Hackere skyder sig ind på pivåbent sikkerhedshul i XP

Jeg er ikke den store fan af M$ men jeg synes at det er dårlig stil hvis de kun fik fem dage til fejlrettelse...

Jeg ved godt at Google og M$ ikke er de bedste venner men det her er bare dårlig stil fra Google.

Dårlig stil ville være, hvis de ikke informerede.

Hvor længe er sikkerhedshuller om at blive lukket på Linux?

Når kildekoden er lukket, er det kun MS, som kan fjerne fejlen. De har på den måde udelukket hjælp fra en masse dygtige folk.
Fem dage er måske ikke meget, men det er dog en slat.
At det er henover en weekend burde være ligemeget, der er vel altid nogen på arbejde.

@Svend Andersen:

Læs: [i]IBM Security Solutions
X-Force® 2009 Trend and Risk Report[/i] her: http://www-935.ibm.com/services/us/iss/xforce/trendreports/

Ved udgangen af 2009 var 50% af Linux sårbarheder som blev rapporteret i løbet af året stadig ikke patchet. Lidt værre så det ud for "kritiske" Linux sårbarheder: Her var 53% ikke lukket ved årets udgang.

De tilsvarende tal for Microsoft (alle produkter) 29% hhv. 15%. Microsoft lukker altså hullerne hurtigere og ser ud til at koncentrere sig mere om kritiske fejl.

Travis Ormandy rapporterede fejlen til MS en 5. juni (en lørdag). Han ville have dem til at love en fejlrettelse indenfor 60 dage. MS fortalte ham at de ville analysere og vende tilbage med en tidsplan. Det ville de gøre fredag den 11. juni. Men onsdag den 9. juni (mindre end 4 dage efter rapporten) lagde Ormandy alle oplysninger ud på zero-day listen.

Det burde være åbenbart for V2's læsere at software kan være en kompliceret størrelse. Man "fikser" ikke bare et problem i et styresystem i løbet af få dage. Du skal dels teste om rettelsen er effektiv men du skal også teste om den knækker andre ting utilsigtet. Forestil dig at fx. alle Fransksprogede Windows XP'er pludselig ikke kunne starte. Kan nogen huske hvilke dønninger det gav da et rootkit fik XP'er til at crashe efter en opdatering?

Test problematikken blev iøvrigt belyst (utilsigtet) af Ormandy selv. For at give sin handling et seriøst skær havde han også udarbejdet et fix som han anbefalede XP brugere at køre. Problemet var bare at hans "fix" (ifølge det danske firma Secunia) IKKE var effektivt. Det lukkede kun nogle af vejene ind, men samtidigt var informationen om de andre veje nu nem at finde.

Travis Ormandy er ansat i Google. Google går stærkt ind for [i]responsible disclosure[/i] - altså at man rapporterer sårbarheder men ikke går offentligt med dem. Selvom Ormandy hævder at hans handlinger ikke har noget med Google at gøre, har han stadig brugt både Google ressourcer og diskuteret sårbarheden med Google kolleger. Det åbner mulighed for at anklage Google for hykleri: De støtter kun responsible disclosure når det vedrører Google software?

.. Nåh ja, det var vist "Don't be evil". Selvom man ikke kan lide Microsoft, så er sådan et stunt her simpelthen ondskabsfuldt, især overfor alle de Windows XP brugere som bliver hacket som resultat af Googles manøvre.

Jeg tror nu at det er korrekt at Google som sådan ikke står bag det her.

Der er snarere tale om en super intelligent person med et lidt for stort ego og en trang til at bevise det. Dem er der en del af i hans gren af branchen.

Det hører i øvrigt med til historien at han kontaktede Microsofts security response team (MSRT) lørdagen inden Microsofts månedlige [i]patch tuesday[/i] og offentliggjorde detaljerne dages efter patch tuesday. Var det fuldstændigt urimeligt at MS først skulle overstå tirsdagen, derefter analysere sårbarheden, prioritere den og planlægge hvor den passer ind i deres patch cyklus?

Det ligner at han manglede en undskyldning for at offentliggøre hans nye fund hurtigst muligt. At Microsoft ikke efter hans mening svarede ham hurtigt nok mente han åbenbart var tilstrækkeligt. Det var et ret cool fund.

Det ændrer bare ikke ved at han er ansat i en virksomhed som har en politik om [i]responsible disclosure[/i]. Han benyttede firmaets infrastruktur, ressourcer og tid. Han kommunikerede med kolleger om sårbarheden og hvordan den kunne udnyttes og brugte også på den måde sit ansættelsesforhold.

At han så mener at han offentliggøre sårbarheden uden at det berører Google er (for sådan en intelligent person) ret naivt. Jeg kunne også godt forestille mig at det faktum at han offentliggjorde angrebsklar kode kunne betyde at personer som lider tab som konsekvens af disse angreb kunne sagsøge Google - amerikansk lov og jury systemet og alt det dér.

Og hvad er implikationerne? Skal Microsofts sikkerhedseksperter nu til at finde fejl i Google docs/apps og Chrome og offentliggøre dem? Ja, for Googles software har også sårbarheder. Mange.

Taberne er brugerne. Al software har fejl. En meget tydelig tendens i de senere år er at angriberne ikke selv finder sårbarheder. De venter til der bliver information tilgængelig om sårbarheder som er lette at udnytte, hvorefter de designer angreb. Ofte er disse angreb baseret på "white-hat" hackers proof-of-concept kode, præcist som i dette tilfælde.

Derfor pådrager personer som Ormandy sig et stort ansvar når de ikke bare offentliggør detaljeret information om sårbarheder, men også ligefrem offentliggør kode som demonstrere præcist hvordan et angreb kan gennemføres.