku Tavisa Ormandy'ego, współautora artykułu w blogu i członka zespołu Google Security Team. Ormandy znalazł krytyczną lukę w Centrum pomocy technicznej Windows i przez kilka dni bezowocnie prowadził korespondencję z Microsoftem. Po tym, jak Microsoft nie mógł określić konkretnego terminu, Ormandy bezceremonialnie upublicznił w Sieci szczegóły luki wraz z pokazowym exploitem. Zanim Microsoft mógł zareagować, luka była już czynnie wykorzystywana. To zwiększyło nacisk na producenta z Redmond, w wyniku czego koncern w ciągu 3. dni przygotował patch naprawiający tę lukę.
W przyszłości zespół bezpieczeństwa Google'a zamierza bezpośrednio popierać taką metodę działania. Specjaliści od bezpieczeństwa w ramach praktyki odpowiedzialnej publikacji będą mogli wyznaczyć "ostateczny termin upublicznienia luki w zabezpieczeniach, którą zgłaszają". Jeśli producent odmówi współpracy, albo nie uda mu się w stosownym czasie przygotować łaty, specjalista będzie miał prawo ujawnić informacje o luce. Za rozsądny czas reakcji dotyczący krytycznych luk w szeroko rozpowszechnionym oprogramowaniu zespół bezpieczeństwa Google'a postuluje maksimum 6. dni.
Pracownicy Google'a są świadomi tego, że i oni nie zawsze spełniali wspomniane warunki; w przyszłości zamierzają jednak trzymać się zaproponowanych zasad. To dlatego, że nacisk na producenta ogranicza czas, w którym można wykorzystać luki, a tym samym w ostatecznym rozrachunku poprawia bezpieczeństwo wszystkich użytkowników.
wydanie internetowe www.heise-online.pl
