מהנדס בגוגל חשף חור אבטחה בחלונות ומיקרוסופט באה בטענות – מי אשם?

בסוף השבוע האחרון חשף מהנדס פיתוח בגוגל פרצת אבטחת במערכת ההפעלה חלונות XP של מיקרוסופט. המהנדס פרסם את הפירצה יחד עם הקוד לניצול הפרצה באופן פומבי שעות ספורות לאחר שעדכן את מיקרוסופט וגרם לכך שעשרות משתמשים תמימים סבלו השבוע ממחשבים שנדבקו בסוס טרויאני שניצל את הפרצה שנחשפה. אז מי באמת אשם בכל הסיפור הזה?

בסוף השבוע האחרון פרסם טביס אורמנדי, מהנדס פיתוח בגוגל, מידע על פרצת אבטחה חדשה שגילה במערכות ההפעלה Windows XP ו-Windows Server 2003 של מיקרוסופט. לדברי אורמנדי, חור האבטחה מאפשר לתוקף להשתלט על כל מחשב הפועל על מערכת ההפעלה Windows XP או Windows Server 2003 באמצעות גלישה לאתר אינטרנט, המכיל קוד זדוני אשר מנצל את חור האבטחה שנתגלה במערכת הסיוע והתמיכה (Windows Help and Support Center) שבמערכת ההפעלה.

לאחר שאורמנדי פרסם את דבר הפירצה בפומבי, יחד עם קוד המאפשר לנצל אותה (לצורך הוכחה על קיומו של החור), יצאה מיקרוסופט בהודעה פומבית המאשרת את קיומו של חור האבטחה ופרסמה מספר המלצות לביצוע על-גבי מערכות ההפעלה הפגיעות לצורך חסימת חור האבטחה באופן זמני, עד שישוחרר תיקון שיטפל בבעייה. יחד עם זאת, טוענת מיקרוסופט כי אורמנדי פעל באופן בלתי אחראי ולא אתי, כאשר פרסם את הפרצה ואת הקוד לניצולה באופן פומבי מבלי שנתן למיקרוסופט מספיק זמן כדי להגיב ולייצר תיקון מתאים. אורמנדי מצידו, לא ממש הגיב לביקורת מצד מיקרוסופט, אך ציין כי הודה בכך ששחרר את הפירצה בפומבי במקביל להודעה למיקרוסופט ותירץ זאת בטענה שאם לא היה עושה זאת, מיקרוסופט לא הייתה מקשיבה.

בינתיים, החלו לצוץ בימים האחרונים מספרים מקרים בהם ניסו תוקפים לנצל את הפרצה החדשה. חברת האבטחה Sophos ציינה בבלוג שלה כי היא זיהתה מספר אתרים המשתמשים בקוד כפי שפורסם על-ידי אורמנדי על-מנת לתקוף מחשבי משתמשים. כמו כן, עדכנה החברה כי מנגנון החתימות של מוצר האנטי-וירוס של החברה כבר יודע לזהות את הקוד הזדוני שמפעיל את הפרצה המדוברת והיא אף הציעה שירות של סריקה חינמית והסבר מפורט לנושא הסרת הנוזקה שמנצלת את הפירצה.

ג’רי בריאנט, הדובר של קבוצת ה-Response במיקרוסופט, אשר אחראית על תיקוני אבטחה ועדכון מנוע האנטי-וירוס, ציין בהתכתבות עם CNET כי מיקרוסופט זיהתה ניצול מינימלי ביותר של הפירצה החדשה וכי לפי הדוגמאות לניצול הפרצה שהגיעו לידי צוות החוקרים נראה כי גם משתמשי Windows Server 2003 אינם בסכנה אמיתית. בריאנט הפנה את משתמשים חלונות XP למאמר המסביר כיצד “לסתום” את החור באופן זמני עד שמיקרוסופט תוציא תיקון רשמי לנושא ומאוד נזהר בדבריו שלא להפנות אצבע מאשימה לעבר אורמנדי.

בשנים שביליתי במיקרוסופט יצא לי לעבוד כמה פעמים עם צוות ה-Response בסיטואציות שהיו קשורות לחורים חדשים שנתגלו והתפרצויות של וירוסים חדשים ומניסיוני התגובתיות של הצוות שם היא בהחלט מהטובות שאני מכיר. מעבר לעובדה שמיקרוסופט מחזיקה 3 מרכזי Response הפרוסים באזורי זמן שונים ברחבי העולם על-מנת לספק תמיכה של 24/7, ב-99% מהמקרים בהם העברתי להם דוגמה לחור או נוזקה פוטנציאלית, קיבלתי תגובה אנושית בתוך פחות משעתיים ופתרון כזה או אחר תוך פחות מ-4 שעות.

מי שמכיר אותי יודע שאני מאוד אוהד את מיקרוסופט, אך אני גם יודע להצביע על המגרעות והחסרונות של החברה ושל המוצרים שלה כאשר אני נתקל בהם (ותודה לאל גם כאלו לא חסר). לדעתי הכנה, המעשה של אורמנדי נועד יותר לתפוס כותרות ותהילה עצמית מאשר לפתור את הבעייה. לדעתי, במידה והוא היה מעביר את הדברים דרך הצינורות המקובלים בצורה הנכונה, הוא היה מקבל תגובה מהירה והמקרה היה מסתיים עם פחות רעש ופחות נזק למשתמשים תמימים שבסך הכל לחצו על F1.

