Google zagovarja razkritje ranljivosti javnosti v sedmih dneh

Matej Huš

3. jun 2013 ob 08:21:54

Večno vprašanje, ki si ga dobri hekerji pri odkritju varnostnih ranljivosti zastavljajo, je, kdaj razkriti luknjo javnosti. S tem namreč dobijo tudi nepridipravi, ki za ranljivost morda še niso izvedeli, vse informacije za njeno izrabljanje in začne se dirka med proizvajalcem programa (pisanje popravka) in uporabniki (namestitev popravka) na eni strani ter napadalci na drugi strani. Odgovorno razkritje je doktrina, da naj najditelj luknje najprej obvesti proizvajalca, javnost pa šele po izdaji popravka. A včasih se zgodi, da popravka v doglednem času ni in ni. Druga možnost je takošnje razkritje celemu svetu, kar ima druge prednosti in slabosti.

Google je že pred leti začel zagovarjati vmesni pristop, ki da razvijalcem programa 60 dni časa za pripravo popravka, potem pa se o luknji obvesti javnost in podjetje praktično prisili v hitro izdajo popravka. Sedaj so novi časi in Google pravi, da je 60 dni preveč. Zadostoval bi kakšen teden.

Kot pravijo, napadalci v zadnjem času čedalje pogostejše uporabljajo javnosti neodkrite ranljivosti (zero-day), pri čemer često merijo na posebne tarče in ne več vsepovprek. Zato Google pravi, da se morajo kritične ranljivosti popraviti (in razkriti) v sedmih dneh od odkritja. Googlova logika je precej preprosta: čim dlje je ranljivost prisotna a javnosti neznana, tem več hekerskih napadov, ki jo izrabljajo, se zgodi. Dodajajo, da to ne pomeni, da se da v sedmih dneh zakrpati vsako luknjo in da lahko potem objavimo vse podrobnosti napadov. Je pa sedem dni dovolj časa, da javnosti dobi vsaj osnovne podatke o ranljivosti, tako da se lahko odloči, kako se zavarovati v vmesnem času.