Jobban koordinált sebezhetőség-közlést szeretne a Microsoft

Microsoft, Windows

A Microsoft reagált arra, hogy a Google hibakövetője 90 napja foltozatlan Windows 8.1 privilégiumszint-emelés sebezhetőség részleteit hozta nyilvánosságra nemrég.

Chris Betz, a redmondi cég Trustworthy Computing divíziójának főigazgatója nem ért egyet a Google biztonsági hibák közlésével kapcsolatos irányelvével. Az igazgató szerint a Google annak ellenére közölte a sebezhetőség részleteit, hogy a Microsoft kérte, hogy felhasználói védelmében a Google tartsa vissza a részletek közlését 2015. január 13-ig, mikor is megérkezik majd a javítás.

A blogbejegyzés lényege, hogy a Microsoft régóta hisz az összehangolt sebezhetőség-közlésben, ezért azt szorgalmazza, hogy a Google is legyen partnere ebben.

A Google irányelve viszont az, hogy az általa felfedezett biztonsági hibák részleteit 90 nap után nyilvánosságra hozza, függetlenül attól, hogy az érintett gyártó a hibát javította vagy sem.

A security közösség megosztott, vannak, akik a teljes közlést (full disclosure) favorizálják, míg vannak, akik a Microsoft által is támogatott, összehangolt közlés (Coordinated Vulnerability Disclosure - CVD) mellett teszik le voksukat. A Google 90 napos türelmi idejű irányelve valahol a kettő közt helyezkedik el.

( trey | 2015. 01. 13., k – 10:49 )

I enjoyed reading Microsoft's official response to this event, full of high-minded rhetoric why Google is bad, and why Microsoft should be given more time to fix bugs. It's just whining -- Microsoft's alternative disclosure policy is even more self-serving than Google's. They are upset over their inability to adapt and fix bugs in a timely fashion. They resent how Google exploits its unfair advantage. Since Microsoft can't change their development, they try to change public opinion to force Google to change.

But Google is right.

--
trey @ gépház

Hatalmas különbség.

A legfrisebb kiadás a támogatott, mint ahogy az ingyenes sw-eknél általában lenni szokott.
Firefox-ból is most jött ki a 35-ös, ez a legfrissebb, ha hiba van akkor ebben fogják javítani. Szóval ha most találnak valamit, akkor vagy lesz egy 35.x verzió, vagy a 36-osban lesz javítva. De a 34-es verzióban nem fogják.

Az egy másik probléma, hogy a gyártók b*sznak androidot frissíteni, és ebben van felelőssége a guglinak is, de alapvetően a gyártó trehánysága.

Firefox pont rossz példa, létezik az ESR, pont emiatt.
Ezen kívül azért is rossz példa, mert automatikusan frissül, míg az Android nem. Valamint ahhoz, hogy egy disztribúció frissítse a szállított Firefoxot, nem kell annyi munkát végeznie, mint egy hardvergyártónak, amikor Android verziófrissítést szeretne csinálni. Ez nem csak trehányság.
Anno bejelentettek egy "garantáltan frissítő Android szállítói kört", de nem lett belőle SEMMI. A Google megtehetné, hogy nem adja az Android márkanév használatát annak, aki nem támogatja a készülékeket legalább biztonsági frissítések terén, de nem teszi, és ez bizony a Google sara. Hiszen így rengeteg készüléken lesznek biztonsági hibás eszközök, amiket sem a Google, sem a gyártó nem támogat, a lyukak meg ott vannak.
A gyártó minek támogassa, ha a Google nem ad ki régebbi verzióra upgradet, az új verziót meg nem bírja el a hardver?

Akkor a javításokat backportolja a gyártó a régi release-be, mint az sok open source projektnél működik. Hogy csak a linux kernelt említsem. Linusra még nem hallottam azt mondani, hogy szararc, mert a 3.21-es ketnel sec. bugfixét nem portolja vissza a 3.6-ba, amit mondjuk a RedHat használ.

A lényeg ugyanaz: backportolni akart egy balfasz.

