Egy lehetséges magyarázat:
Tételezzük fel, hogy a Google-nél dolgozik néhány világszínvonalú biztonsági szakember, akinek az a feladata, hogy a Google infrastruktúráját, szolgáltatásait védje, megfelelő stratégiát dolgozzon ki stb.
Ezek után a Google-höz betörnek. Megy a heherészés, ezeket az embereket minek alkalmazzák, ha tehetetlenek. A betörést úgy követik el, hogy egy 3rd party cég szoftvereiben található 0day biztonsági sebezhetőséget használnak ki.
"Security experts immediately noted the sophistication of the attack.[11] Two days after the attack became public, McAfee reported that the attackers had exploited purported zero-day vulnerabilities (unfixed and previously unknown to the target system developers) in Internet Explorer and dubbed the attack "Operation Aurora"."
A Google biztonsági szakembereinek lehetőségei korlátozottak, erősen a 3rd party cégre, annak reakcióidejére vannak utalva. Az a céljuk, hogy a 3rd party cég minél kisebb időablakban oldja meg a sebezhetőségeket. A Google emberei segítenek is. 0day hibákat keresnek és jelentenek be a 3rd party céghez.
Köszönet helyett azonban ellenséges fogadatásban van részük. Elmondásuk alapján nem könnyű a 3rd party céggel együttműködni.
A Google emberei első körben felajánlanak 5 napot a 3rd party cégnek a hiba javítására. Nem történik meg. Közlik a hibát. A 3rd party vinnyog, hogy 60 napot szeretett volna.
A Google szívja a fogát, 90 napra emeli a határidőt, de már így is bokáig letolta a gatyát, mert tisztában vannak azzal, hogy a támadók már akár korábban tisztában vannak a hibákkal, mint hogy ők azt jelentették.
A Google a 90 nap után közli a részleteket, mert addig semmi sem történt. A 3rd party cég megint vinnyog.
A biztonsági szakemberek pedig egyrészt a munkaadójuk érdekében, másrészt saját presztízsük érdekében járnak el.
Természetesen ez egy kitalált történet, a szereplők sem valósak.
--
trey @ gépház