Megalakult a másik MSRC

Titkosítás, biztonság, privát szféra

Ismert, hogy Tavis Ormandy nemrég egy Microsoft szolgáltatást érintő sebezhetőségről számolt be a full-disclosure listán. A Microsoft a közlés után elmondta, hogy nem örül Ormandy bejelentésének. Az eset nyomán a biztonsági iparban (és máshol) tevékenykedők egy csoportja megorrolt a Microsoft-ra. A csoportnak nem tetszik, hogy a Microsoft ellenségesen kezeli a biztonsággal foglalkozókat, ezért megalakították a Microsoft-Spurned Researcher Collective-et (Microsoft-ot mellőző/megvető/elutasító Kutatók Kollektívája), röviden az MSRC-t. A névválasztás feltehetően nem véletlen. Ezen a néven működik ugyanis a Microsoft biztonsággal foglalkozó blogja, a Microsoft Security Response Center is.

A csoport - ami létezésének bejelentése mellett egy Windows-zal kapcsolatos hibát is közölt a full-disclosure listán - tudatta, hogy a szabadidejüket nem kímélve fognak a jövőben hibákról szóló teljes közléseket tenni. A csoport a bejelentés szerint szívesen fogad tagjai közé másokat is, illetve jelezték, hogy aki hibát akar bejelenteni, az felveheti velük a kapcsolatot. A felvétel a csoportba nyitott, de szűrni fogják a jelentkezőket, nehogy Microsoft alkalmazott próbáljon meg csatlakozni hozzájuk.

A részletek itt.

( akkos v | 2010. 07. 07., sze – 17:59 )

Ha rövidtávon rossz is ez nekem vagy a microsoftnak, hosszútávon biztosan nyerek belőle :) Csak így tovább!

Vége lesz a foltkeddeknek? ;)
Legalább számonkérhetik ezek után az MS-t, ha nem adja ki időben a hibákhoz a javításokat.
(Eltussol, majdjavít, egyszerkiad.)
Ha meg még ezek után a hibából kifolyó veszteségét is az MS-nek számlázzák ki, az már csak hab a tortán. ;)

"Ez alapjan prestizst veszthetnek, meg egy-ket fanatikust, de mast nem nagyon."

Lehet, hogy jogilag felelősség nem fogja terhelni őket, de ettől még ez egy elég durva támadás a cég ellen. A kártékony szoftverek száma meg fog nőni, ezzel együtt az aktívan kihasznált hibák száma is. És ha ez még nem elég, a szoftverek minősége is romlani fog, mert kevés tesztelés után ki kell majd adni a javításokat. Összességében a platform minősége és biztonsága egyaránt romlani fog, így könnyen nagy üzleteket bukhat a cég. Ráadásul ez nem csak a microsoft termékek felhasználóinak az életét fogja megkeseríteni, mert pl. a spamáradat mindenkihez eljut.

--
Don't be an Ubuntard!

Te most azt az MS sajnálod, akinek kemény pénzeket kell fizetni, hogy a marketingesek által meghirdetett biztonságot és nirvána közeli élményt kapd a sebességtől és használhatóságtól? Ehhez képest a kiadott OS az első ServicePack kiadásáig egy béta vagy RC rendszer szintjén mozog és még be is sértődnek, ha valaki a parkolópályán levő hibákat megszellőzteti, amit már mások egyébkén használnak/kihasználnak. Minden értelmes cég, ami MS OS-t használ megvárja az SP1/2 kiadását a migrálással, mert a felelősségteljesen gondolkodó rendszergazdák és IT vezetők nem szeretnek bétateszterek, vagy berepülő pilóták lenni.
Ugye ettől szegény MS alkalmazottak magukba rogynak és az életkedv hiány végett egyre rosszabb kódot állítanak elő, 'míg olyan szintre gyűrűzik a dolog, hogy csoportos öngyilkosságot követnek el a puszta felelősségtudattól és a cég írmagja is kihal.
Szerintem a bevételükbe bele kell férni annak, hogy vesznek fel még vagy 500-1000 bérkódoló indiait (plusz havi 100 zsák rizs, mint könyvelési tétel) és időegység alatt gyorsabban befejezik a javítások kiadását, vagy talán egyszer egyből egy SP1 minőségű OS-t is ki tudnak adni nyitásnak. Tény, hogy kényszer mellett nem kellemes fejleszteni, de majd hozzászoknak...

Igen: én nem használok MS OS-t, csak néha játszani. De siralmas számomra az, hogy egy megvett OS mellé még legalább ennek értékében kell vennem kiegészítő programokat és egy komplex tűzfalat kell építsek hozzá és egy proxy-t külön eszközön, csak azért, hogy egy minimális biztonsági szintet elérjek a fentebbi struccpolitika miatt, mert az a barom ugye, aki ki meri jelenteni, hogy mégis forog a Föld.

