הכל בתזמון – עדכוני אבטחה

כדי לנסות לארגן “גילוי אחראי” (Responsible disclosure), הוקם גוף בשם “CERT”. מטרת הגוף היתה לתאם בין חוקר שמעוניין לדווח על בעיית אבטחה, לבין כל הגופים שנועדו לדעת על הבעיה ולתקן אותה. המטרה היתה שהבעיה לא תפורסם עד שיש תיקון. אחת מהביקורות המרכזיות על CERT היא שהוא גוף שחושב יותר מידי על טובת הספקים.

כדי להבין עד כמה הנושא בעייתי, הרי דוגמא שקרתה לי באופן אישי. כשעבדתי בצ’ק פוינט, היתה פניה מצד לקוח שביקש לקבל תיקון אבטחה לבעיה שבאותו זמן היתה בתיקון. הוא היה “מנוי” של אחד הארגונים (אני לא זוכר אם CERT או Security Focus), והוא קיבל התראה מוקדמת על עובדת קיום בעיית האבטחה. הוא פנה אלינו כדי לקבל את הפתרון.

בזמנו הפניה נראתה לי נורא מוזרה. אחרי הכל, אם היה לנו את הפתרון לבעיה, כבר היינו מפרסמים אותו לכל העולם. למה שיהיה לי פתרון לתת ללקוח הספציפי הזה, ולא לתת אותו לשאר האנשים.

מה שנראה לי מוזר בתור ספק, נראה לי מוזר היום שבעתיים כאשר אני צרכן. והנה, מובן או לא, רויטרס מדווח שמיקרוסופט הגיעה להסכם עם גופים במשרד הבטחון האמריקאי שאומר שהם יקבלו עדכוני אבטחת מידע עד חודש מוקדם יותר מאשר הציבור הרחב.

מאוד לא ברור.

או שיש פתרון, או שאין פתרון. אם יש למיקרוסופט פתרון, הרי שבאופן אפקטיבי הם מודיעים לנו, הציבור הרחב, שהם מחזיקים את הפתרון אצלם במשך חודש ימים, רק כדי שמשרד ההגנה האמריקאי יעשה… מה, בעצם? מצד שני, אם הפתרון עוד לא מוכן, הרי שלמה שהפתרון הזה יהיה יותר שימושי למשרד ההגנה האמריקאי מאשר לי או לך?

תיאוריה אחת גורסת שהצעד הזה הוא במסגרת של “Homeland security”. הרעיון הוא שה”אנשים הרעים” מקבלים את הידע איפה נמצאים החורים ע”י הסתכלות על התיקונים. ע”י זה שנותנים את התיקונים למשרד ההגנה האמריקאי קודם, לא מאפשרים לתוקפים לתקוף. יש כמה חורים בטיעון הזה:
1. התוקפים מוציאים את החורים מהעדכונים מכיוון שמשם הכי נוח להוציא אותם כרגע. אם יעשו את זה פחות נוח, הם יוציאו את החורים ממקומות אחרים, בלי שהם באמת ישקיעו יותר מאמץ. דבר זה נכון במיוחד עבור אותם גורמים שרוצים לתקוף דווקא את משרד ההגנה האמריקאי.
2. ע”י זה שמיקרוסופט מעכבת את שיחרור התיקון, היא בעצם מגדילה את החשיפה של כל מערכות העולם להתקפות. משרד ההגנה האמריקאי הוא לא התשתית הקריטית היחידה. בסך הכל, אפילו המטרה שהם באו להשיג נפגעת מצעד שכזה.
3. ע”פ נסיון העבר, הסיכוי שמחלקות הממשל מסוגלות לסגור את כל המחשבים תוך חודש נראה לא סביר. לאור הנ”ל, לא ברור מה זה ישיג.

בסך הכל, צעד רע לכל הנוגעים בדבר.

שחר

Bear