42

Google i Microsoft biją się jak małe dzieci. I co gorsza, ze szkodą dla nas

Ledwo wczoraj Jarek Tomanik napisał dla Was świetny tekst, w którym podważył ideologiczne motto Google - "Don't be evil" i celnie stwierdził, że odwrotna dla niego postawa w ogóle się nie opłaca. Dzisiaj natomiast mamy pokłosie innych, kontrowersyjnych zagrań giganta. Okazuje się, że Microsoft już nie da sobie dmuchać w kaszę i nie będzie udawał, że wszystko jest w porządku. My natomiast, jako konsumenci mamy spory problem.

Co stanowi problem w relacjach Microsoftu oraz Google? Zacznijmy od tego, że mamy do czynienia z firmami, które znajdują się na świeczniku biznesu informatycznego. Równolegle rozwijają własne wersje podobnych rozwiązań i rzecz jasna są bardzo ważnymi dla siebie konkurentami. Google nie wystarczyło jednak „robienie swojego” i postanowiło, że przecież można pod płaszczykiem troski o konsumenta wytknąć błędy starszemu, trapionego przez własne problemy strukturowe koledze. Błędy, które po pierwsze – są bardzo ważne. Po drugie – są nośne medialnie, bo przecież bezpieczeństwo to niezwykle newralgiczna sfera oprogramowania. Project Zero oprócz tego, że starannie wyłuskiwał błędy w popularnym oprogramowaniu, niemiłosiernie dokopywał co jakiś czas Microsoftowi.

Project Zero od Google: kopniak w piszczel dla Microsoftu. Ale to przecież dla dobra wszystkich

To już nie jest kopniak prosto w środek zadka, ani nawet w kostkę. Ten, kto grał choć trochę w piłkę, ten wie, że solidnie wymierzony kopniak w piszczel to niezwykle trudne przeżycie. Gorszy jest chyba tylko ten, który wyląduje tam, gdzie… wiecie gdzie. Project Zero zajmuje się „zawodowo” wyszukiwaniem luk w oprogramowaniu. Węszy do tego momentu, aż w końcu coś znajdzie. Jako, że nie ma kodu, który nie ma żadnych podatności, z tym wielkiego problemu nie ma. Świętowanie w siedzibie Google rozpoczyna się dokładnie wtedy, gdy znajdzie się pewną podatność i wyśle się do konkurenta zawiadomienie o niej. Przy okazji, żywi się nadzieję, że gigant „nie wyrobi się” ze stworzeniem odpowiedniej poprawki i będzie można – zgodnie z zasadą działania Project Zero ogłosić ją publicznie. Zasadniczo Google daje na to tydzień. W przypadku opisywanych spraw Microsoftu, po potwierdzeniu otrzymania zawiadomienia było na to 90 dni. Microsoft prosił Google o więcej czasu, ale… konkurent się nie zgodził i techniczne informacje o lukach zwyczajnie udostępnił.

Microsoft Edge

Google z lubością w ramach Project Zero dokopywało Microsoftowi stygmatyzując firmę w ramach niezałatanych dziur. Za każdym razem podkreślano, że gigant otrzymywał od Mountain View informacje o lukach, jednak nie był w stanie dostarczyć poprawek w odpowiednim czasie. Wyglądało to nieco komicznie – firma, która zajmuje się oprogramowaniem stawiała samą siebie w roli szeryfa i stawiała warunki przyłapanym na wpadkach konkurentom. Sytuacji, w których Microsoft otrzymał od Google kuksańce było naprawdę mnóstwo i dotyczyły one bardzo ważnych z punktu widzenia Redmond produktów – Internet Explorera, Windows, Edge’a, a nawet Defendera.

Google jednak mocno przegięło. Microsoft się zdenerwował

Google poczuło się tak pewnie w swojej misji, że postanowiło nie tylko wbić kolejne szpile dotyczące luk w produktach Microsoftu, ale i zdecydowało się na skrytykowanie całej metodologii uszczelniania oprogramowania. Postanowiono przyjrzeć się temu, jak wygląda uaktualnianie starszych wersji Windows i znaleziono tam błędy, które potencjalnie mogą przyczynić się do otwarcia kolejnych furt dla cyberprzestępców. To prawdopodobnie przelało czarę goryczy i… Microsoft nie pozostał Google dłużny. W ogóle.

Drużyna Microsoftu podjęła rękawice i w ramach działu Offensive Security Research znalazła luki w Google Chrome 61. Co ciekawe, gigant nagrodził inżynierów Microsoftu nagrodą w wysokości 15 837 dolarów, która zostanie przeznaczona na cele charytatywne. Jednak nie to jest w tym wszystkim najciekawsze. Ekspert z Microsoftu, Jordan Rabet oznajmił, że łatka dla opisywanych podatności znajduje się w serwisie GitHub, dzięki czemu potencjalni atakujący mogli w ramach inżynierii odwrotnej odtworzyć luki i zbudować dla nich exploity. A było po co to robić, bowiem Google zajęło aż trzy dni wprowadzenie poprawek dla projektu Chromium.

Google Chrome

Dla konsumentów to raczej nie jest dobra sytuacja

Zarówno Google jak i Microsoft biją się między sobą jak dzieci w piaskownicy wykorzystując raczej mało przyjemne dla wszystkich metody. Upublicznianie informacji o znalezionych podatnościach w produktach konkurencji rzeczywiście może skłonić „opieszałego” giganta do tego, aby przyspieszyć prace. Ale przecież nie o to w tym chodzi, prawda? Cyberprzestępcy tylko czekają na to, aż ktoś „odwali robotę za nich” i zdecydują się na wykorzystanie odnalezionych podatności. Zbudowanie exploita pod konkretną lukę nie jest czymś mega skomplikowanym. Jeżeli ma się dobry zespół i odpowiednią wiedzę, nie ma z tym większego problemu. A skutki mogą być – cóż. Bardzo nieprzyjemne.

Walka między Google i Microsoftem nie jest równa. Tym bardziej będzie ona brutalna, jeżeli obydwa podmioty nie odpuszczą

Problem z Microsoftem jest taki, że w przypadku jego produktów mamy do czynienia również z takimi, które są zależne od innych. Dlaczego wprowadzenie poprawek do Microsoft Edge zajęło gigantowi tak dużo czasu? Właśnie dlatego, że naprawienie wytkniętych błędów wymagało nie tyle zaktualizowania samego produktu Edge, ale i Windows. Co więcej, należy wykorzystać w tym celu mechanizm Windows Update, przeprowadzić testy, zaprzęgnąć do pracy cały zespół odpowiedzialny za dostarczenie skutecznej i działającej na wielu konfiguracjach sprzętowych łatki. To nie jest łatwy proces i Microsoft nawet z wprowadzeniem uaktualnień dodających nowe funkcje ma spore problemy. Windows 10 to system uniwersalny, musi działać „wszędzie” i bez zarzutu. Nie zawsze to się da zrobić.

Google natomiast tak ogromnego problemu nie ma. Aplikacje systemowe w Androidzie można swobodnie aktualizować bez potrzeby wspierania się koniecznością rozsyłania dużych uaktualnień, a i pracuje się nad modularną budową tego OS-u. Tym bardziej możemy się spodziewać, że jeżeli ani Redmond, ani Mountain View nie odpuszczą sobie w tak brutalnym wskazywaniu swoich błędów, ucierpimy na tym my. Bo nikt przecież nie będzie mieć skrupułów, żeby upublicznić techniczne szczegóły łatki. Wiedzcie jednak o tym, że to Google zaczęło. Don’t be evil? Ponownie nie wyszło.

  • Huberty

    Modularny Android? Bardziej czekam na Modularnego Windowsa wtedy uniwersalny system będzie prawie idealny

    • No, to jeszcze na takiego poczekasz. Windows bazuje na zaszłościach sprzed łohohoho lat. Modularność spowodowałaby, że ten system pożegnałby się ze zgodnością ze starymi, aczkolwiek dalej wykorzystywanymi rozwiązaniami.

    • Huberty

      Można by wsadzić to w jakiś moduł 😉 chyba 😅

  • YY

    To może teraz jakiś atak na Androida?

  • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

    Co złego w tym, że znajdują dziury u konkurencji. Znaleźli oni to i przestępcy mogli. Więc niech się firma X (w tym przypadku MS) spręża z łataniem a nie narzeka, że za dużo dziur znajdują.
    Jakoś CloudFlare był w stanie się spiąć i szybko zacząć łatać. Btw, to była sobota a wszystkich dev postawiono na nogi.

    • Nic złego. Wszyscy szukają dziur i wszyscy je łatają. Tyle, że nikt, poza Google nigdy nie publikuje informacji o tych dziurach PRZED ich załataniem, bo to jest dawanie hackerom na tacy gotowego exploita. A to, że niezależni hackerzy i badacze znajdują dziury i sprzedają je na czarnym rynku to oczywista, oczywistość. Tyle że nie łatwo je kupić i nie trafiają one do byle gnojka bezinteresownie produkującego wirusy…

    • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

      Sorry ale dają czas na załatanie. MS dostał tego czasu bardzo bardzo dużo… MS ma zgłoszony od pół roku exploit i nie chce go naprawić. Dlatego niebawem ma być upubliczniony.

    • No tak. Świadomie narazimy wszystkich użytkowników żeby ukarać MS za opieszałość. Genialna strategia.

    • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ

      Ale rozumiesz, że od pół roku oni już są narażeni bo ktoś może z tego korzystać?

    • Xytras

      Pol roku to nic nadzwyczajnego, Linux miewa dziury wiszace znacznie dluzej. Postrzegasz problem z perspektywy wlasnego nosa wylacznie.

    • Borciugner

      Dziury narażające bezpieczeństwo użytkowników Linuxa? Podeślij proszę choć jeden taki przypadek, to cię ozłocę ;-) Czym innym otwarte zgłoszenia poprawek „optymalizacyjnych” od błędów krytycznych, zwłaszcza, jeśli godzą one w bezpieczeństwo użytkowaników.

    • Xytras

      Nie zalamuj mnie, nie sadze by bylo Cie stac na ozlocenie mnie. Zacznij od konta w RedHat i sprawdzaj maila. Jak chcesz wiecej info to google zaprasza. Lubie teksty dumnych userow ubuntu w Xach ;)

    • Borciugner

      Poprosiłem o jeden konkretny przykład krytycznego błędu związanego z bezpieczeństwem. Skoro jest ich tak wiele, nie powinno być problemu ze wskazaniem chociaż jednego ;-)

    • Xytras

      A ja Ci miedzy slowami pisze, zes dupa wolowa i query w google to dla Ciebie high end, a co dopiero pisanie o temacie o ktorym pojecia nie masz bladego…

    • Borciugner

      Uuuu… bolało, ale nie tak jak oczy od czytania takich bzdur jak Twój pierwszy wpis. Dlatego panie ekspercie wyprowadź mnie z błędu i podaj wreszcie w ramach fact-checking przykład jednego błędu krytycznego dla bezpieczeństwa którejkolwiek z popularnych dystrybucji Linuxa, który jest niezałatany przez pół roku i przestań zasłaniać się wreszcie Google, bo wygląda na to, że chyba Ciebie to zadanie przerosło, skoro nie możesz spełnić mojej prośby.

    • Xytras

      1pln od kazdej mozliwej dziury z ost 5 lat, deal? Nie pisz o optymalizacji, piszemy o zarejestrowanych dziurach. Ile masz lat 16? Zanim wyslesz przeczytaj co napisales, bo sie moze okazac ze ktos ma wiecej doswiadczenia niz ty lat.

    • Xytras

      Kazdej ktorej zalatanie zajelo ponad 180 dni

    • Borciugner

      O czyli zmieniamy narrację Panie ekspercie ;-) Dziury łatanej ponad 180 dni związanej z bezpieczeństwem, bo o takich jest mowa od samego początku, tak sam jak o wpis pod którym toczy się dyskusja. I zluzuj z tą protekcjonalną pozą, bo to zazwyczaj świadczy o kompleksach i jest typowe dla pryszczatych internetowych napinaczy.

    • Borciugner

      Naprawdę szkoda czasu na tłumaczenie tak elementarnych rzeczy temu człowiekowi ;-) Wczorajszy wpis i dzisiejsze komentarze pokazują „ideologiczne” zacięcie tego pana albo cynicznie liczy, że dla klików będzie wygrywał wojenki między „fanbojami” obu firm.

    • ᗪ ᒍ ᗩ K ᗪ E K I E ᒪ
    • Xytras

      Do łatania dziur za pomoca systemowego update’u wykorzystuje sue SCCM, w naprawde duzych firmach update od momentu wypchniecia potrafi zajac nawet 60-70 dni. Samo załatanie dziury to jedno, aktualizacja stacji roboczych to drugie… 90 dni moze wydawac sie sporym okresem, choc czasami to tak naprawde bardzo malo.

  • łukasz Jedryszczyk

    A to czasem nie zaczął Microsoft tworząc stronę na której wyśmiewał się z Googla😀

  • gom1

    MS szuka dziur w Chrome i je upublicznia. Sami opierają mobilnego Edge na silniku Chrome. Czy to nie nazywa się samozaoranie?

    • Demostenes

      Czy dziury w Chrome zawsze oznaczają dziury w Blinku?

    • Nikt niczego nie upublicznił. MS zgłosił błąd Google i poinformował o nim dopiero kiedy Google go załatało (a i to chyba bez szczegółów, które mogłyby zostać wykorzystane przez hackerów).

  • Michal Przybyl

    …kto to pisal?
    „Google zajęło aż trzy dni wprowadzenie poprawek”
    „W przypadku opisywanych spraw Microsoftu, po potwierdzeniu otrzymania zawiadomienia było na to 90 dni.”
    Caly ten art to nie zrozumienie tematu i usprawiedliwianie MS…
    Zamiast sie cieszyc, ze jest taki projekt, ktory poprawia bezpieczenstwo nas wszystkich to jeszcze po nim jada, bo biedna korporacja sie nie wyrobila w 3 miesiace…

    • Nie zrozumiałeś. Zareagowanie na informację o błędzie i wprowadzenie poprawek zajęło znacznie więcej czasu (nie wiem ile). 3 dni minęły od kiedy Google samo z siebie opublikowało poprawkę (czyli udostępniło jej treść wszystkim, w tym hackerom) do momentu kiedy fizycznie Chromium zostało załatane. To generalnie był strzał w kolano bo na podstawie poprawki można odkryć błędy i napisać do nich exploita. Taki exploit działałby tylko 3 dni, ale to przecież o 3 dni za długo.

    • Borciugner

      A może należałoby sprawdzić ile czasu zajęło dowiezienie poprawki? Błąd zgłoszony został 14 września, poprawka była gotowa 21 tego samego miesiąca.

    • Eeee dowiezienie? Ktoś woził tą poprawkę? Gdzie na Bobra i po co?

  • latalante

    „Ekspert z Microsoftu, Jordan Rabet oznajmił, że łatka dla opisywanych podatności znajduje się w serwisie GitHub, dzięki czemu potencjalni atakujący mogli w ramach inżynierii odwrotnej odtworzyć luki i zbudować dla nich exploity. A było po co to robić, bowiem Google zajęło aż trzy dni wprowadzenie poprawek dla projektu Chromium”.

    Ekspert? Od czego?
    Żeby zbudować Chrome, Chromium i setki innych bazujących na tym samym OTWARTO-źródłowym kodzie bez podatności na błąd, należy wprowadzić stosowne poprawki do repozytorium (github to jedynie mirror kodu chromium). Nie potrzeba „inżynierii odwrotnej” aby przeanalizować kod. Jest OGÓLNIE dostępny.
    Ekspert niezadowolony z że poprawki znalazły się w repozytorium. Aż po trzech dniach. Kuriozum. Microsoft osiąga szczyty. Fake news przy tym to nic.

    Każdy odanleziony błąd i załatany, to nie szkoda dla użytkowników acz wybawienie.

    • Kamil Ro. Dzióbek

      Witam, jestem ekspertem od bezpieczeństwa więc się wypowiem. Oczywiście nie aż takim ekspertem jak Jordan Rabet.

      1. Jordan Rabet jest ekspertem i nikt tego nie podważy.
      2. On takich rzeczy nie powiedział.
      3. Pochwalił Google za szybkie działanie.

      >Ekspert niezadowolony, że poprawki znalazły się w repozytorium. Aż po trzech dniach.

      Stwierdził, że upublicznienie kody źródłowego przed tym jak się ludziom z autoupdate pobrała wersja poprawiona chrome to głupota. Tylko on to delikatniej ujął.
      Przez takie działanie mogło być ileś procent użytkowników internetu narażone na atak.
      Liczy się tylko Chrome, Chromim to nawet nie jest promil użytkowników. Reszta oprogramowania jest pomijalne i często nawet nie można go jak zaatakować bo nie pobiera danych z internetu.

      Nie wiem skąd się wzięła wzmianka reverse engineering, autor bloga antywebowego musiał coś pokręcić. Na 100% Rabet tego nie powiedział.
      Błąd jest w kodzie maszynowym wyprodukowanym przez kompilator JavaScriptu V8. Więc by go wykorzystać potrzebny był reverse engineering.
      Jordan Rabet zdaje sobie sprawę, że gdyby zrobili update binariów to reverse enginerinerzy mogliby porównać wersje przed poprawką i po. Zrobić deasemblację różnic. Byłoby to jednak trudniejsze.

      Zacytuję Rabeta z jego bloga
      https://blogs.technet.microsoft.com/mmpc/2017/10/18/browser-security-beyond-sandboxing/

      „Servicing security fixes is an important part of the process and, to Google’s credit, their turnaround was impressive: the bug fix was committed just four days after the initial report, and the fixed build was released three days after that. However, it’s important to note that the source code for the fix was made available publicly on Github before being pushed to customers. Although the fix for this issue does not immediately give away the underlying vulnerability, other cases can be less subtle.

      For example, this security bug tracker item was also kept private at the time, but the public fix made the vulnerability obvious, especially as it came with a regression test. This can be expected of an open source project, but it is problematic when the vulnerabilities are made known to attackers ahead of the patches being made available. In this specific case, the stable channel of Chrome remained vulnerable for nearly a month after that commit was pushed to git. That is more than enough time for an attacker to exploit it. Some Microsoft Edge components, such as Chakra, are also open source. Because we believe that it’s important to ship fixes to customers before making them public knowledge, we only update the Chakra git repository after the patch has shipped.

      Our strategies may differ, but we believe in collaborating across the security industry in order to help protect customers. This includes disclosing vulnerabilities to vendors through Coordinated Vulnerability Disclosure (CVD), and partnering throughout the process of delivering security fixes.”

    • Kamil, często się spieramy, ale szacun za ten wpis!

    • latalante

      „Stwierdził, że upublicznienie kody źródłowego przed tym jak się ludziom z autoupdate pobrała wersja poprawiona chrome to głupota. Tylko on to delikatniej ujął”.

      Oj, oj. Kabaret. Zachowam sbobie ten wpis na pamiątkę. Dzieci po latach będą miały ubaw.
      Moja wersja chrome aktualizuje się z tego miejsca.
      https://git.archlinux.org/svntogit/packages.git/log/trunk?h=packages/chromium
      Aby developerzy mogli zbudować BINARNĄ wersję muszą skompilować kod źródłowy. Najlepiej wyłącznie taki z poprawionymi błędami i lukami bezpieczeństwa.

  • Rewa

    Masz odwagę sprawdzić poziom swojej inteligencji?
    http://centrumporad.com.pl/2016/10/20/zrob-test-inteligencji-online/

    • Kamil Ro. Dzióbek

      oszustwo. nie klikac.

  • Marian Koniuszko

    15tys dolarow nagrody dla inzynierow MS… to w ramach jakiegos konkursu dla stazystow bylo czy cos?

    • To stały program dużych firm, że płacą za wykrycie luk. Chodzi o to, żeby nie kusiło sprzedanie ich na czarnym rynku. AFAIR tylko Apple płaci mniej, MS i Google płacą całkiem przyzwoicie.

  • Poczułem się nieco wywołany do tablicy :P Różnica polega na tym, że Google już przynajmniej dwukrotnie opublikowało efekty swoich działań PRZED załataniem dziur przez Microsoft. Czyli hackerzy dostali ileś tam dni (do załatania dziury) na opracowanie exploitów i ich wykorzystanie. Google świadomie i celowo naraziło zwykłych szarych użytkowników produktów Microsoftu, którzy przez ten okres byli bezbronni. Tymczasem Microsoft zwyczajnie poinformował o błędzie konkurenta i nigdzie indziej nie udostępnił tej informacji co jest normalną praktyką w branży. Co zabawne Google samo naraziło swoich klientów przez 3 dniowe opóźnienie w załataniu Chromium. Nie udostępnili gotowego exploita, jednak wypuścili poprawkę przed wprowadzeniem jej do swojego produktu – sprawny hacker analizując poprawkę bez problemu zlokalizuje dziurę w sofcie. Niby tylko 3 dni klienci Google byli bezbronni, ale z wyłącznej winy samej firmy, a nie konkurencji….

  • Borciugner

    „(…) tekst, w którym podważył ideologiczne motto Google”

    Tekst to był przede wszystkim słaby i nie dziwię się, że został niemal całkowicie zignorowany mimo potencjału na całkiem niezłą gównoburzę. Z resztą tak samo jak dzisiejsze komentarza tego autora pod tym niuzem.