כדי לנסות לארגן “גילוי אחראי” (Responsible disclosure), הוקם גוף בשם “CERT”. מטרת הגוף היתה לתאם בין חוקר שמעוניין לדווח על בעיית אבטחה, לבין כל הגופים שנועדו לדעת על הבעיה ולתקן אותה. המטרה היתה שהבעיה לא תפורסם עד שיש תיקון. אחת מהביקורות המרכזיות על CERT היא שהוא גוף שחושב יותר מידי על טובת הספקים.
כדי להבין עד כמה הנושא בעייתי, הרי דוגמא שקרתה לי באופן אישי. כשעבדתי בצ’ק פוינט, היתה פניה מצד לקוח שביקש לקבל תיקון אבטחה לבעיה שבאותו זמן היתה בתיקון. הוא היה “מנוי” של אחד הארגונים (אני לא זוכר אם CERT או Security Focus), והוא קיבל התראה מוקדמת על עובדת קיום בעיית האבטחה. הוא פנה אלינו כדי לקבל את הפתרון.
בזמנו הפניה נראתה לי נורא מוזרה. אחרי הכל, אם היה לנו את הפתרון לבעיה, כבר היינו מפרסמים אותו לכל העולם. למה שיהיה לי פתרון לתת ללקוח הספציפי הזה, ולא לתת אותו לשאר האנשים.
מה שנראה לי מוזר בתור ספק, נראה לי מוזר היום שבעתיים כאשר אני צרכן. והנה, מובן או לא, רויטרס מדווח שמיקרוסופט הגיעה להסכם עם גופים במשרד הבטחון האמריקאי שאומר שהם יקבלו עדכוני אבטחת מידע עד חודש מוקדם יותר מאשר הציבור הרחב.
מאוד לא ברור.
או שיש פתרון, או שאין פתרון. אם יש למיקרוסופט פתרון, הרי שבאופן אפקטיבי הם מודיעים לנו, הציבור הרחב, שהם מחזיקים את הפתרון אצלם במשך חודש ימים, רק כדי שמשרד ההגנה האמריקאי יעשה… מה, בעצם? מצד שני, אם הפתרון עוד לא מוכן, הרי שלמה שהפתרון הזה יהיה יותר שימושי למשרד ההגנה האמריקאי מאשר לי או לך?
תיאוריה אחת גורסת שהצעד הזה הוא במסגרת של “Homeland security”. הרעיון הוא שה”אנשים הרעים” מקבלים את הידע איפה נמצאים החורים ע”י הסתכלות על התיקונים. ע”י זה שנותנים את התיקונים למשרד ההגנה האמריקאי קודם, לא מאפשרים לתוקפים לתקוף. יש כמה חורים בטיעון הזה:
1. התוקפים מוציאים את החורים מהעדכונים מכיוון שמשם הכי נוח להוציא אותם כרגע. אם יעשו את זה פחות נוח, הם יוציאו את החורים ממקומות אחרים, בלי שהם באמת ישקיעו יותר מאמץ. דבר זה נכון במיוחד עבור אותם גורמים שרוצים לתקוף דווקא את משרד ההגנה האמריקאי.
2. ע”י זה שמיקרוסופט מעכבת את שיחרור התיקון, היא בעצם מגדילה את החשיפה של כל מערכות העולם להתקפות. משרד ההגנה האמריקאי הוא לא התשתית הקריטית היחידה. בסך הכל, אפילו המטרה שהם באו להשיג נפגעת מצעד שכזה.
3. ע”פ נסיון העבר, הסיכוי שמחלקות הממשל מסוגלות לסגור את כל המחשבים תוך חודש נראה לא סביר. לאור הנ”ל, לא ברור מה זה ישיג.
בסך הכל, צעד רע לכל הנוגעים בדבר.
שחר
הכל בתזמון – עדכוני אבטחה
מאת
מיקרוסופט משחררים עידכוני אבטחה שלא יצא להם PoC נפוץ בתאריך חודשי קבוע (יום שלישי השני בכל חודש).
הכוונה היא כנראה שמשרד ההגנה יקבל את העידכונים כאשר הם יוצאים ולא בעידכון הכללי החודשי.
אגב, הסיבה שמיקרוסופט שינתה את מדיניותה מהפצה מיידית לתאריך חודשי קבוע היא בקשות של לקוחותיה.
הנה דיווח קצת יותר מדויק על מה שמיקרוסופט עושה :
http://linmagazine.co.il/node/view/7374
(שים לב לקישור ! )
אני במקומך הייתי עורך מחדש את הפוסט הזה .
יש דברים שהם פשוט לא הגיוניים.
למשל – לעכב שיחרור גרסה עד שמישהו חיצוני מאשר אותה, זה דבר לא הגיוני. או שתהליך ה-QA שלך מספיק טוב, או שהוא לא.
אין לי שום דבר נגד בטא חיצוני, חוץ מהעובדה שאז העדכון אינו באמת סודי, ורוב הנקודות של מה שכתבתי עדיין תקיפות
שחר
אין כאן עניין של לאשר את העידכון , מיקרוסופט לא תעכב את העידכונים שלה . המטרה היא לאפשר לאירגונים (שים לב שזה רק ניסוי כרגע , בעתיד זה יורחב לעוד אירגונים) לבחון את ההשלכות של העידכון על מערכות בדיקה (לא מערכות קריטיות !) על מנת שבבוא העת שהעידכון יפורסם באופן רשמי החברות כבר יהיו ערוכות ומוכנות לקליטת העידכון על כל השלכותיו באופן מידי . זאת בניגוד למצב כיום לפיו החברות בוחנות את העידכון רק לאחר שהוא כבר פורסם ואז הן בסכנה .
הנקודה האחרונה שלך היא נכונה : עפ"י המאמר זה יהיה המבחן האמיתי של הניסוי הזה , אם לא תהיה מספיק סודיות על השחרור המוקדם הזה הרי שזה רק יסכן מאוד את החברות ולא יעזור להן .