Szerintem a bevételükbe bele kell férni annak, hogy vesznek fel még vagy 500-1000 bérkódoló indiait (plusz havi 100 zsák rizs, mint könyvelési tétel) és időegység alatt gyorsabban befejezik a javítások kiadását,

30 ezer... 300 ezer indiai gyorsabban keres meg egy adott biztonsági hibát és hamarabb javítja?

Csak a szűk környezetemből tudok kiindulni: ha nálunk valamilyen programnak baja van, vagy csak gyanítjuk, akkor egy ember helyett plusz két-három ember beleáll a modulok átnézésébe, a lehetséges hibaokok keresésébe. Ha nem is lineárisan, de fokozottan gyorsabb így a keresés, javítás. Erre alapozva: egy ésszerű emberszámra szétosztva igen, gyorsabb lesz a keresés, javítás.
(Az említett létszám részemről ezen esetben költői túlzás volt inkább, de nem hiszem, hogy nagyon távol állna a valóságtól.)

Én ezt írtam: Ha nem is lineárisan, de fokozottan gyorsabb így a keresés, javítás.

Mivel nem tudom, hogy jelenleg hány ember foglalkozik ilyen munkával az MS berkein belül, így még csak tippelni sem tudok mennyivel növelné a sebességét az említett folyamatoknak a plusz 500-1000 ember, de lehetne találni olyan létszámot, ami már érzékelhető lenne a "végeken" is. (Akár a bullshit-generátor osztály rovására.)

De hogy én is viccelődjek: ha jelenleg csak egy ember foglalkozik ezzel a munkával, akkor akár ötszáz-ezerszeres sebességnövekedést is lehetne produkálni extrém esetben. :)

"Ehhez képest a kiadott OS az első ServicePack kiadásáig egy béta vagy RC rendszer szintjén mozog és még be is sértődnek, ha valaki a parkolópályán levő hibákat megszellőzteti, amit már mások egyébkén használnak/kihasználnak. Minden értelmes cég, ami MS OS-t használ megvárja az SP1/2 kiadását a migrálással, mert a felelősségteljesen gondolkodó rendszergazdák és IT vezetők nem szeretnek bétateszterek, vagy berepülő pilóták lenni."

Azért nem árt megjegyezni hogy a legtöbb Linux disztro az úgynevezett "stabil" kiadások esetén is alpha/beta státusz; illetve a GNU/Linux kernel és alkalmazásfejlesztők állandóan berepülő pilótának néznek mindenkit és a legritkább esetben hajlandóak külön teszt és működő ágat fenntartani (egy kezemen meg tudom számolni a kivételeket).
És ez a helyzet egy kiadás rövidke 1-2 éves támogatási ciklusa alatt meglehetősen keveset változik... MS esetén legalább az esély megvan a javulásra.
(szerk: a RH nem véletlenül szállít több éves verziót sokmindenből... sajnos más nemnagyon követi ezt pedig eléggé kéne F/OSS körökben)

Windowst meg utoljára XP-t láttál úgyérzem.
(az meg, hogy a paranoiád enyhén orvosi eset és proxy nélkül nem mész a netre winről, az a te bajod, nem a rendszeré)

A laptopomon Vista fut (VirtualBox) és az otthoni gépemen Windows7 és ezen utóbbi rendszer tetszik is, mert talán a leghasználhatóbb az eddigiek közül. A paranoiám pedig a 100+ céges gépen levő szopásból ered és a több tízezer ügyfélgépből, amivel én és munkatársaim nap, mint nap szembesülnek.
(Pár idézet: Nem gondolja, hogy a 30eFt-os XY vírusirtó mellett vírusos a gépem! Az új Windows7 nem lehet vírusos. Most vettem az új laptopom 500eFt-ért, nem lehet vírusos. Csak pár kódot kerestem a neten, attól nem lehet vírusos, mert nem néztem pornót. Az én gépem nem SPAM-elhet, mert nem is használom a levelezőt... Mondjuk az igaz, hogy a hülyeség ellen nem nagyon van védelem.)

Persze a Linux-ok milyensége ismét megér egy misét, mert ez is felvet problémákat, de más jellegűeket. Én jelen pillanatban a Linux/FreeBSD alatti problémákat gyorsabban tudom orvosolni, így számomra ez az elviselhetőbb rendszer (Simán fakadhat az ilyen irányú hozzáértés hiányából is nálam). Jelenleg az otthoni gépem használhatósága erősen visszaesett egy hálókártya driver regresszió miatt (nálam fő szempont), ami azt eredményezte, hogy a gigabit kártyám 10Mbit HD módban futott Ubuntu 10.04 alatt, 9.10 alatt 100Mbit FD, 9.04 alatt 1Gbit FD. Ez miatt az Ubuntu repült a "kukába" és bár nem szerettem korábban, de egy Sabayon (Gentoo alapon) ment a helyére. Jelenleg minden megy a legnagyobb rendben és teljes a megelégedettség.

