» »

Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljen

Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljen

Ars Technica - Google nadaljuje svojo politiko brezkompromisnega objavljanja podrobnosti o varnostnih pomanjkljivostih in ranljivostih v tuji programski opremi, ki je minuli teden zanetila spor med Googlom in Microsoftom. Obelodanili so detajle še dveh ranljivosti, ki se pojavljata v Windows 7 (obe) in Windows 8.1 (samo ena). Microsoft ni navdušen.

Ključno vprašanje je definicija odgovornega razkritja. Google vztraja pri 90-dnevnem roku od obvestila proizvajalcu ranljive programske do javnega razkritja. Obstoj roka je razumljiv, saj s tem neodzivnega proizvajalca prisilijo v zakrpanje luknje. A Microsoft še ni neodziven, le nekoliko počasen je.

Google se je odločil, da bo lasten 90-dnevni rok brezpogojno spoštoval, ne glede na okoliščine in zagotovila proizvajalcev. Microsoft pa je po drugi strani ujetnik lastnega sistema Patch Tuesday, ko popravke za svojo programsko opremo nabirajo cel mesec in izdajo drugi torek v mesecu (izredni popravki so sila redki, so se pa že zgodili). V konkretnem primeru je Microsoft nameraval izdati popravka za najnovejši ranljivosti v januarskem paketu popravkov, pa so ju potem prestavili na februar, ker so pri testiranju odkrili nekaj težav z združljivostjo. Google je to vedel, a se je odločil, da izjem ne bo delal in da je 90 dni zadosten rok, v katerem bi moral vsak proizvajalec pripraviti popravek ne glede na kakršnekoli okoliščine.

Microsoft je Patch Tuesday uvedel z Windows XP, ko so vladali neki drugi časi. Predvidljivost izdajanja popravkov ima svoje prednosti zlasti za skrbnike večjih računalniških omrežij in sistemov, a takšni primeri kažejo, da bi veljalo premisliti, ali je to vedno najprimernejša čarovnica izdajanja popravkov.

Žrtve so seveda Microsoftovi uporabniki, ki so sedaj izpostavljeni na milost in nemilost hekerjem. Microsoft je v izjavi za javnost suho dejal, da niso seznanjeni z napadi, v katerih bi aktivno izrabljali zadnji ranljivosti. A do februarskega paketa popravkov je širni internet obveščen o podrobnosti ranljivost, zaščiten pa ni nihče. Kdo je kriv, je stvar perspektive.

34 komentarjev

noraguta ::

ni problem samo samo izdat popravek, dobro ga je tudi stestirat. tako pri proizvajalcu, kot tudi pri uporabnikih. v večjih sistemih ne sme kaka productivity aplikacija kar odletet zaradi popravkov.
Pust' ot pobyedy k pobyedye vyedyot!

mrTwelveTrees ::

mah, če bi Microsoft prej izdal popravek bi bil pa Google moralni zmagovalec....

Jupito ::

Še dobro, da nimajo dvotirnega sistema, ali celo beta poravkov na voljo preko win update. Kam pa pridemo? Lahko bi se kdo zmotil in namestil gonilnike, ki bi mu zbrikali ponarejen usb - serial kontroler! :D
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

PaX_MaN ::

A do februarskega paketa popravkov je širni internet obveščen o podrobnosti ranljivost, zaščiten pa ni nihče. Kdo je kriv, je stvar perspektive.

Mirkosoft, kdo pa drug: ker so edini ki lahko šarijo po izvorni kodi. Če bi bla ta koda v opensaucu, debate o krivdi bilo bi ne.

David Karlas ::

PaX_MaN je izjavil:

A do februarskega paketa popravkov je širni internet obveščen o podrobnosti ranljivost, zaščiten pa ni nihče. Kdo je kriv, je stvar perspektive.

Mirkosoft, kdo pa drug: ker so edini ki lahko šarijo po izvorni kodi. Če bi bla ta koda v opensaucu, debate o krivdi bilo bi ne.


Kdo točno bi potem bil kriv? Vsi zemljani?

No ker vidim, da ste sami experti...
Koliko časa se potrebuje, da se zdebugira eno tako ranjivost? 1ura? 1dan? 1teden? 1mesec?
Kolk se rabi, da se naredi review kode? 1ura? 1dan? 1teden? 1mesec?
Kolk časa se rabi, da se to stestira 1ura? 1dan? 1teden? 1mesec?
...
...
...
Kolk časa se rabi, da se stvar distribuira? 1ura? 1dan? 1teden? 1mesec?