Ugyanilyen balfaszoknak kellene eldönteni azt egyébként, hogy amit épp backportol az most sima bugfix vagy security fix is. Sok esetben nem túl nyilvánvaló ránézésre.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

"Firefox pont rossz példa, létezik az ESR, pont emiatt."

Az ESR "csak" egy extra, egy régi de még támogatott verzió. A példa ettől függetlül ül.

"Ezen kívül azért is rossz példa, mert automatikusan frissül, míg az Android nem. Valamint ahhoz, hogy egy disztribúció frissítse a szállított Firefoxot, nem kell annyi munkát végeznie, mint egy hardvergyártónak, amikor Android verziófrissítést szeretne csinálni. Ez nem csak trehányság."

Az automata frissítés részletkérdés, az meg lényegtelen hogy mennyi vele a munka, mert nem ezen múlik. A gyártó telefont akar eladni, elsősorban ezért nem frissít. Sok esetben pl. a cyanogen team képes volt a frissítésre, a samsung pedig nem. Ráadásul A gyártók saját maguknak generálják a problémát a saját bloated vackaikkal...

"Anno bejelentettek egy "garantáltan frissítő Android szállítói kört", de nem lett belőle SEMMI."

Sajnos.

"A Google megtehetné, hogy nem adja az Android márkanév használatát annak, aki nem támogatja a készülékeket legalább biztonsági frissítések terén, de nem teszi, és ez bizony a Google sara."

Igen, ezért is írtam, hogy "ebben van felelőssége a guglinak is". De ez alapvetően a gyártók sara. Linus se írja elő a Debian teamnek, hogy frissítse a kernelhibákat, mégis megteszik.

"A gyártó minek támogassa, ha a Google nem ad ki régebbi verzióra upgradet, az új verziót meg nem bírja el a hardver?"

Tyúk-tojás esete: a google pedig miért adjon ki upgrade-et, ha a gyártó úgyse használja?
A nem bírja el a hw pedig eléggé vicces. Galaxy S 1-re a samu által kiadott utolsó verzió a 2.3-as sorozatból valamelyik. A samu nem adott ki újat rá, CM-ből pedig van rá 4.4 is, ami ugyan eléggé lassú, de a 4.1-es CM-el jobb volt a cucc, mint a 2.3 alapú CM-el, ami pedig klasszisokkal volt jobb mint a gyári bloatware. Nem bírja, hát persze. Jó kifogás sose rossz.

Egen, de meg lehetne különböztetni magukat pl. anyaghasználattal, frissítésekkel (!), árazással, grátisz adott app-okkal vagy szolgáltatásokkal, meg még egy csomó más dologgal is.

Ez a "saját bloatware-rel" különböztetjük meg magunkat amúgy két irányból is szar megoldás: egyrészt a kutya se használta ezeket (lásd szemszáng chaton), másrészt meg jól oda is vágtak a performanciának (samu gyári fw vs. cyanogenmod).
Ja, meg a frissítés is PITA, szóval három ez a kettő...

Ez úgy jön ide, hogy a google QA szörnyű és amellet, hogy kb. leszarjak a felhasználók által küldött bugreportokat, a régebbi verziókban (4.3-tól lefele - 2013) nem javítanak semmilyen bugot (attól függetlenül, hogy az a security-t vagy a usability-t érinti).

https://news.ycombinator.com/item?id=8803234

http://blogs.wsj.com/digits/2015/01/12/google-not-fixing-some-old-andro…

>That covers roughly two-thirds of the billion-plus Android devices in use, according to Google

Ilyen sec management mellett nem tűnik olyan szörnyűnek az, amit a microsoft nyújt.

"a régebbi verziókban (4.3-tól lefele - 2013) nem javítanak semmilyen bugot (attól függetlenül, hogy az a security-t vagy a usability-t érinti)"

Nézzük a lehetőségeket
1. régebbi verziókban nem javítanak, azt mondják használj újabbat, de a vendor nem adja ki az új sw-t -> mocskos gógel
2. régebbi verziókban javítanak, de a vendor nem ad ki javított sw-t -> mocskos gógel
3. a komponenseket bevonják a play services alá, központilag kezelik, javítják, frissítik -> mocskos gógel

Kihagytam valamit?