( bsh | 2010. 07. 07., sze – 21:16 )

én ennek valahogy nem tudok örülni. :(

( hory v | 2010. 07. 07., sze – 21:53 )

Igazan felnott hozzaallas, erett gondolkodasmodra utal.

( answ | 2010. 07. 07., sze – 22:36 )

Na a cégeknél már megint be fog lassulni a net a Windows botnetektől..

( naszta v | 2010. 07. 08., cs – 06:53 )

[cinizmus=on]
Büszkék lehetnek magukra! Ilyet csak igazi nagy egyéniségek csinálnak! Szinte nem is értem, hogy miért nem csatlakoztam még hozzájuk! Minden komoly szervezet egy másik ellenében definiálja magát, hiszen ettől lesz önálló identitása. Fel is írom az alapítók nevét, hiszen néhány év múlva tanulni fogják őket az általános iskolákban is!
[cinizmus=off]

Ez a legalja. De tényleg.

Ha ennyire szar nekik a Windows, mi a sz@rért nem tér át másra? Ha meg ebből él, akkor nem sok nagyobb féreg dolog van ennél. Meg hát más dolog 5 gépen javítani valamit, meg a világ gépeinek 90+%-án...
--
http://www.naszta.hu

Nem hogy szar nekik a windows, de ezt szeretnék használni. Sőt úgy szeretnék használni, hogy még jobb legyen. Sőt ebben a jobbá tételben részt is vállaltak. Sőt nem elismerésért dolgoztak. Erre fogta magát az MS és amikor valamelyik "legalja" azt mondta, hogy most már egy ideje bombázza az MS-t hogy javítsa az ő általa észlelt hibát és szartak rá, nyilvánosságra hozta. Erre az MS azt mondta, hogy most aztán ő egy csúnya fijú és fújj, fújj, fújj.

Hallottál már arról, hogy önérzet, önbecsülés, büszkeség? Meg arról, hogy ha valaki egy férfinak (de akár nőnek is) ebbe beletapos, akkor az nem nyugszik bele és húzza meg magát, hanem kiáll önmagáért, a véleményéért, a szakmai tekintélyéért?

na ennyit a legaljáról....

A Windows továbbra is MS termék, tehát alapvetően ő dönti el, hogy mihez nyúl hozzá. Ha nem nyúl egy hibához 5 évig, az is az ő dolga. Nem tudom, hogy hány hibát küldenek nekik naponta, de valószínű, hogy nem csak 10-et. Valószínűleg van egy (vagy több) projekt vezető, aki semmi mást nem csinál, csak eldönti, hogy melyik hiba az, amit azonnal kell javítani és melyik az, ami még ráér, mert még nem használják ki/kevéssé ismert/kicsi a valószínűsége, hogy kihasználják. Feltételezhetjük, hogy az MS is abban érdekelt, hogy a Windows jobb legyen, de még akár azt is, hogy jobban tudja, hogy mely hibákra repülnek rá többen. Persze ha publikálod az összes általad talált hibát azonnal a helyett, hogy őket értesítenéd, akkor jó eséllyel előre kerül a sorban, de ettől még nem leszel korrektebb szakmailag.

Miért önérzeti kérdés az, hogy egy másik cég mit csinál? Lefutották a kötelező kört az MS-nél és az MS majd eldönti, hogy mikor javítja. Amit ők tesznek az viszont felelőtlenség, mert nem a gyártóval közlik a hibákat, tehát az MS a több 100.000 sorban javítson annyi idő alatt egy vagy több hibát, mint a vér Pistike a 10 soros hexát copy-paste-eli. Ráadásul nem az MS kerül kellemetlen helyzetbe, hanem az üzemeltető. És ha az üzemeltető programozott már egyszer is, akkor tudja, hogy nem az MS a felelőtlen ebben a körben, hiszen minden rendszeren vannak hibák, amiket javítani kell.

A dolog azért válik egyébként kritikán alulivá, mert az alternatív csoportba egy MS alkalmazott sem kerülhet, tehát a minimális párbeszédre sem hajlandóak.

