Az elmúlt napokban-hetekben kisebb vihar alakult ki a nemzetközi IT-sec biliben, miután Tavis Ormandy nyilvánosságra hozta egy Windows XP-t (és talán 2003-at) érintő kritikus sebezhetőség részleteit.
Az esettel kapcsolatban rögtön született jónéhány cikk a különböző szakportálokon, többek ezek közül élesen bírálták (egyesek egyenesen leterroristázták) Ormandy-t, amiért (értelmezésük szerint) a kutató mindössze öt napot hagyott a Microsoftnak a hiba javítására. A helyzetet tovább bonyolította, hogy Ormandy a Google munkatársa, és ugyan a publikációban kifejezetten hangsúlyozta, hogy kutatását a saját szabadidejében végezte, a Microsoft egyik bloggere - és az ő példáját követve több más orgánum is - konzekvensen "a Google munkatársaként" hivatkozott a szakértőre, azt a látszatot keltve, hogy a keresőmulti hozta felelőtlen módon nyilvánosságra a sebezhetőségre vonatkozó információkat.
A Googlénél persze nem hülyék dolgoznak, mint ahogy a Microtost részéről is egy érvekkel jól alátámasztott kommunikációnak lehettünk tanúi. Spender egy igen részletes levélben kielemezte a történteket, és kiállt Ormandy mellett: Tudniillik a nyilvánosságrahozatalt hosszas egyezkedés előzte meg, amely során a biztonsági szakértő próbált egy ígéretet kicsikarni a Microsofttól arra vonatkozóan, hogy a bejelentett hibát két hónapon belül javítsák. Mivel a cég nem volt hajlandó ilyen garanciát vállalni, Ormandy a teljes nyilvánosságrahozatal mellett döntött. Spender szemléletes példákat hozott: a ZDI (amely a sérülékenységek felelős kereskezelmével foglalkozó cég) adatai szerint egyes Microsoftnak jelentett hibák akár két éven keresztül is javítatlanok maradtak. Ez idő alatt egy rosszindulatú fél is simán belebotolhat a problémába, és elkezdheti kihasználni azt a védtelen felhasználókkal szemben.
A nyilvánosságrahozatal után a MS-nak össze kell kapnia magát, és elkészíteni a javítást, vagy legalábbis elkerülő megoldásokat nyújtani a felhasználóknak - utóbbi meg is történt. Persze a sötét oldal sem pihen, és az első támadások is megjelentek, nyilvánvalóan Ormandy publikációjára alapozva.
Természetesen nem tisztem eldönteni, hogy kinek van igaza, de szeretném felhívni a figyelmet arra, hogy a világn nem fekete-fehér, a dolgok legtöbbször nem olyan egyszerűek, mint amilyennek látszanak. Az eset emellett a teljes- és felelős nyilvánosságrahozatal tanulságokkal teli párbajának tekinthető, a belinkelt cikkekben - amelyek elolvasását erősen ajánlom - kiválóan egymásnak feszül a két érvrendszer. A személyes véleményem az, hogy nincs univerzális igazság, hogy Ormandy ebben az esetben helyesen cselekedett-e, azt mindenki döntse el maga! Hasonló helyzetben pedig jó, ha tisztában vagyunk a lehetőségeinkkel, és az ezekhez kapcsolódó következményekkel.
DonPapa 2010.06.26. 22:43:27
8,5 éves cikk (A M$ még nem olvasta?), és a szerzője Budapesten lesz szeptemberben :)
DP
Hunger 2010.06.27. 15:43:22