Amúgy meg tessen már egy olyan esetet mutatni, amikor ezzel a fantasztikusan veszélyes webview sebezhetőségen keresztül törték meg valakinek az androidos készülékét. Már a való világban, és csak ezzel. Vagyis nem kellett hozzá semmilyen social engineerig, mitm, weboldal felnyomása, app telepítése, ilyesmi, hanem csak nyomkodja önfeledten a user a telefonját, aztán egyszer csak meg van törve.

"Ha valakit feltörnek rosszindulatúan, nem azok fogják ezt nyilvánosságra hozni, akit feltörtek, és az sem, aki feltört. Például a StuxNetről sem azért tudunk, mert nyilvánosságra hozták a létrehozói."

Értem, szóval akkor mantrázzuk csak, hogy milliárdnyi androidos eszköz iszonyat veszélyben van...
Valójában ha tömeges támadás lenne ezen hiba kihasználásával, arról már tudnánk. Célzott támadás pedig még kevésbé valószínű.

"terelni"

Értem.

A Microsoft embere nem arról beszélt, hogy ki mennyi hibát milyen gyorsan javít, hanem arról, hogy az gyakorlatilag az engedélyük nélkül a Google ne hozzon nyilvánosságra Microsoft sebezhetőség részleteket.

Értem én, hogy a Google se javít gyorsan, de a felhasználók érdekeit nem az szolgálja, hogy a rajta ülnek a problémán akár 400 napig (lásd ZDI).

Aki azt hiszi, hogy a bűnözők ezekből a publikus közlésekből tájékozódnak, az tévúton jár. Ezek a közlések a felhasználókat is segítik, mert rávilágítanak, hogy hova kéne jobban odafigyelniük.

--
trey @ gépház

Ezt értem, szinte egyet is értek.

Szerinted akkor az megfelelő gyakorlat, hogy egy külső cég megállapít magában egy határidőt (hogy az mennyire tartható, azt most hagyjuk) és neked tartanod kell magad ahhoz?

Mert szerintem mindenki számára előnyösebb megoldás, ha egy közösen egyeztetett határidő születik.

>Aki azt hiszi, hogy a bűnözők ezekből a publikus közlésekből tájékozódnak, az tévúton jár. Ezek a közlések a felhasználókat is segítik, mert rávilágítanak, hogy hova kéne jobban odafigyelniük.

Ezt én úgy írtam volna, hogy nem _csak_ a bűnözők tájékozódnak ezekből, a közlések a felhasználókat _is_ segítik, de tulajdon képpen +1.

A Google bejelenthette volna az általa talált sebezhetőséget full disclosure módon is. Helyette értesítette a Microsoft-ot és közölte vele a sebezhetőség részleteit. Nem ez volt az első alkalom, hogy a Google segített (Elsőként Google alkalmazottak vehették át a Microsoft biztonsági jutalomprogramjának díjait).

Hogy mennyi napot kéne adni? Hogyan állapítod meg? A 90 nap (aka. negyed év) nem elég? Ha figyelembe vesszük, hogy a rossz fiúk már akár akár a 0. napon is tudhatnak róla (vagy előbb), akkor még sok is.

A Google nem árult zsákbamacskát, korábban közölte, hogy mit fog csinálni.

A 90 napról csak annyit, hogy amikor Taviso 5 nap után jelentette be hibát, akkor a Microsoft 60 napos időablakról akart tárgyalni. Ehhez képest a 90 nap szerintem teljesen elfogadható.

--
trey @ gépház

Ez van mögötte:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6041
Meg ez:
http://www.rafayhackingarticles.net/2014/10/a-tale-of-another-sop-bypas…
"The thing that makes it worse was the same SOP bypass was already fixed inside of chrome years ago, however the patches were not applied to Android browser < 4.4."