Pl.: biztos hogy a teljes help rendszer átnézésére elég 2 hét? Ha nem publikus a hiba, akkor lehet, hogy meg lehet írni becsülettel egy hónap alatt, a nélkül, hogy gányolás lenne és fel sem törnek semmit (hisz a hiba csak kis körben ismert). Nem minden projektnél olyan 0 és/vagy gány az elvárt kódolási színvonal, mint a nyílt kódok egy jelentős részénél.
--
http://www.naszta.hu

Részben egyet értek. Mi is küldtünk az MS-nek hibát, amire egy-két napon belül megjött a patch.
De az ott dolgozó projectmanagereknek igenis fel kell tundi mérni, hogy melyik hiba durva és azt javítani kell. Ha nem repültek rá, mert azt gondolták, hogy ez bakfitty, akkor utána hogy nyilvánosságra hozták, mit ugrálnak, hogy "jajj a rossz fijúk" kiadták a hibát. A rossz fijúk úgy gondolták, hogy az MS "szarok én rátok" mentalitása azt jelenti, hogy nem érdekli ez a hiba. Ezért kiadták. Ennyi.

A probléma úgy látom szerinted az, hogy ez az új csoport nem akar az MS-sel kommunikálni. Azaz ugyanúgy jár el, mint az MS.
Ezek szerint a hatalmas cégnek joga van ignorálni embereket akik segítenének, de pár embernek nincs joga ignorálni az MS-t. Érthető felfogás, csak nekem "nem gyerebe". :)

Veszekedtél Te már valaha a feleségeddel, vagy mindig neki van igaza? :D

"De az ott dolgozó projectmanagereknek igenis fel kell tundi mérni, hogy melyik hiba durva és azt javítani kell. Ha nem repültek rá, mert azt gondolták, hogy ez bakfitty, akkor utána hogy nyilvánosságra hozták, mit ugrálnak, hogy "jajj a rossz fijúk" kiadták a hibát"

Szerintem ebben az esetben elég az egy irányú kommunikáció és ez rendben is van így. Ha tudsz a hibát, küldöd és kész!

Az MS-nél meg nyilván látják:

a) mekkora baj lehet a hibából az ügyfeleknél,
b) hány sort érint a hiba,
c) mennyire ismert a hiba.

Valószínűleg policy van arra, hogy nem kommunikálhatnak folyamatban lévő security issue-ról. De ha belegondolsz egy kicsit is, ez tök logikus. Ha kommunikálja, hogy a hibát még egy évig nem javítja ki, mert ugyan fontos lenne, de kicsi az esélye, hogy rájön valaki, ugyanakkor 20.000 sort érint, de már folyamatban van, akkor esetleg valaki spekulálna vele és kihasználná sok felé a lyukat. Ha meg mindenre válaszolna, kivéve a nagy hibákat vagy azokat, amiket nem javít, akkor is kilógna a lóláb. Tehát nem kommunikál ezekben az ügyekben semmit. Nem kéne hülyének nézni a másik oldalt sem, mert itt ugye nem csak arról van szó, hogy "Géza rendes vagy, holnapra kész a patch".
--
http://www.naszta.hu

Ma az MS termékek olyanok az életünkben, mint a hegyek, fák a sziklák vagy álatok. Mindenhol ott vannak.
Belátható, hogy ez azzal is jár, hogy pont úgy tanulmányozzák mint azokat. (Tudod azért másznak meg hegyet, mert "ott van")
Logikátlan azt elvárni, hogy ha valaki rájön valamire azt ne publikálja. Nem ez a normális. A felfedezői hírnév több évszázada mozgatórugó.
A gyors hiba publikáció kinyírja a hibák piacát, melyen jelenleg rengeteg pénz mozog. Ha már hibás legalább a "maffia" kevesebbet / ne keressen rajta.
Volt olyan hiba (copy parancsban) amit az MS DOS 5.0-ban találtam és még a win95-ben is ott volt (már nem figyelem, de nem kizárt, hogy még most is létezik).
Szóval az, hogy valóban létező dolgokat valaki kimond nem lehet ártalmas, csak egyesek számára zavaró, vagy esetleg jövedelem csökkentő.
A Cég módszereit ismerve, sajnos veszélyes együttműködni, beengedni, pénzt elfogadni tőle. Ebben az anyagban is olvashatsz róla: http://ekk.gov.hu/hu/ekk/letoltheto/meh-floss.pdf
Szóval az együtt nem működés lehet akár jogos elővigyázatosság is.

--
A gondolat még szabad ...

Attól, hogy valamit lehet, még nem muszáj vagy etikus.

