2. Hírek
  3. Biztonság

A Microsoft nem fizet a hibafeltárásokért

Ebben az évben vált egyre fontosabb kérdéssé, hogy a nagy IT-cégek vajon milyen módon reagálnak azokra a sebezhetőségekre, melyeket külsősök fednek fel, és ezzel kapcsolatban már két fontos lépés is történt: a Google és a Mozilla bejelentette, hogy támogatásként kezelik ezeket a jelentéseket, és a közös érdekből fakadóan a biztonsági hibák felfedőit díjazzák is. Erre a mozgásra a támadók egyik legnagyobb célpontja, a több területen egyeduralkodó Microsoft is reagált.

A redmondi cég egyrészt kibocsátott egy elvi nyilatkozatot, mely általános megfogalmazásai mögött is azt jelzi, hogy folytatódik a Microsoftnak az ezredforduló óta tapasztalható nyitottabbá válása, mivel kijelentették: fel kell hagyni azzal a gyakorlattal, hogy ha kiderül egy kritikus sebezhetőség, akkor az a „titok” kategóriájába esik, vagyis gyakorlattá kell tenni azt, hogy a sebezhetőség (ésszerű, a védekezést szolgáló) leírása a javításig is elérhető legyen.

Ez a lépés első ránézésre nem tűnik komoly váltásnak, ám valójában nagyon is az. A diplomatikus megfogalmazás arra utal, hogy a Microsoft jelentős mértékben feladta a korábbi merev álláspontját, és a sebezhetőségek tekintetében az elzárkózás helyett az együttműködésre helyezték a hangsúlyt. A mostani nyilvános reakció egyébként láthatóan egyenes folytatása a közelmúltban tapasztalható cégfilozófia-váltásnak: a sebezhetőségek feltáróit már egy ideje nem ellenfélnek, hanem partnernek tekintik, és ha a frissítésben nem is, de a hiba ismertetésében, esetleges gyorsjavításában már jelentős mértékben sebesebben reagálnak, mint korábban megszoktuk. Anélkül, hogy a Microsoftot védenénk, az biztonsággal kijelenthető, hogy egy mamutvállalatról van szó, melynek szoftverei az IT-piac hatalmas területét uralják, így mind adminisztratív, mind technológiai okok is közrejátszanak abban, hogy jelentősen lassabban reagálnak a sebezhetőségekre – gondoljunk csak arra, hogy egyetlen feltárt Office-hiba megismerése után a cég mérnökeinek azt is ellenőrizniük kell, hogy vajon ez a sebezhetőség milyen módon és milyen mértékben befolyásolja az összes ehhez kapcsolódó szolgáltatást, vagyis nem kevés időre van szükség egy releváns válasz megadásához, a javításról nem is beszélve. (Ha egy cég mamuttá válik, akkor belesétál ebbe a csapdába, nem tud olyan gyorsan reagálni, mint egy kis felhasználói táborral rendelkező szoftvert fejlesztő csapat.)

A Microsoft most ezen a helyzeten kíván változtatni az új Coordinated Vulnerability Disclosure (CVD) stratégiával, mely új (bár már eddig is kipróbált) utakat szeretne kínálni a sebezhetőségek kezelésében. Ennek lényege, hogy a felfedezett (hardveres, szoftveres vagy szolgáltatási) biztonsági hibákat a feltáró küldje meg az érintett termékek terjesztőinek, illetve a biztonsági ügyekkel foglalkozó CERT/CC-nek, vagy olyan szervezeteknek, akik érdemben tudnak reagálni rá. E lépés fő célja a biztonság növelése, mely azt is igyekszik biztosítani, hogy ne érjék igaztalan vádak a szoftver előállítóját, hanem egy olyan folyamatot hozzanak létre, mely mind a cégnek, mind a felhasználóknak előnyökkel jár.

Ezzel párhuzamosan a Microsoft kijelentette, hogy hibajelentésekért (bug report) nem fog fizetni, mint a versenytársak, mivel nem a pénzdíjban, hanem a megállapodásokban és a szervezésben bíznak.

Azóta történt

Előzmények