( uid_16313 | 2015. 01. 13., k – 10:55 )

A Google elsödleges irányelve a Microsoft teljes tönkretétele, felvásárlása, stb.

Egyébként a Microsoft hozzáállása a sérülékenységek titokban tartásáról emlékeztet a Csernobili atomkatasztrófa utáni szovjet hozzáállásra.
"Amiröl nem akarunk tudomást venni, az nincs is."

--
robyboy

"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor

Amennyire en ertelmezem, volt 90 napjuk, majd a 85-iken kertek meg +10.
Kisstilu faszkodas. Majd legkozelebb gyorsabban reagalnak (azaz a user jobban jar az MS retorikajaval szemben).

A valosag az, h a 90 nappal a google nagyvonalu.

Ha nem teccik az MS-nek, amit a masik muvel, akkor hasonlo modon vagjon vissza. En nem bannam.

> En nem bannam.

Én bánnám. Azt is a userek szívják meg a végén.

Nekem a MS sokkal szimpatikusabb a Google Jócégnél, de ettől még nem akarom, hogy a MS szándékosan csesszen ki a G-userekkel. Mint ahogy elvárnám, hogy normális emberhez méltóan viselkedve a G se kezdjen genyózni a rivális cégek vásárlóival, bár ez egyelőre utópia.

A felhasználók nem akkor szívják meg, ha szólnak nekik, hogy rossz a program, amit használnak, hanem akkor, ha rossz a szoftver, amit használnak. A szoftver a hiba nyilvánosságrahozatalától nem lesz rosszabb. A sebezhetőséget kihasználók pedig - mint itt már többen leírták - nem a bejelentésekből szoktak tájékozódni. Ebből következően a hiba nyilvánosságra hozója nem szúr ki a felhasználókkal. A bejelentés - annak ellenére, hogy javítás nincs - abban esetleg még így is segíthet, hogy tudatja a felhasználóval, hogy az adott program hibás, és ő dönthet úgy, hogy akkor felfüggeszti a használatát a javításig.

Kissé árnyalja a képet, hogy:
- a nyilvánosságra kerülése előtt semmilyen módon nem lehetett detektálni a hibát, ezért az, hogy előtte nem volt észlelhető utána meg igen inkább az IDS/IPS-ek frissítési sebességét mutatja, mint a hiba kihasználás méretének növekedését
- a hibát valószínűleg már két éve aktívan kihasználták, legalábbis a Bloomberg szerint És nem biztos, hogy csak az NSA.

Akkor az eredeti kijelentes:

"A sebezhetőséget kihasználók pedig - mint itt már többen leírták - nem a bejelentésekből szoktak tájékozódni."

Kocka nyelvre szerintem ez azt jelenti, hogy a nem talalni nagy tomegben olyanokat, akik a bejelentesbol tajekozodnak.

Ezzel szemben te:

"hibát valószínűleg már két éve aktívan kihasználták, legalábbis a Bloomberg szerint És nem biztos, hogy csak az NSA."

Letezett, aki kihasznalta korabban. Ez kizarja, hogy volt, aki utana (szerk.: a tobbseg) hasznalta ki? Gondolom te sem gondolod igy egeszen komolyan.

> a nyilvánosságra kerülése előtt semmilyen módon nem lehetett detektálni a hibát

Ezzel is lehetne vitatkozni, de hagyjuk meg igy az egyszeruseg kedveert.

> előtte nem volt észlelhető utána meg igen inkább az IDS/IPS-ek frissítési sebességét mutatja, mint a hiba kihasználás méretének növekedését

Ezt gondold meg1x vegig. Arrol van szo, mikor jottek az elso tamadasok (btw. ha visszaemlekszel, arrol szoltak a hirek, h csokosok korabban megkaptak a bejelentest). Sot, utana azt is merhettek, milyen a felfutasa.