Szerintem egyébként ez szimplán egy ekézési művelet része, ami mögött pénz van, mégpedig egy másik multi pénze, talán épp Google-é. Itt nem arról van szó, hogy néhány home user talál valami hibát, hanem arról, hogy profi srácok napi 8-ban exploitokat keresnek, vagy csak kiadják, amit a Google talál, a fejlesztései folyamán. Azért teszik ebben a formában, mert így folyamatosan hírben van az, hogy az MS szoftverek rosszak és nem készül rájuk időben javítás. Igazából a Google OS marketing előkészületeit láthatjuk. Így lesz az átlag user-ben késztetés arra, hogy a biztonságos Google OS-hez húzzon, hiszen ott alig van hiba, vagy ami van, az gyorsan javítva is van. (Persze, mert ami hibás lehet a böngészőn felül, az nem is az ő gépén fut, vagy van tárolva, tehát ott hibás sem lehet.) De lehet, hogy csak én vagyok üldözési mániás... és a google még mindig csak egy kereső.

Szerintem ha egy szoftverben hiba van, akkor az a szokás, hogy a fejlesztőnek szólunk, mert mi is ezt várjuk a saját ügyfeleinktől.
--
http://www.naszta.hu

Vegyünk egy hidat, legyen ez a Margit híd. Bejelentik valaki, hogy ha 3 busz, 1 villamos, 1 csepel bicikli meg 2 passat egyidőben van még másik 10 járművel a hidon akkor ha valaki tüszent leszakad (direkt buta / nem életszerű a dolog ezen része).
Ezt számításokkal, modellel, kisérlettel igazolja.
Szerinted ez esetben:

(a)
meg kell nyugtatni, hogy van másik sok híd is és ne járjon arra ezentúl
(b)
tenni kell a dolog ellen pl, táblával kitiltani a buszokat vagy a inkább a tüsszögést
(c)
kell írni róla egy feljegyzést iktatni és elfelejteni
(d)
közzé kell tenni a problémát, hogy mindenki dönthessen, még akkor is ha ezzel nyomást gyakorolsz az államra, hogy a hidunkat javíttasa most meg és ne a következő választás előtt

és ha a családod is ingázik?

és ha a gyerekedet osztálykirándulásra vivő busz emiatt landolt a dunában?

--
A gondolat még szabad ...

A helyes eljárás, szerintem:

Tájékoztatni kell az államot (Budapest városvezetését, de ez most lényegtelen), hogy a híd potenciális veszélyforrás. Ekkor az állam megvizsgálja a hidat, és megállapítja, hogy a javításhoz 1 hónapra le kell zárni a hidat, és a nyári hónapokban ezt nem teheti meg, mert megbénulna Budapest közlekedése, ezért majd ősszel végzi el a javítást. Esetleg kiadhatna egy közleményt, hogy az emberek lehetőleg ne használják a hidat, de ezzel azt kockáztatná, hogy pánikhangulat alakul ki, vagy a terroristák elkezdenének szimatolni a híd körül, ezért inkább csöndben marad. Mivel tudja biztosítani, hogy a hídon legfeljebb 2 busz legyen, tényleges veszélyhelyzet nem alakul ki.

Ha ezután az illető nyilvánosság elé tárja a hibát, a következőre lehet számítani: egyrészt terroristák rohamozzák meg a hidat buszokkal, csepel biciklikkel, passatokkal és szénanáthásokkal. Másrészt kénytelen lezárni a hidat a társadalmi nyomás miatt, emiatt a városban hatalmas dugók alakulnak ki. Arról nem is beszélve, hogy az emberekben pánikhangulat alakul ki, és inkább egyik hidat sem fogják használni, ezért inkább be se járnak dolgozni, visszaesik a gazdasági teljesítmény, megnő az államadósság.

--
Don't be an Ubuntard!

Jelenleg "a biztonság a legfontosabb" ember elérte, hogy a nem ismert "hídhibából", terroristák által kihasznált hídhiba legyen, hiszen van ahol már nem áll a híd. (Biztos Travis képe lóg ott a falon... dartsozni.) Gondolom ez a legmegnyugtatóbb megoldás. Ha nincs híd, nem is szakadhat le. :P
--
http://www.naszta.hu

Kicsit paranoia szagú, hogy minden gonosz kóder a Google alkalmazásában áll, akik csak azért készítenek exploit-okat a windowsra, mert a Google világhatalmi terveiben szerepel a windows kinyírása. Jesszusom.
Szerintem meg ez pusztán egy olyan művelet része, amiben valaki szerette volna, ha egy exploit minél hamarabb javításra került volna, vagy workaround született volna, mert sok pénze bánná, ha nem.
Másrészt meg ide a rozsdás bökőt, hogy ez az ember vagy nagyon okos, vagy rájött, hogy hogy törtek be hozzá (azaz már régóta létezett ez az exploit) és ezért is szerette volna ha gyors a rekació.

Erre fogta magát az MS és amikor valamelyik "legalja" azt mondta, hogy most már egy ideje bombázza az MS-t hogy javítsa az ő általa észlelt hibát és szartak rá, nyilvánosságra hozta.