Google je točno vedel, da popravek pride ven v februarskem ciklu... Gre le za marketing in to na račun varnosti uporabnikov... Not nice...

jype ::

David Karlas> Koliko časa se potrebuje

40 milisekund, v povprečju.

David Karlas> na račun varnosti uporabnikov

Ranljivost ni začela obstajat z datumom javne objave.

David Karlas ::

40 milisekund? Še unit testi se ne izvedejo tako hitro... O čem govoriš?

Ampak ranjivost ni bila znana vsakemu script kiddiju, ki jo lahko sedaj izkorišča... Upam da ne enačiš ranjivosti, ki se je našla šele po 5+ letih Windows 7 in tem da je zdej vsem znana... Tisto prej(preden je Google razkril) skoraj ni bila ranjivost sedaj pa je ogromna, ker je vsem znana... Res upam da vidiš ogromno razliko med tema dvema stvarema...

jype ::

David Karlas> O čem govoriš?

O tem kolk časa traja vse skupaj zgoraj, očitno, ker se v FOSS vse te reči lahko crowdsourca in torej paralelizira. Saj je vseeno, kdo je kriv, pomembno je, kdo sme, zmore in na koncu dejansko tudi odpravi pomanjkljivost in jo ponudi na voljo javnosti v obliki, ki omogoča kritično presojo rešitve. V "resnih firmah" tega seveda ni - uporabnik poganja problematično programje in zgolj dobra volja ponudnika vpliva na to, kako hitro se bo odzval.

David Karlas> Ampak ranjivost ni bila znana vsakemu script kiddiju, ki jo lahko sedaj izkorišča...

Ja, bila je pa znana tistemu, ki je program napisal, ki bi lahko prosil za pomoč, če sam ne zmore dovolj hitro popraviti.

Zgodovina sprememb…

  • spremenilo: jype ()

David Karlas ::

Po tvoji logiki, če želiš prepeljati 1 poštni paket iz Ljubljane v Koper v 40ms vse kar rabiš je dovolj poštnih kombijev in se stvar magično paralelizira...

Škoda časa probat nekaj razložit nekomu, ki tako razmišlja...

Pa še nekaj... Ker vidim, da želite stvar na vsak način splejati na to kako je open source cool... Jaz sem precej aktiven v contributanju open sourcu in mi je zelo jasno kako stvari laufajo v open sourcu in ni tako rožnato kot si nekateri predstavljate, da folk čaka v vrsti, da reviewa kodo in komaj čaka, da popravi buge... omg... how wrong you are...

Še en primer... Zadnja opravljena ranjivost v OpenSSLu(nisem je iskal, zadnjo sem vzel)... https://www.openssl.org/news/vulnerabil... je bila vnešena v sistem 2014-05-14 se pravi maja lani... Zakaj ni bila opravljena v 40ms? Ah škoda besed res... Moj bog res... 40ms omg :D

jype ::

David Karlas> Po tvoji logiki, če želiš prepeljati 1 poštni paket iz Ljubljane v Koper v 40ms vse kar rabiš je dovolj poštnih kombijev in se stvar magično paralelizira...

Yup. Če imaš sto tisoč kombijev, je to dovolj.

David Karlas> Škoda časa probat nekaj razložit nekomu, ki tako razmišlja...

Teh 40 milisekund se ti pa res ne bo nikjer poznalo.

David Karlas> mi je zelo jasno kako stvari laufajo v open sourcu in ni tako rožnato kot si nekateri predstavljate, da folk čaka v vrsti, da reviewa kodo in komaj čaka, da popravi buge... omg... how wrong you are...

Meni je vseeno, koliko ljudi čaka v vrsti, da popravi buge, me pa močno zanima, ali je meni dovoljeno popraviti bug, ki ga najdem, ali ne.

David Karlas> Še en primer... Zadnja opravljena ranjivost v OpenSSLu(nisem je iskal, zadnjo sem vzel)... https://www.openssl.org/news/vulnerabil... je bila vnešena v sistem 2014-05-14 se pravi maja lani... Zakaj ni bila opravljena v 40ms? Ah škoda besed res... Moj bog res... 40ms omg :D

Ker očitno nikogar ne moti dovolj, da bi bila. A je res treba razlagat, da open source pomeni, da si _smeš_ sam pomagat, ne pa da _moraš_ pomagat komurkoli drugemu?

David Karlas ::

Tvoja prva dva odgovora sta mi totalno porušila moj pogled na slovensko osnovno šolstvo... Morm se mal zamislit, če je res tako OK, kot sem mislil do sedaj....

Druga dva pa tako... Kaj res pričakuješ od gospoda starega 64 let, ki komaj zna uporabljat računalnik, da si sam popravi ranjivost? Tukaj treba zaščitit najšibkejši člen... Moral se bom zamislit nad človeškimi geni in ne šolstvom...

jype ::

David Karlas> Druga dva pa tako... Kaj res pričakuješ od gospoda starega 64 let, ki komaj zna uporabljat računalnik, da si sam popravi ranjivost?

Ne. Jaz pričakujem od tistega, ki je napisal luknjasto programje, da _meni_ dovoli, da ga popravim, če ga sam ne zna.

David Karlas> Tukaj treba zaščitit najšibkejši člen...

Ja, open sourcat je treba vse lastniško programje.

Olórin> Morda zato, ker ga žena ni poseksala, morda zato ker so stranke tečne, morda zato ker mu je dolgčas. To ve le ciganka s kartam.

Jaz vem: Papirje bi moral skup spravljat za računovodstvo, torej mi je dolgčas.

Zgodovina sprememb…

  • spremenilo: jype ()

matejm1994 ::

@jype. Ah daj, so ti že zgoraj lepo povedali kako in kaj. Treba je zaščitii najšibkejši člen. In kaj pomaga, če si lahko TI sam popraviš napako, ko pa jo 99,99% ljudi ne bo oz. jo ne zna/ne more.
In sedaj, ne mi rečt, da ti bi pa vse znal popraviti. Ha-ha. Mar ti nebi bilo bolj, da ti samo dobiš ta popravek, namesto da se ukvarjaš z njim xy dni?

In me res zanima, po kaki teoriji bi ti paket prenesel iz Lj v Koper v 40ms oz. v 40 ms rešit problem.

vostok_1 ::

Damn guys. To pa ni tako zapleteno. 40ms je čas ko se koda konceptualno popravi. Vse ostalo so eksternalije, ki se jih v tem kontekstu ne gleda. To da se zemljina kotna hitrost konstantno manjša se ne vračunava v čas potreben za odpravo enega softwer buga.

Zgodovina sprememb…

  • spremenil: vostok_1 ()

jype ::

matejm1994> In kaj pomaga, če si lahko TI sam popraviš napako, ko pa jo 99,99% ljudi ne bo oz. jo ne zna/ne more.

Kaj pa pomaga, če jo lahko samo Microsoft, pa je ne?

matejm1994> Mar ti nebi bilo bolj, da ti samo dobiš ta popravek, namesto da se ukvarjaš z njim xy dni?

Ne, v resnici ne. Ko je serviser prišel popravit pralni stroj je tudi zamahnil z roko in rekel "kupite novega". Pa mi je kolega sprintal polomljeni del za manj kot evro stroškov in pralni stroj dela naprej.

Enak odnos imam do softvera: Če ga ne moreš popravit, potem ni tvoj softver.

Zgodovina sprememb…

  • spremenilo: jype ()

BigWhale ::

David Karlas je izjavil:


No ker vidim, da ste sami experti...
Koliko časa se potrebuje, da se zdebugira eno tako ranjivost? 1ura? 1dan? 1teden? 1mesec?
Kolk se rabi, da se naredi review kode? 1ura? 1dan? 1teden? 1mesec?
Kolk časa se rabi, da se to stestira 1ura? 1dan? 1teden? 1mesec?
Kolk časa se rabi, da se stvar distribuira? 1ura? 1dan? 1teden? 1mesec?


Ce tole pacajo skupi vec kot en teden (maximalno 14 dni), pol so na 3/4 opravilno nesposobni. Dva buga so dobili servirana na pladnju, s proof of concept code in podrobnim opisom kaj se zgodi in zakaj se to zgodi.

Karkoli drugega so samo eni trapasti izgovori.

David Karlas je izjavil:


Google je točno vedel, da popravek pride ven v februarskem ciklu... Gre le za marketing in to na račun varnosti uporabnikov... Not nice...


S tem se sicer delno strinjam.

