Zespół bezpieczeństwa Google'a definiuje pojęcie odpowiedzialności

Zespół bezpieczeństwa Google'a otwiera dyskusję nad prawidłowym i odpowiedzialnym ujawnianiem luk w zabezpieczeniach. Jego członkowie proponują, aby dopuszczalne było zagwarantowanie producentowi 60 dni na przygotowanie patcha łatającego lukę.

Zespół bezpieczeństwa Google'a definiuje pojęcie odpowiedzialności
Źródło zdjęć: © Google
SKOMENTUJ

Zespół bezpieczeństwa Google'a otwiera dyskusję nad prawidłowym i odpowiedzialnym ujawnianiem luk w zabezpieczeniach. Jego członkowie proponują, aby dopuszczalne było zagwarantowanie producentowi 60 dni na przygotowanie patcha łatającego lukę.

Do tej pory Microsoft rościł sobie prawa do definicji odpowiedzialnego ujawniania (Responsible Disclosure). Zgodnie z jego pojęciem odpowiedzialności takie ujawnianie ma miejsce wtedy, gdy odkrywca zgłasza producentowi informację o luce, a następnie czeka, aż ten przygotuje dla niej patch. Prowadzi to do sytuacji, w których producenci, tacy jak Microsoft, w poszczególnych przypadkach zwlekają przez całe lata z wydawaniem poprawek dla konkretnych usterek. Jeśli więc ktoś nie zgadza się na wyznaczone przez producenta zasady gry, zostaje uznany za nieodpowiedzialnego i szybko zostaje mu przypięta etykietka człowieka, który lubi straszyć innych i niepotrzebnie ściąga zagrożenie na użytkowników.

Tak niedawno stało się w przypadku Tavisa Ormandy'ego, współautora artykułu w blogu i członka zespołu Google Security Team. Ormandy znalazł krytyczną lukę w Centrum pomocy technicznej Windows i przez kilka dni bezowocnie prowadził korespondencję z Microsoftem. Po tym, jak Microsoft nie mógł określić konkretnego terminu, Ormandy bezceremonialnie upublicznił w Sieci szczegóły luki wraz z pokazowym exploitem. Zanim Microsoft mógł zareagować, luka była już czynnie wykorzystywana. To zwiększyło nacisk na producenta z Redmond, w wyniku czego koncern w ciągu 3. dni przygotował patch naprawiający tę lukę.

W przyszłości zespół bezpieczeństwa Google'a zamierza bezpośrednio popierać taką metodę działania. Specjaliści od bezpieczeństwa w ramach praktyki odpowiedzialnej publikacji będą mogli wyznaczyć "ostateczny termin upublicznienia luki w zabezpieczeniach, którą zgłaszają". Jeśli producent odmówi współpracy, albo nie uda mu się w stosownym czasie przygotować łaty, specjalista będzie miał prawo ujawnić informacje o luce. Za rozsądny czas reakcji dotyczący krytycznych luk w szeroko rozpowszechnionym oprogramowaniu zespół bezpieczeństwa Google'a postuluje maksimum 6. dni.

Pracownicy Google'a są świadomi tego, że i oni nie zawsze spełniali wspomniane warunki; w przyszłości zamierzają jednak trzymać się zaproponowanych zasad. To dlatego, że nacisk na producenta ogranicza czas, w którym można wykorzystać luki, a tym samym w ostatecznym rozrachunku poprawia bezpieczeństwo wszystkich użytkowników.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie

To czym oddychamy na Ziemi bywa gorsze niż pył księżycowy
To czym oddychamy na Ziemi bywa gorsze niż pył księżycowy
Przebije 60 metrów zbrojonego betonu. Bomba GBU-57 to groźba pod adresem Teheranu
Przebije 60 metrów zbrojonego betonu. Bomba GBU-57 to groźba pod adresem Teheranu
Kolosy z USA nad Europą. Lecą w konkretnym celu
Kolosy z USA nad Europą. Lecą w konkretnym celu
Każdy ma wzorzec oddechu. Jest unikalny jak odcisk palca
Każdy ma wzorzec oddechu. Jest unikalny jak odcisk palca
Przerażające nagranie z Kijowa. Dron uderzył w blok mieszkalny
Przerażające nagranie z Kijowa. Dron uderzył w blok mieszkalny
Ile polskich Krabów stracili Ukraińcy? Liczby stanowią jasno
Ile polskich Krabów stracili Ukraińcy? Liczby stanowią jasno
Nowy nabytek polskiej armii. MON pokazał zdjęcia
Nowy nabytek polskiej armii. MON pokazał zdjęcia
Izrael zadał cios. Iran traci legendarne samoloty
Izrael zadał cios. Iran traci legendarne samoloty
Pojawiły się nad Polską. Ważna chwila dla naszej armii
Pojawiły się nad Polską. Ważna chwila dla naszej armii
Nowe odkrycie. Czy naukowcy wykryli piątą tajemniczą siłę?
Nowe odkrycie. Czy naukowcy wykryli piątą tajemniczą siłę?
Nowe Airbusy A220 dla LOT-u. Dalekie podróże i mniejsza produkcja CO2
Nowe Airbusy A220 dla LOT-u. Dalekie podróże i mniejsza produkcja CO2
Rosja modernizuje bazy broni jądrowej. Szwecja potwierdza
Rosja modernizuje bazy broni jądrowej. Szwecja potwierdza