Teljesen igazad van abban, hogy ha az MS hosszasan jegeli a hibát és annak javítását, akkor azt érthető módon megunja várni a researcher, de a jelenlegi esetben Tavis összesen _kettő_ munkanapot adott az MS-nek a javításra és utána hozta nyilvánosságra a hibát. Itt azért felmerül a gyanú, hogy ennyi idő alatt egy ekkora cégnek nem sok esélye volt...

Itt válaszolok nasztának is :)
Egyetértünk. :)

Én valamiért arra emlékeztem, hogy az MS nem jelzett neki vissza egy büdös szóval sem, hogy köszi, megkaptuk, vizsgáljuk. Ezek szerint rosszul emlékeztem.
Ha ez így volt, hogy csak 2 napot adott, pedig visszajeleztek az gáz. Ugyanakkor bárkinek joga van bármilyen közösséget létrehozni.:)

Amúgy most már elég sok baj van a hibabejelentésekkel (utóbbi idők egy-két botránya). Szerintem egy fejesnek el kellene döntenie, hogy ne legyen e valami más módja, új módja a hibabejelentések kezelésének, ami kicsit jobban fényezi őket azok szemében, akik segíteni akarnak.

Valóban az, mert Tavis levelében az olvasható, hogy "Microsoft was informed about this vulnerability on 5-Jun-2010," a full-disclosure levele pedig időzónától függően jún. 9-re vagy 10-re datálódik.

A probléma nem is ott leledzik egyesek szerint, hogy a _javítás_ nem érkezett meg pár nap alatt, hanem az, hogy SA - amiben figyelmeztették volna a legalább a partnereket - sem született. Az SA is csak nyomásra jelent meg június 10-én, miután kitört a balhé. Annak ellenére, hogy Tavis szerint a Microsoft már 5-én megerősítette a hibát "and they confirmed receipt of my report on the same day."

Ha neki nem hiszünk, akkor higgyünk az MSRC-nek:

"This issue was reported to us on June 5th, 2010 by a Google security researcher and then made public less than four days later, on June 9th, 2010. "

A security körökben haragot kiváltó probléma pedig feltehetően:

The security researcher who disclosed this vulnerability has expressed concerns regarding the inclusion of his employer’s name in relation to this vulnerability. While there continues to be a difference of opinion, we have included both this researcher’s view and our view in this blog post. His point of view is that he reported the vulnerability not as an employee, but as an individual action by him as an independent researcher.

At Microsoft we do not believe that its feasible to disassociate the two. We believe the actions of employees, when related to the work they are doing at a technology company, should reflect the policies of their employer.

Despite these differences of opinion, we continue an open dialog with this researcher and ask the security researcher community to continue working with us to help protect customers.

--
trey @ gépház

Valóban az, mert Tavis levelében az olvasható, hogy "Microsoft was informed about this vulnerability on 5-Jun-2010," a full-disclosure levele pedig időzónától függően jún. 9-re vagy 10-re datálódik.

Jun 5-9, tehát 4 nap és volt közötte egy hétvége, így marad a _kettő_ munkanap, amit írtam.

De ha nem két, hanem négy napról beszélünk, akkor is ugyanaz a probléma, amit írtam.

"Tavis összesen _kettő_ munkanapot adott az MS-nek a javításra és utána hozta nyilvánosságra a hibát"

Ez a 2 nap nem igaz, de nem is ez itt a lényeg. A lényeg:

http://twitter.com/taviso/status/16005411316

"Ormandy azzal védekezett később, hogy tárgyalt a Microsoft-tal a javítás menetéről, de a szoftvergyártó 60 napon belüli javításról próbált egyeztetni vele, ez pedig számára - az események fényében úgy tűnik - elfogadhatatlan volt."

--
trey @ gépház

Ez a 2 nap nem igaz, de nem is ez itt a lényeg.

de igaz, két munkanap, de ha négy nappal számolunk az sem változtat semmin.

"Ormandy azzal védekezett később, hogy tárgyalt a Microsoft-tal a javítás menetéről, de a szoftvergyártó 60 napon belüli javításról próbált egyeztetni vele, ez pedig számára - az események fényében úgy tűnik - elfogadhatatlan volt."

Ez egy nagy cég, feltehetőleg egy sablon alapján a szokásos 60 napot válaszolták vissza. Komolyabb kommunikáció és egyeztetés ennek az időnek a rövidítésére nem történt, így érthető, hogy az MS-nél is WTF-oltak a fd-t meglátva.

Fentebb rámutattam, hogy nem mindenkinek az a baja, hogy a _javítás_ nem készült el, hanem az, hogy _advisory_ sem került kiadásra, holott már az első nap elismerték a problémát, illetve az, hogy hogyan kezelték a bejelentőt. Ez a hány nap a javításig majdhogynem mellékszál.