Ha ezt igy nekem nem hiszed el, rad hagyom, nem fogok kuszkodni a meggyozeseden. Nekem nem er annyit:)

Úgy gondolom, hogy vannak gyorsan, könnyen és lassan, nehezen javítható hibák, igen. Ezen kívül érintett cégen belül a javításhoz szükséges/felszabadítható (humán) erőforrás elérhetősége is fluktuálhat az idő függvényében.
Persze lehet, hogy én látom ezt rosszul - mindenesetre bennem visszatetszést kelt a párbeszéd teljes kizárása.

Nem látod rosszul. Aki dolgozott már olyan cégnél, ahol elsődlegesen egy szoftver a termék, az mind jól ismeri ezt.

> bennem visszatetszést kelt a párbeszéd teljes kizárása.
Bennem is, bár ennek nem ideológiai okai vannak, hanem rühellem, hogy a jócég Google csak azért képes kib*szni a saját felhasználóival is, hogy a Microsoftnak egy icipicit nehezebb legyen. (Ugyanezt egyébként fordított irányban is nehezen tolerálom, nem a Google-Microsoft ellentét a lényeg.)

És akkor a ms-nak kéne határidőt szabnia?

Vagy minden egyes hibánál összehívni egy bizottságot (a megtaláló, a ms, és még néhány külsős szakértő részvételével), ami néhány hónap alatt megszüli, hogy ezt a hibát mennyi idő alatt kellene a ms-nak javítani, és ha ebben megegyeztek akkor kezdjen el ketyegni az óra?

Ugyanmár. Szerintem a 90 napos ablak kifejezetten gáláns. Ha ennyi idő alatt nem képes javítani a hibáit, akkor inkább keressen valami más iparágat, ahol nem tud ekkora kárt okozni a töketlenkedésével.

>És akkor a ms-nak kéne határidőt szabnia?

Ha neked a közös megegyezés, vagy az arra való törekvés ezt jelenti, akkor nagyon nem akarod érteni.

>Vagy minden egyes hibánál összehívni egy bizottságot (a megtaláló, a ms, és még néhány külsős szakértő részvételével), ami néhány hónap alatt megszüli, hogy ezt a hibát mennyi idő alatt kellene a ms-nak javítani, és ha ebben megegyeztek akkor kezdjen el ketyegni az óra?

Erről sem esett szó. Olvasd el kérlek a postban linkelt cikket, mielőtt kommentelsz.

>Ugyanmár. Szerintem a 90 napos ablak kifejezetten gáláns. Ha ennyi idő alatt nem képes javítani a hibáit, akkor inkább keressen valami más iparágat, ahol nem tud ekkora kárt okozni a töketlenkedésével.

Az, hogy te, vagy a google, (vagy én,) vagy akármelyik másik külsős mit tart "gálánsnak" véleményem szerint irreleváns, lsd itt .
Ne haragudj, de a fenti shitpost lavinádra már nincs időm/kedvem egyenként válaszolgatni. Részemről befetéma van innentől.

">És akkor a ms-nak kéne határidőt szabnia?
Ha neked a közös megegyezés, vagy az arra való törekvés ezt jelenti, akkor nagyon nem akarod érteni."

Te nem akarod felfogni, hogy miről van szó. Határidőt vagy a gogol szab, vagy a ms, vagy ketten együtt, más verzió nincs. Az elsőt kifogásoltad, de a második is egy opció.
A "közös megegyezés" esetében pedig nyilván csak olyan határidő tud születni, amiben mindkettő egyetért. Ha a google azt mondja, hogy max 90 nap, a ms pedig azt mondja, hogy minimum 100, akkor ott nem lesz megegyezés.

">Vagy minden egyes hibánál összehívni egy bizottságot...
Erről sem esett szó. Olvasd el kérlek a postban linkelt cikket, mielőtt kommentelsz."

Irónia, szarkazmus mond valamit?
Amúgy meg nem, nem fogom elolvasni a ms biztonsági ügyeiért felelős egyik fejesének a tl;dr magyarázkodását, mosakodását és gógelfikázását. Átfutottam, többre nem tartom érdemesnek.

"Az, hogy te, vagy a google, (vagy én,) vagy akármelyik másik külsős mit tart "gálánsnak" véleményem szerint irreleváns, lsd itt ."

