Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Felelősségtudat

2010.06.26. 16:29 | buherator | 3 komment

Az elmúlt napokban-hetekben kisebb vihar alakult ki a nemzetközi IT-sec biliben, miután Tavis Ormandy nyilvánosságra hozta egy Windows XP-t (és talán 2003-at) érintő kritikus sebezhetőség részleteit. 

Az esettel kapcsolatban rögtön született jónéhány cikk a különböző szakportálokon, többek ezek közül élesen bírálták (egyesek egyenesen leterroristázták) Ormandy-t, amiért  (értelmezésük szerint) a kutató mindössze öt napot hagyott a Microsoftnak a hiba javítására. A helyzetet tovább bonyolította, hogy Ormandy a Google munkatársa, és ugyan a publikációban kifejezetten hangsúlyozta, hogy kutatását a saját szabadidejében végezte, a Microsoft egyik bloggere - és az ő példáját követve több más orgánum is - konzekvensen "a Google munkatársaként" hivatkozott a szakértőre, azt a látszatot keltve, hogy a keresőmulti hozta felelőtlen módon nyilvánosságra a sebezhetőségre vonatkozó információkat. 

A Googlénél persze nem hülyék dolgoznak, mint ahogy a Microtost részéről is egy érvekkel jól alátámasztott kommunikációnak lehettünk tanúi. Spender egy igen részletes levélben kielemezte a történteket, és kiállt Ormandy mellett: Tudniillik a nyilvánosságrahozatalt hosszas egyezkedés előzte meg, amely során a biztonsági szakértő próbált egy ígéretet kicsikarni a Microsofttól arra vonatkozóan,  hogy a bejelentett hibát két hónapon belül javítsák. Mivel a cég nem volt hajlandó ilyen garanciát vállalni, Ormandy a teljes nyilvánosságrahozatal mellett döntött. Spender szemléletes példákat hozott: a ZDI (amely a sérülékenységek felelős kereskezelmével foglalkozó cég) adatai szerint egyes Microsoftnak jelentett hibák akár két éven keresztül is javítatlanok maradtak. Ez idő alatt egy rosszindulatú fél is simán belebotolhat a problémába, és elkezdheti kihasználni azt a védtelen felhasználókkal szemben. 

A nyilvánosságrahozatal után a MS-nak össze kell kapnia magát, és elkészíteni a javítást, vagy legalábbis elkerülő megoldásokat nyújtani a felhasználóknak - utóbbi meg is történt. Persze a sötét oldal sem pihen, és az első támadások is megjelentek, nyilvánvalóan Ormandy publikációjára alapozva.

Természetesen nem tisztem eldönteni, hogy kinek van igaza, de szeretném felhívni a figyelmet arra, hogy a világn nem fekete-fehér, a dolgok legtöbbször nem olyan egyszerűek, mint amilyennek látszanak. Az eset emellett a teljes- és felelős nyilvánosságrahozatal tanulságokkal teli párbajának tekinthető, a belinkelt cikkekben - amelyek elolvasását erősen ajánlom - kiválóan egymásnak feszül a két érvrendszer. A személyes véleményem az, hogy nincs univerzális igazság, hogy Ormandy ebben az esetben helyesen cselekedett-e, azt mindenki döntse el maga! Hasonló helyzetben pedig jó, ha tisztában vagyunk a lehetőségeinkkel, és az ezekhez kapcsolódó következményekkel.

Címkék: microsoft sajtó gondolat full disclosure tavis ormandy

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

DonPapa 2010.06.26. 22:43:27

www.schneier.com/crypto-gram-0111.html#1

8,5 éves cikk (A M$ még nem olvasta?), és a szerzője Budapesten lesz szeptemberben :)

DP

Hunger 2010.06.27. 15:43:22

@DonPapa: az MS-t dollárjellel írni pedig ősi román szokás ;)

Zizidor 2010.06.28. 13:01:31

Elgondolkodtató, hogy képesek voltak gyorsan javítani a hibát, de határidőt vállalni azt nem. (Szegény az, aki már ígérni sem tud). Mégis, ha arra gondolok, hogy nagyon sokan nem fordítanak kellő figyelmet a javításokra (persze ez az ő felelősségük is), talán mégsem a legjobb ötlet a nyilvánosságra hozatal.