--
trey @ gépház

Lehet, hogy azért nem adott ki advisory-t, mert 60 napon belül úgy akarta javítani, hogy nem nyilvános a hiba a javításig. Ha egy exploit-ról 3-an tudunk, az nyilván kevésbé veszélyes, mintha kiplakátozom, hogy javítás alatt van, tehát bárki tud róla, aki olvassa az advisory-t. És ez - szerintem - tipikusan gyártói kompetencia.
--
http://www.naszta.hu

Ott bukik a feltételezésed, hogy nevezett szoftvercég rendszeresen publikál előzetes figyelmeztetőket. Sokszor Fix It-ek társaságában, amelyek ideiglenesen javítják a hibát, illetve workaround lehetőségeket sorolnak fel az ügyfelek számára a végleges javítás megérkezéséig. Pontosan így tett ebben az esetben is:

http://support.microsoft.com/kb/2219475

(Csak egyesek azt fájlalják, hogy nem a balhé kitörte előtt, hanem azután.)

--
trey @ gépház

Nincs ellentmondás a között, amit Te írsz és a között, amit én írok.

Magyarul: amit fájlalnak, az szerintem gyártói kompetencia és semmi tragédia nincs, ha az MS így döntött. Biztos volt oka rá, hogy miért nem akart ilyen megoldást kiadni. (Például: működhetett volna tovább a szolgáltatás változatlan formában a javításig is, hiszen senki nem használta volna ki a hibát, hiszen NEM tudott volna róla?)
--
http://www.naszta.hu

Ne sértődj meg, de az "ártatlan naivitás" ami elsőre eszembe jut erről. Én eljátszottam a gondolattal, hogy mi lehet a motiváció. A Tavis közlése mögötti indíték egyik lehetséges oka szerintem lehet a következő:

Tavis a Google alkalmazásában áll. Biztonságért felel így vagy úgy. Kiderült, hogy a Google-hoz betörtek az év elején. Azt állították, hogy Microsoft szoftverben található hibákat is kihasználtak. Gondolom a cégnél felmerült a kérdés, hogy ha alkalmazunk biztonsági szakembereket, akkor mi a bánatért nem tudjuk megakadályozni az ilyesmit? Ez a Google-nél dolgozó security embereket biztos, hogy bántotta, ha másban nem, akkor a büszkeségükben. Akkor is talán, ha nem az ő feladatuk ezt megakadályozni. Az is lehet, hogy piszkálták ezzel őket.

Valamivel védekezniük kellett. Például azzal, hogy az ottani főnökeiknek bemutatják, nem feltételen az ő hibájuk az, ha betörnek, hiszen a szoftver, amit használnak, tele van lyukakkal, a legnagyobb odafigyelés mellett is becsúszhat valami. Itt van ni. Bemutatja mi történik akkor, ha jelzi a Microsoft-nak, akár még a javításra is tippet ad. Erre kap egy választ, majd 60 napon belül javítjuk. Kész is a demó. Ez egy kicsit a külvilág felé is demó volt talán, hogy lám-lám, így mennek itt a dolgok.

Természetesen ide lehet venni azt is, hogy egyben egy kis borsot törünk a Microsoft orra alá, illetve azt, hogy most, hogy a Google is be akar szállni az OS piacra, le kell cinkelni a rivális termékét.

Az meg, hogy te abban hiszel, hogy a rossz fiúk a Microsoft advisory-kból tudják meg, hogy hiba van egy szolgáltatásban és nem egymástól, az exploit feketepiacról és underground körökből, az tényleg csak a naivitást juttatja eszembe.

--
trey @ gépház

> Az meg, hogy te abban hiszel, hogy a rossz fiúk a Microsoft advisory-kból tudják meg, hogy hiba van egy szolgáltatásban és nem egymástól, az exploit feketepiacról és underground körökből, az tényleg csak a naivitást juttatja eszembe.

O M F G

[ "Security people are leaches!" - Linus T. ] [ hupexpertize© || hupdiploma ]

Ha én naiv is vagyok, nehogy már szakmailag védhető legyen egy ilyen publikálás! Emberileg még lehet is benne valami, de nem igazán fair. Ha holnap egy MS dolgozó rakna ki google kereső hibákat, azt is hasonló megértéssel szemlélnétek? Szerintem az sem lenne korrekt. Eredetileg ugyanis innen indultunk.