Looooooka ::

Aha kr metat netestirane patche ven.
Pol, ko se komu masina ne prizge, ker majo gor nek xy antivirus/boot thingy bo pa spet Microsoft kriv.
Mislim sj men je jasno, da so najbolj pametni šalabajzerji kot so Google, ki jim je itak vseeno če uporabniku kaj crkne(važno, da mu pokažejo reklamo, ko išče rešitev na Googlu) ampak upam, da jih Microsoft ne bo jemal resno.
Drugače pa verjetno ne bo velik problem 1 dan po bugu v njihovih izdelkih lepo limat probleme na net. Bojo hitro nehali.

jype ::

Looooooka> Aha kr metat netestirane patche ven.

Če ne znajo, naj nalogo popravljanja njihovih napak prepustijo drugim.

darkolord ::

Jaz pričakujem od tistega, ki je napisal luknjasto programje, da _meni_ dovoli, da ga popravim, če ga sam ne zna.
Pričakujem enako, s tem da v tem primeru ni problem, da tega ne bi znali, ampak da imajo za to ustaljen postopek, ki že kar precej let zelo dobro funkcionira in ki so ga stranke navajene. Google to dobro ve, a jim za to očitno ni prav nič več kot malo mar.

Zgodovina sprememb…

  • spremenilo: darkolord ()

Dr_M ::

jype je izjavil:

Looooooka> Aha kr metat netestirane patche ven.

Če ne znajo, naj nalogo popravljanja njihovih napak prepustijo drugim.



Še dobro, da tebi vse rata v prvo, brez napak.
Bravo, čestitam.
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

jype ::

darkolord> zelo dobro funkcionira

Mhm.

Pithlit ::

David Karlas je izjavil:

Tisto prej(preden je Google razkril) skoraj ni bila ranjivost sedaj pa je ogromna, ker je vsem znana... Res upam da vidiš ogromno razliko med tema dvema stvarema...

Luknja je še vedno enako velika. Ne glede na to kolk folka jo izkorišča. Celo enako velika je kot takrat ko živa duša ni vedla zanjo.

MS-ju pa slabe 3 mesece očitno ni dovolj da bi jo zaflikal. Saj ne da je Google brez masla na glavi... ampak tole je en švoh izgovor.
Life is as complicated as we make it...

BigWhale ::

Looooooka je izjavil:

Aha kr metat netestirane patche ven.


[Citation Needed]

darkolord ::

BigWhale je izjavil:

Looooooka je izjavil:

Aha kr metat netestirane patche ven.


[Citation Needed]


... prestavili na februar, ker so pri testiranju odkrili nekaj težav z združljivostjo

jype ::

Ja, točno to: Ker eni podskupini njihovih uporabnikov nekaj ne bo delovalo, nihče ne more dobiti popravka in v tem času torej poganja ranljivo programsko opremo.

Žal mi je, ampak veliko raje imam sistem distribucij popravkov, pri katerem se lahko sam odločim, kako kritična je ranljivost za katere moje sisteme in se sam odločim, kdaj in na katere sisteme bom popravke nalagal.

Še bolj kot to me pa seveda skrbi originalen problem: Če najdem ranljivost, mi je ni dovoljeno niti popraviti, kaj šele, da bi smel popravek javno distribuirati.

darkolord ::

Iz popravka je moč relativno enostavno (v primerjavi z ostalimi metodami) priti do same ranljivosti in izdelati napad zanjo. Če bi nekateri imeli popravke precej pred drugimi, bi to za te druge (velikost te skupine je pa lahko vse od ena tja do milijarde) lahko močno poslabšalo situacijo oz. povečalo kritičnost ranljivosti.

Dober administrator je sicer vseskozi pozoren na nove ranljivosti, a neko anarhično nameščanje popravkov (še posebej tam, kjer gre za desettisoče ali stotisoče računalnikov) prinese samo še več težav.

Zgodovina sprememb…

  • spremenilo: darkolord ()

jype ::

darkolord> Dober administrator je sicer vseskozi pozoren na nove ranljivosti, a neko anarhično nameščanje popravkov (še posebej tam, kjer gre za desettisoče ali stotisoče računalnikov) prinese samo še več težav.

Arhaično nameščanje? To si mislil "vsak torek"?

zeleni ::

In me res zanima, po kaki teoriji bi ti paket prenesel iz Lj v Koper v 40ms oz. v 40 ms rešit problem.


