Google rahlo omilil politiko razkrivanja ranljivosti

Matej Huš

15. feb 2015 ob 14:32:04

Google je v novi različici politike razkrivanja ranljivosti nekoliko omilil časovne roke, ki so v začetku tega leta povzročili veliko hude krvi. V okviru Projecta Zero je namreč Google našel ranljivosti v Microsoftovi in Applovi programski opremi, o čemer je proizvajalca obvestil. Ko v 90 dneh popravkov ni bilo, je Google v skladu s svojo politiko podrobnosti ranljivosti javno razkril, kar je hudo razburilo Microsoft in Apple. Microsoft je na primer imel popravek že bolj ali manj končan in je čakal še zadnje faze testiranja pred izdajo, kar so Googlu sporočilu, a so bili v Mountain Viewu neomajni; 90 dni je dovolj za vsakogar.

Sedaj so pri Googlu vendarle nekoliko omilili svojo politiko. Še vedno vztrajajo pri 90-dnevnem roku za razkrivanje ranljivosti, kar predstavlja zlato sredino siceršnjih rokov. CERT upošteva 45-dnevnega, ZDI pa recimo 120-dnevnega, vsi pa se strinjajo, da je obstoj rokov pomemben, ker daje proizvajalcem močno vzpodbudo za odpravljanje ranljivosti. Kot poudarjajo, napadalci tako ali tako v iskanje lukenj investirajo več sredstev kot nasprotna stran, zato je upravičena domneva, da so luknje v podzemlju že znane in naprodaj.

Google bo po 90-dnevnem roku uvedel 14-dnevni odlog (grace period), ko ranljivosti vseeno še ne bo javno priobčil, če mu bo proizvajalec zagotovil, da je popravek predviden za izdajo v naslednjem paketu popravkov, ki bo izšel v tem obdobju. Tako bodo proizvajalci lažje prilagodili spoštovanje 90-dnevnega roka svojemu ciklu izdajanja popravkov.

Statistika projekta Zero kaže, da bi 90 dni res moralo zadostovati. Adobe je v Flashu do danes iz projekta Zero odpravil 37 ranljivosti (100 %) v roku. V vsem času je Zero odkril 154 ranljivosti, izmed katerih je bilo 85 odstotkov popravljenih v roku. Statistika se izboljšuje, saj je po 1. oktobru 2014 ta delež zrasel na 95 odstotkov. Google dodaja še, da bodo še naprej vse proizvajalce obravnavali povsem enako, pa naj gre za veliki Microsoft ali kakšnega garažnega proizvajalca.