A másik naivitásom pedig: link

"Security patches, IDS, firewalls, and so on should not be the only criteria of safety. Succumbing to the pressure of the situation, many nooks and corners of the network can go unprotected and unlatched, which generally become the source of compromise. This is what happens when we hear news about a big network being compromised by hackers using known vulnerabilities. And that's exactly the reason why the Sasser worm hit 250,000 computers, even two weeks after MS released the high-profile security patch."
--
http://www.naszta.hu

ti mi bajod van már neked a guglival..azon kívül, hogy van vele gond. iderángatod, mintha tényleg a gugli fizetne minden gonosz embert a földön, még a maori kannibálok is a gugli miatt eszik az embert...most komolyan
itt arról van szó, hogy egy ember kért valamit, nem tették meg neki....erre a hivatalos válaszon rajta kívül berágott még pár ember...ezek elkezdtek fenyegetőzni (lehet nem is akkora security emberek, mint amekkora a szájuk)...te meg belevizionálod a guglit, mint gonosz sátáni felbujtót, aki a szentéletű MS szűzleányt akarja megcsinálni hátulról....Margit, normális?!

Azt a kommentet az üldözési mániás énem írta, talán én sem gondolom úgy. E mellett azért engem sokkal jobban megijeszt a google lassú, folyamatos és egyre kiterjedtebb adataimra mászása, mint az MS cirka 400$-os sarca kb. 3 évente. Ezen a portálon az MS szinte mindenki "ellensége", de a másik nagy monopóliummal viszonylag békésen együtt tud élni az itteni kommentelők nagyja. Ez minimum furcsa.
--
http://www.naszta.hu

Úgy globálisan vicces, hogy mintha elhinnétek, hogy nem lehet sem a mostani Linuxnál se a mostani Windowsnál jobb, biztonságosabb rendszert írni.

Ha feltételezzük azt, hogy lehet, akkor nem is baj az, ha a hibák nyilvánosságra kerülnek, mert ez katalizálja azt, hogy a lehetőség meg is valósuljon.

--
A gondolat még szabad ...

Sőt van aki az almát imádja. Szó szerint isteníti. pedig mások szerint fújj, rossz, gonosz.
Már ne haragudj, de ha valaki OS-t, vagy céget szeret, az hülye. Én a lányomért vagyok oda. :)
Én nem szeretem a guglit, hanem használom az alkalmazásait, mert szerintem jók. Nekem a Live nem jön be és kész. Viszont kétség kívül igaz, hogy azt kevésbé kedvelem, ha valaki folyton az arcomba pisál. Nekem eddig a gugli nem tette. Majd nem fogom használni a termékeit ha megteszi. Szeretni meg így se úgy se fogom. Arra ott a lányom. :)

Nem imádok én egy céget sem. Lányom meg nekem is van, 2, bár még szembe nem hugyoztak. (A kisebbik viszont szart már le.)

Paranoiám eredete: tegyél fel valamilyen Google Analytics figyelő plugin-t a böngésződre! (például) Ijesztő, hogy szinte minden oldalon figyel (hup is). Rakd hozzá, a kereséseidet és a levelezésedet (már ha gmail), maps, picasa, youtube stb.! Elég meredek mennyiségű adat az.
--
http://www.naszta.hu

ezekt mind tudja az ember, amikor eldönti hogy használja a terméket...azt is tdunia kell, hogy a Live is ugyanezt teszi a Yahoo-val egyetemben. Én mondjuk szeretem, ha a reklámok olyan dolgokról szólnak (ha már a pofámba nyomják őket), amik érdekelnek. Olyan szoftver és harver terméket mutat, amire tényleg rá fogok klikkelni, mert legalább a specifikáció érdekel. De hogy mondjuk metin2, meg hasonló szarok jöjjenek az arcomba flash-ben, meg animgif-ben, azt kevésbé tolerálom. Most találgathatsz, hogy melyik mondatrész melyik termékre vonatkozott. :)

Ja a pisilés a cégekre vonatkozott, nem a gyerekre. A gyerek kisbaba korában rendszeresen elvégezte a dolgát, miután kivette az ember a vízből és még nem volt rajta pelenka, de azon csak röhögtünk :).

S ez melyik nap volt szerinted? 5-e, amikor Tavis bejelentette a problémát. Tehát az első nap.

Így hangzik a teljes mondat:

"Microsoft was informed about this vulnerability on 5-Jun-2010, and they
confirmed receipt of my report on the same day."

--
trey @ gépház

Öt nap múlva tudták már, hogy a Tavis által magadott workaround-ok könnyen kijátszhatók. Ezt 10-én írta az MSRC blogba a Microsoft embere. Nekem ebből mindenképpen az derül ki, hogy az első napokban nekiálltak és alaposan ki is elemezték a problémát:

"While this was a good find by the Google researcher, it turns out that the analysis is incomplete and the actual workaround Google suggested is easily circumvented."

--
trey @ gépház

( cannibal | 2010. 07. 08., cs – 07:10 )

"Security people are leaches!" - Linus T.

;)