Ne haragudj, de számomra meg az irreleváns, hogy a ms mennyi idő alatt óhajt javítani egy ilyen hibát. Az ő dolga hogy megvárja-e a javítással a full disclosure-t, hogy veszélyezteti-e ezzel a fizető ügyfeleit. Én szerencsére minimálisan vagyok érintett a témában.

"Ne haragudj, de a fenti shitpost lavinádra már nincs időm/kedvem egyenként válaszolgatni. Részemről befetéma van innentől."

Ahogy érzed.

90 nap az legrosszabbrosszabb esetben 2 patch kedd, durván 60 napnyi felkészülési idővel. De még ha adott hónap patch keddje előtt jelentik is be a hibát nem sokkal (a konkrét sebezhetőségnél egyértelműen ez történt), akkor is csak ezzel a pár nappal adnak hozzá ehhez a 60 naphoz. Nyilván patch kedd előtt közvetlenül bejelentett hibákat már nem fognak az adott patch keddre javítani, ha egy mód van rá, a kapkodásból eredő hibákat elkerülendő. Ezt kellene figyelembe venni, erről beszél a Microsoft.

Értem amit írsz, de alapból nem arra kéne törekedniük a cégeknek, hogy megoldják a problémát és nem arra, hogy nekik kényelmes legyen? Mondjuk lehet nem patch keddi javítás, hanem olyan sebezhetőség esetén mondjuk extra patch csütörtök délelőtt? Vagy ha másik cégnél két havonta küldenek ki frissítést péntek délután, akkor náluk legyen 200 nap, hogy nehogy véletlenül a frissítési kiadási ciklusukba belezavarj egy renitens patch-csel?

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Üzemeltetőt még értem, jobban tudja időzíteni ő is, felhasználót viszont nem értem. Ez alapján, a Microsoftnak ezek szerint nem jó ez a patch kedd?

Egyébként nekik (felhasználó, üzemeltető, sőt Microsoft) nem az a jó, ha nincs sebezhetőség a rendszerükben? Ennél tényleg fontosabb, hogy mindig, kőbe vésett szabályként kedden érkezzen?

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Felhasznaloknak az egesz csak nyűg, nem érdekli, nem is fogja fel. Nekik az az érdekük, hogy használni tudják a rendszert.

Ameddig ezt nem érted meg, hogy nem ugy állnak hozzá egy frissítéshez, hogy jajdenó, befoltozza az xyz hibát, hanem csak annyit látnak, hogy a rendszer megint zaklatja őket valami számára érdektelen dologgal, amit legszívesebben sokan kikapcsolnának/kikapcsolják, addig nem is fogod érteni.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Tehát maradjanak inkább sebezhetőek azért minél tovább, és ennek örüljenek is, hogy ne kelljen a rendszert újraindítaniuk időnként? Akkor tényleg nem értem.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Van különbség a "sebezhetőek" és az "aktívan kihasználják" között. Mérlegelés és általában egyedi mérlegelés kérdése.

Ha nagyobb a presztízs és/vagy anyagi vesztesége a leállásnak, mint egy esetleges támadásnak, akkor senki nem fogja bevállalni.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ebben egyetértünk, mérlegelés kérdése a telepítés és adott esetben gép újraindítás. Viszont én azt gondolom, hogy a lehető legkorábban adjanak lehetőséget erre. Aki nem használja, annak mindegy, aki viszont használná, annak nem.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

"90 nap az legrosszabbrosszabb esetben 2 patch kedd, durván 60 napnyi felkészülési idővel. De még ha adott hónap patch keddje előtt jelentik is be a hibát nem sokkal (a konkrét sebezhetőségnél egyértelműen ez történt), akkor is csak ezzel a pár nappal adnak hozzá ehhez a 60 naphoz."

Ennél a hibánál kb. 70 napjuk volt a hibát elemezni, javítani, tesztelni és kiadni. Már ha ragaszkodnak a patch keddhez és nem adnak ki rendkívüli javítást...