אם נשים לרגע את נושא הפרסום חסר הטקט בצד, הדבר שהפריע לי אישית, כאיש אבטחת מידע, הוא שמהנדס בגוגל מרגיש את הצורך “להראות את גדולתו” בזה שהוא מפרסם גם את הקוד לניצול הפירצה במקביל לפרסום על קיומה. ביצוע מעשה שכזה הינו חסר תועלת לחלוטין עבור מיקרוסופט (שקיבלה ממנו את אותם העדכונים באופן פרטי) ובטח שעבור המשתמשים החשופים לפירצה, אשר כעת סובלים מסיכון גבוה יותר להחשף לאיום המדובר. ביצוע מעשה שכזה אולי (ורק אולי) מראה שהמהנדס היה מספיק חכם כדי לגלות את הפרצה ולהבין איך לנצל אותה, אבל גם מראה שהוא היה מספיק טיפש בשביל להעדיף את התהילה האישית שלו מאשר לחשוב על בטחונם של משתמשים תמימים אשר נחשפו לפרצה מבלי שלמיקרוסופט היה את הזמן לתקן אותה.

גוגל, לטיפולכם.

Avatar

יניב פלדמן

לשעבר העורך הראשי של גיקטיים ומייסד שותף של האתר. יזם, טכנולוג, כלכלן בהשכלה והיסטוריון חובב. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

11 תגובות על "מהנדס בגוגל חשף חור אבטחה בחלונות ומיקרוסופט באה בטענות – מי אשם?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יניב
Guest

למיקרוסופט יש ‘מוניטין’ של הוצאת פאטצ’ים לבעיות אבטחה גם חצי שנה עד שנה(!) אחרי שדיווחו להם על הבעיה. אני מניח שהוא ניסה להכריח אותם להוציא מוקדם יותר…
לא שאני מצדיק אותו, אבל מיקרוסופט זריזה בתגובה, לא בפתרון הבעיה.

חובבן מקצועי
Guest

למה לעזאזל זאת אחריותו של אורמנדי לדאוג למשתמשים של מייקרוסופט?
ואיך העובדה שהוא מהנדס בגוגל קשורה לכל העניין? אם זה היה איש אבטחה פרטי המצב היה שונה? (סביר להניח שכן, בהקשר של השטויות על הפיים….)

המושל
Guest

כל הכסף שמיקרוסופט משלמת למתכנתים שלה והם לא מצליחים לכתוב קוד שעובד כמו שצריך ועוד הם מרשים לעצמם לגבות כסף על רישיונות ולתבוע על פיראטיות. אין גבול לחוצפה ולמירמה.

יברך השם את לינוס טורוולדס ואת ריצ’רד סטולמן על שהביאו לנו אלטרנטיבה.

איתן כספי
Guest

יניב צודק. ל-MS יש את החסרונות שלה, ללא ספק, אבל יש פרקטיקה מקובלת לגבי דרך ההתנהגות של מי שמוצא פגיעויות. קודם מדווחים ליצרן, נותנים לו זמן סביר ליצירת תיקון ולפרסום שלו (זמן סביר זה משתנה בהתאם לסיבוכיות הבעיה, הסיכון שבה והמוצר שאליו היא מתייחסת) – ואם היצרן לא עומד בזמן הזה, מפרסמים בלי יותר מדי פרטים טכניים בכדי ללחוץ עליו מצד אחד ולא לגרום נזק מצד שני. אם אחרי תקופה נוספת היצרן לא עשה כלום – אפשר לפרסם הכל ושהיצרן יהיה בריא.

חובבן מקצועי
Guest

הוא פשוט מצא את הפרצה! הם צריכים לומר תודה שהוא בכלל דיווח להם ולא לצפות ממנו לחכות עד שלמייקרוסופט יהיה את הביצים לעשות משהו.
הוא באמת דיווח להם על הפרצה לפני שפרסם אותה וזה שהוא לא רוצה לחכות על הקו לימים הבאים כדי לראות מתי הוא יוכל סוף סוף לשים את זה באינטרנט לא אומר שהוא מנסה ‘להשיג תהילה’. יש דברים שבאמת לא צריך לסבך.

דור
Guest

אתה מעוות את העובדות. אתה טוען שמיקרוסופט מגיבה לפרצות אבטחה תוך מספר שעות – למה אתה לא מזכיר שאורמנדי יצר קשר עם מיקרוסופט, שמצדם החליטו להתעלם מהפרצה? לאחר מספר ימים של התעלמות, הוא החליט לפרסם את הפרצה בפומבי.

“אוהד מיקרוסופט” – בדיחה.

ענת
Guest

מסכימה עם יניב. אם כבר המהנדס הזה מגלה קבל עם ועדה שיש פרצה, לפני שהמתנת לתגובה ממיקרוסופט, כפי שצריך היה לעשות, אז לגלות לכולם איך לפרוץ אותה זה פשוט… זה סוג של רשלנות וסוציומטיות בעיני…

חובבן מקצועי
Guest

לאנשים באינטרנט יש זכות לדעת את העובדות.
הוא פרסם את זה שיש פרצה, זה שאנשים החליטו להשתמש בזה בזדון… לא מאד מפתיע, אבל לגיטימי.

דור
Guest

“המהנדס חיכה בסה”כ 5 שעות” – טעות. הוא ניהל איתם שיחות במשך חמישה ימים.

חמישה ימים, לא חמש שעות.

באמת, עיוות כזה מעורר חשד לאמינות שלך, יניב.

wpDiscuz

תגיות לכתבה: