42

Google i Microsoft biją się jak małe dzieci. I co gorsza, ze szkodą dla nas

Ledwo wczoraj Jarek Tomanik napisał dla Was świetny tekst, w którym podważył ideologiczne motto Google - "Don't be evil" i celnie stwierdził, że odwrotna dla niego postawa w ogóle się nie opłaca. Dzisiaj natomiast mamy pokłosie innych, kontrowersyjnych zagrań giganta. Okazuje się, że Microsoft już nie da sobie dmuchać w kaszę i nie będzie udawał, że wszystko jest w porządku. My natomiast, jako konsumenci mamy spory problem.

Co stanowi problem w relacjach Microsoftu oraz Google? Zacznijmy od tego, że mamy do czynienia z firmami, które znajdują się na świeczniku biznesu informatycznego. Równolegle rozwijają własne wersje podobnych rozwiązań i rzecz jasna są bardzo ważnymi dla siebie konkurentami. Google nie wystarczyło jednak „robienie swojego” i postanowiło, że przecież można pod płaszczykiem troski o konsumenta wytknąć błędy starszemu, trapionego przez własne problemy strukturowe koledze. Błędy, które po pierwsze – są bardzo ważne. Po drugie – są nośne medialnie, bo przecież bezpieczeństwo to niezwykle newralgiczna sfera oprogramowania. Project Zero oprócz tego, że starannie wyłuskiwał błędy w popularnym oprogramowaniu, niemiłosiernie dokopywał co jakiś czas Microsoftowi.

Project Zero od Google: kopniak w piszczel dla Microsoftu. Ale to przecież dla dobra wszystkich

To już nie jest kopniak prosto w środek zadka, ani nawet w kostkę. Ten, kto grał choć trochę w piłkę, ten wie, że solidnie wymierzony kopniak w piszczel to niezwykle trudne przeżycie. Gorszy jest chyba tylko ten, który wyląduje tam, gdzie… wiecie gdzie. Project Zero zajmuje się „zawodowo” wyszukiwaniem luk w oprogramowaniu. Węszy do tego momentu, aż w końcu coś znajdzie. Jako, że nie ma kodu, który nie ma żadnych podatności, z tym wielkiego problemu nie ma. Świętowanie w siedzibie Google rozpoczyna się dokładnie wtedy, gdy znajdzie się pewną podatność i wyśle się do konkurenta zawiadomienie o niej. Przy okazji, żywi się nadzieję, że gigant „nie wyrobi się” ze stworzeniem odpowiedniej poprawki i będzie można – zgodnie z zasadą działania Project Zero ogłosić ją publicznie. Zasadniczo Google daje na to tydzień. W przypadku opisywanych spraw Microsoftu, po potwierdzeniu otrzymania zawiadomienia było na to 90 dni. Microsoft prosił Google o więcej czasu, ale… konkurent się nie zgodził i techniczne informacje o lukach zwyczajnie udostępnił.

Microsoft Edge

Google z lubością w ramach Project Zero dokopywało Microsoftowi stygmatyzując firmę w ramach niezałatanych dziur. Za każdym razem podkreślano, że gigant otrzymywał od Mountain View informacje o lukach, jednak nie był w stanie dostarczyć poprawek w odpowiednim czasie. Wyglądało to nieco komicznie – firma, która zajmuje się oprogramowaniem stawiała samą siebie w roli szeryfa i stawiała warunki przyłapanym na wpadkach konkurentom. Sytuacji, w których Microsoft otrzymał od Google kuksańce było naprawdę mnóstwo i dotyczyły one bardzo ważnych z punktu widzenia Redmond produktów – Internet Explorera, Windows, Edge’a, a nawet Defendera.

Google jednak mocno przegięło. Microsoft się zdenerwował

Google poczuło się tak pewnie w swojej misji, że postanowiło nie tylko wbić kolejne szpile dotyczące luk w produktach Microsoftu, ale i zdecydowało się na skrytykowanie całej metodologii uszczelniania oprogramowania. Postanowiono przyjrzeć się temu, jak wygląda uaktualnianie starszych wersji Windows i znaleziono tam błędy, które potencjalnie mogą przyczynić się do otwarcia kolejnych furt dla cyberprzestępców. To prawdopodobnie przelało czarę goryczy i… Microsoft nie pozostał Google dłużny. W ogóle.

Drużyna Microsoftu podjęła rękawice i w ramach działu Offensive Security Research znalazła luki w Google Chrome 61. Co ciekawe, gigant nagrodził inżynierów Microsoftu nagrodą w wysokości 15 837 dolarów, która zostanie przeznaczona na cele charytatywne. Jednak nie to jest w tym wszystkim najciekawsze. Ekspert z Microsoftu, Jordan Rabet oznajmił, że łatka dla opisywanych podatności znajduje się w serwisie GitHub, dzięki czemu potencjalni atakujący mogli w ramach inżynierii odwrotnej odtworzyć luki i zbudować dla nich exploity. A było po co to robić, bowiem Google zajęło aż trzy dni wprowadzenie poprawek dla projektu Chromium.

Google Chrome

Dla konsumentów to raczej nie jest dobra sytuacja

Zarówno Google jak i Microsoft biją się między sobą jak dzieci w piaskownicy wykorzystując raczej mało przyjemne dla wszystkich metody. Upublicznianie informacji o znalezionych podatnościach w produktach konkurencji rzeczywiście może skłonić „opieszałego” giganta do tego, aby przyspieszyć prace. Ale przecież nie o to w tym chodzi, prawda? Cyberprzestępcy tylko czekają na to, aż ktoś „odwali robotę za nich” i zdecydują się na wykorzystanie odnalezionych podatności. Zbudowanie exploita pod konkretną lukę nie jest czymś mega skomplikowanym. Jeżeli ma się dobry zespół i odpowiednią wiedzę, nie ma z tym większego problemu. A skutki mogą być – cóż. Bardzo nieprzyjemne.

Walka między Google i Microsoftem nie jest równa. Tym bardziej będzie ona brutalna, jeżeli obydwa podmioty nie odpuszczą

Problem z Microsoftem jest taki, że w przypadku jego produktów mamy do czynienia również z takimi, które są zależne od innych. Dlaczego wprowadzenie poprawek do Microsoft Edge zajęło gigantowi tak dużo czasu? Właśnie dlatego, że naprawienie wytkniętych błędów wymagało nie tyle zaktualizowania samego produktu Edge, ale i Windows. Co więcej, należy wykorzystać w tym celu mechanizm Windows Update, przeprowadzić testy, zaprzęgnąć do pracy cały zespół odpowiedzialny za dostarczenie skutecznej i działającej na wielu konfiguracjach sprzętowych łatki. To nie jest łatwy proces i Microsoft nawet z wprowadzeniem uaktualnień dodających nowe funkcje ma spore problemy. Windows 10 to system uniwersalny, musi działać „wszędzie” i bez zarzutu. Nie zawsze to się da zrobić.

Google natomiast tak ogromnego problemu nie ma. Aplikacje systemowe w Androidzie można swobodnie aktualizować bez potrzeby wspierania się koniecznością rozsyłania dużych uaktualnień, a i pracuje się nad modularną budową tego OS-u. Tym bardziej możemy się spodziewać, że jeżeli ani Redmond, ani Mountain View nie odpuszczą sobie w tak brutalnym wskazywaniu swoich błędów, ucierpimy na tym my. Bo nikt przecież nie będzie mieć skrupułów, żeby upublicznić techniczne szczegóły łatki. Wiedzcie jednak o tym, że to Google zaczęło. Don’t be evil? Ponownie nie wyszło.