"Nyilván patch kedd előtt közvetlenül bejelentett hibákat már nem fognak az adott patch keddre javítani, ha egy mód van rá, a kapkodásból eredő hibákat elkerülendő. Ezt kellene figyelembe venni, erről beszél a Microsoft."

Egy fenét. A ms csak magyarázkodik, hogy mindenki fújgonosz és szegény ők, szegény májkraszaft. Valójában azt szeretnék, hogy mindenki igazodjon hozzá, és az ő elképzeléseihez, a nekik kényelmes határidőkhöz.
Én meg arról beszélek, hogy ha ők 90 naptári nap alatt nem képesek javítani egy hibát, akkor a elsősorban saját házuk táján kellene söprögetni, saját magukban kellene a hibát keresni.

> Úgy gondolom, hogy vannak gyorsan, könnyen és lassan, nehezen javítható hibák, igen. Ezen kívül érintett cégen belül a javításhoz szükséges/felszabadítható (humán) erőforrás elérhetősége is fluktuálhat az idő függvényében.

Mindenekelott alapelv, h a felhasznalo kulonosebben teszt az MS bajaira, mint ahogy a 4bdull4h L33t is, amikor kihasznalja.
Masreszt a google lepesenek a celja, h kenyszeritse az MS-t. Engem igazabol az sem erdekel, h a google ad 90 napot, egy francia terrorista 80-at, vagy esetleg Kina informatika minisztere.
Ha egy vilagcegnek nem eleg 90 nap egy ilyen hiba fixelesere a tesztekkel egyutt, akkor lemaradt, mint a borravalo. Jobb esetben a felhasznaloi elhuznak, rosszabb esetben kap egy vaskos pert meg buntetest a nyakaba (sose fog megtortenni).

> Egyeztetes nelkul.

goto 1

Mondok mast. A fonokom bevezette, h hetente van release es aki lemarad az kimarad. Nem security bugokrol van szo tobbmilliard felhasznaloval, hanem szimpla hetkoznapi termekekrol. A fejlesztonek (mint az MS-nek) az a dolga, h hozza olyan szintre a dolgokat, h tudja tartani a tempot. Nem egyeztetett, ez a kovetelmeny. Van csapat, amelyiknek sikerul, a masiknak nem. Ilyen az elet, a hulladek elbukik.
Az MS sem fog egyebkent elbukni. Alkalmazkodni fognak. Ez a rinyagep szinten, vagy pedig kampo lesz neki.

Disclosure timeline

02/11: Notification of issues 1, 2 and 3.
23/11: No answer received from Apple, notification of issue 4. As no answer was received since the first contact, propose December 2 as possible disclosure date.
25/11: Apple answers requesting more time. We propose to move the disclosure date to January 12.
27/11: Apple accepts the new deadline.
05/12: Contact Apple asking for the status of the vulnerabilities.
06/12: Apple says they're still "investigating the issue".
23/12: Notification of a new issue (#5), proposing January 23 as a tentative disclosure date.
06/01: Apple asks for more time for issue #5. We propose to move the disclosure date to February 23. We remind our intention to disclose the 4 previous issues on January 12.
12/01: No answer from Apple, disclosing first 4 issues.

:D

--
trey @ gépház

( nikin v | 2015. 01. 14., sze – 00:24 )

Hmm... többen vetették fel, hogy egyezteti kéne a határidőkről. És olyan időpontot választani amit mindkét fél elfogad.
No evvel az a gond, hogy akkor.

- Google: sechole van kódodban, javítani lenne érdemleges
- nikin : köszönöm értesítést.
- Google: eltelt két hónap, 30 nap múlva diszklozálnék.
- nikin : lenne nekem kényelmetlen mert X. Sok meló. legyen később.
- Google: akkor legyen még 60 nap?.
- nikin : lenni nekem nagy szoftverbázis, sok offlines user, kell idő javítás, frissítés, szükséges lenni 6 516 235 462 nap, annál hamarabb te ne diszklozáloskodj.
- Google: hö...?