Sem spregledal resitev tega problema? Torej recimo, da imas 100.0000 kombijev. Lahko tudi vec, ker je 100.000 verjetno samo hitra ocena.
Recimo sedim v kuhinji s paketom in ravno koncujem zapis crke R (kopeR) na etiketi. Kako 100.000 kombijev doseze, da bo paket 40ms po tem, ko koncam, v Kopru?

Predpostavka je tudi, da vseh teh 100.000 kombijev samo caka name verjetno?

Zgodovina sprememb…

  • spremenil: zeleni ()

jype ::

zeleni> Kako 100.000 kombijev doseze, da bo paket 40ms po tem, ko koncam, v Kopru?

Wormhole @ Wikipedia

Manj kot 100k kombijev ma premal energije za kej tacga nardit.

darkolord ::

jype je izjavil:

Arhaično nameščanje? To si mislil "vsak torek"?
Anarhično, ne arhaično.

Drugi torek v mesecu je sicer premišljeno izbran, ker:
- ni ponedeljek in admini niso hungover
- ni ponedeljek, ko se rešujejo stvari, ki so se nabrale čez vikend
- ni začetek meseca, ko se zaključujejo stvari iz prejšnjega meseca ((ob)računi, plače, ...)
- takisto za konec meseca
- je do vikenda dovolj časa za deployanje
- je do vikenda dovolj časa za reševanje morebitnih težav (ostale podporne službe delujejo)
- se je nanj mogoče pripraviti
- itd...

aerie ::

BigWhale ::

darkolord je izjavil:

BigWhale je izjavil:

Looooooka je izjavil:

Aha kr metat netestirane patche ven.


[Citation Needed]


... prestavili na februar, ker so pri testiranju odkrili nekaj težav z združljivostjo


Citation needed je bil za Luko. Nikjer tle ni noben trdil, da bi moral MS to pocet. Zato sem ga vprasal po citatu. Mogoce sem spregledal. :)

Jest se zmeri pravim, da bi v 14ih dneh moral stvar spravit skupi. Oni je pa niso niti v treh mescih.

Looooooka ::

jype je izjavil:

Looooooka> Aha kr metat netestirane patche ven.

Če ne znajo, naj nalogo popravljanja njihovih napak prepustijo drugim.

Sploh še nisem videl linux patcha zaradi katerega se mašina ni zbootala. Zaradi tvoje logike.
Kdor zna ma tud dovolj pameti, da testira z drugimi izdelki.
Ampak kompatibilnost...to so zadeve, ki se jih dejansko zaveda samo Microsoft. Kar je tud razlog, da večina ljudi tlele posta iz njihovega operacijskega sistema.

Jest se zmeri pravim, da bi v 14ih dneh moral stvar spravit skupi. Oni je pa niso niti v treh mescih.

Sorry. Kje je že link do tvojega operacijskega sistema, ki ga uporablja par 100 mil uporabnikov?
Tok da ga downloadam pa instaliram ene par 100 programov, ki so bili spisani zanj in imajo dovoljenje za šarjenje po drobovju.
Tko...da v 14 dneh 100% ugotovim, da zihr vse dela?

Pa ne rečem, da ni možno v 14ih. Ampak Google tega ne ve, jst tega ne vem in VI tega tud ne veste.
Najbolj bi moral bit pa tiho Google, ker na svojem OS-ju niso popravili skoraj ničesar. Rajši mečejo ven nove verzije in pozabljajo, da še zmeraj niso popravili svojih 4ih od prej.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

BigWhale ::

VSAK bug, ki ni posledica fucked up designa je resljiv in ima lahko time to release v roku 14 dni. Je pa vazn kaksne so prioritete in kak je 'contingency plan' za taksne buge.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Google spet razkril nezkrpano ranljivost v Windows

Oddelek: Novice / Varnost
94907 (2910) MrStein
»

Windows 10 ukinja torek za popravke, krepi zaščito

Oddelek: Novice / Operacijski sistemi
1514266 (11944) M.B.
»

Google in Microsoft pri krpanju lukenj s prstom kažeta drug na drugega

Oddelek: Novice / Varnost
77125 (3561) swar
»

Flame izkoriščal Microsoftove certifikate

Oddelek: Novice / Varnost
177761 (5666) MrStein
»

V popravnem torku Microsoft zakrpal 34 lukenj

Oddelek: Novice / Varnost
175284 (3759) MrStein

Več podobnih tem