Az olyan dátumok amikbe mindkét félnek bele kell egyezni, ahol az egyik fél egyértelmű érdeke, hogy az lehetőleg soha ne legyen, az őőő.. soha nem lesz.
Részemről az egész G/MS jócég akármi nagy baromság. Mindkettő cég. Profitorientált darab. Ha megtehetik nem verik magukat költségbe. A telefongyártók is ezért nem frissítenek. Mert abból nekik semmilyen hasznuk nem származik, Sőt. De még mennyire Sőt.
Még én is gonosz, rossz cég vagyok néha, mert 5 éve kiadott kódot csak akkor szupportálok ha erre megállapodásom van. Esetleg nyitott vagyok arra, hogy kiadjam a kódot a támogatás lejártával ha nem ütközik az érdekeimmel. Vagy ha épp olyan a helyzet, lehet nekem ám fizetni is, hogy frissítsek valamit.
Ha valaki 5-10 évre tervez használni egy szoftvert akkor esetleg ez legyen része a szerződésnek amiben elkészítteti/megvásárolja azt. Persze ez meg fog látszani az áron is... mert bizony az ++munkaóra.
Fúj, rossz-gonosz nikin.

### ()__))____________)~~~ #################
# "Ha én veletek, ki ellenetek?" # E130/Arch

( KGer | 2015. 01. 14., sze – 12:43 )

Nem értem miért jó az egyik cégnek ha nyilvánosan felfedi egy másik cég biztonsági hibáit.
Hosszú távon a felhasználók jól járnak, a technológia jól jár, én szerintem hosszú távon az a helyes ha minél több hiba derül ki, de hirtelen elgondolkoztam a Google-nak miért jó ha nyilvánosságra hoz egy idegen cég biztonsági hibáját, milyen hozzáadott építő értéke származik belőle?
Én is csinálhatok ilyet? Mondjuk 70 napos határidővel?

Egy lehetséges magyarázat:

Tételezzük fel, hogy a Google-nél dolgozik néhány világszínvonalú biztonsági szakember, akinek az a feladata, hogy a Google infrastruktúráját, szolgáltatásait védje, megfelelő stratégiát dolgozzon ki stb.

Ezek után a Google-höz betörnek. Megy a heherészés, ezeket az embereket minek alkalmazzák, ha tehetetlenek. A betörést úgy követik el, hogy egy 3rd party cég szoftvereiben található 0day biztonsági sebezhetőséget használnak ki.

"Security experts immediately noted the sophistication of the attack.[11] Two days after the attack became public, McAfee reported that the attackers had exploited purported zero-day vulnerabilities (unfixed and previously unknown to the target system developers) in Internet Explorer and dubbed the attack "Operation Aurora"."

A Google biztonsági szakembereinek lehetőségei korlátozottak, erősen a 3rd party cégre, annak reakcióidejére vannak utalva. Az a céljuk, hogy a 3rd party cég minél kisebb időablakban oldja meg a sebezhetőségeket. A Google emberei segítenek is. 0day hibákat keresnek és jelentenek be a 3rd party céghez.

Köszönet helyett azonban ellenséges fogadatásban van részük. Elmondásuk alapján nem könnyű a 3rd party céggel együttműködni.

A Google emberei első körben felajánlanak 5 napot a 3rd party cégnek a hiba javítására. Nem történik meg. Közlik a hibát. A 3rd party vinnyog, hogy 60 napot szeretett volna.

A Google szívja a fogát, 90 napra emeli a határidőt, de már így is bokáig letolta a gatyát, mert tisztában vannak azzal, hogy a támadók már akár korábban tisztában vannak a hibákkal, mint hogy ők azt jelentették.

A Google a 90 nap után közli a részleteket, mert addig semmi sem történt. A 3rd party cég megint vinnyog.

A biztonsági szakemberek pedig egyrészt a munkaadójuk érdekében, másrészt saját presztízsük érdekében járnak el.

Természetesen ez egy kitalált történet, a szereplők sem valósak.

--
trey @ gépház