Jak w przedszkolu. Microsoft mści się na Google'u, ryzykując bezpieczeństwo użytkowników
Doskonale rozumiem marketingowe przytyki. Nie mam problemu z otwartą wzajemną krytyką. Mam jednak problem z ciosami poniżej pasa i odwetem na podobnym poziomie, gdzie stawką jest bezpieczeństwo nas wszystkich.
Google wprowadził trzy lata temu bardzo kontrowersyjną politykę, jeśli chodzi o ujawnianie wykrytych błędów w zabezpieczeniach programów konkurencji. Gdy jakiś programista lub inny pracownik Google’a wykryje błąd w zabezpieczeniach jakiegoś programu – na przykład Windowsa, macOS-a, Worda, czegokolwiek – firma, jak dobry i przyjęty obyczaj nakazuje, niezwłocznie i w tajemnicy informuje twórców oprogramowania o problemie.
Google daje programistom siedem dni na załatanie problemu i zapewnienie aktualizacji wadliwego oprogramowania. Następnie – i tu zaczynają się kontrowersje –po tych siedmiu dniach roboczych publikuje swoje znalezisko w Sieci, ze szczegółami na temat usterki. Google twierdzi, że to mobilizuje programistów, zwiększa transparentność i bezpieczeństwo. Zdaniem niektórych, to błędne podejście.
Siedem dni na opracowanie rozwiązania, przetestowanie go i wprowadzenie do dystrybucji to bardzo mało czasu.
A dla oprogramowania współpracującego z niezliczonymi kombinacjami innych programów i sprzętów – na przykład dla Windowsa – wyrobienie się w terminie siedmiu dni roboczych jest w zasadzie niemożliwe. Efektem tego jest więc narażanie użytkowników wadliwego oprogramowania na dodatkowe niebezpieczeństwo. Dopóki Google nie opublikuje szczegółów usterki, wiedzą o niej nieliczni. Po publikacji każdy obdarzony odpowiednimi umiejętnościami hakerskimi może ją wykorzystać do niecnych celów.
Ta nieodpowiedzialna polityka wywołała poważny konflikt pomiędzy Microsoftem i Google’em. Sprowokowała wręcz Terry’ego Myersona – wiceprezesa działu Windows and Devices – do napisania otwartej, ostrej i zasłużonej krytyki firmy Google. To już nie jest rywalizacja. To cios poniżej pasa i narażanie tysięcy lub milionów użytkowników na niebezpieczeństwo. Post pana Myersona to prawidłowa reakcja. To, co Microsoft zrobił później – o czym dowiadujemy się dziś – jest co najmniej małostkowe. A przede wszystkim strasznie głupie.
A teraz czytajcie uważnie, bo nie uwierzycie.
Microsoft powołał specjalną grupę, której jedynym celem było znalezienie usterek w zabezpieczeniach przeglądarki Chrome. Co więcej, właśnie się tym pochwalił! Nie, nie żartuję. Ale czytajcie dalej. Każde skomplikowane oprogramowanie jest dziurawe, tego nie da się uniknąć. W końcu więc tym pracownikom Microsoftu udało się znaleźć usterkę w przeglądarce Google’a. Firma poinformowała twórców Chrome’a o problemie. Co wydarzyło się potem?
Google popełnił błąd we wdrażaniu poprawki. Na trzy dni przed wprowadzeniem aktualizacji umieścił kod poprawki w publicznym repozytorium. To oznaczało, że czujni cyberprzestępcy mieli trzy dni na swoje złowrogie działania przeciwko milionom użytkownikom Chrome’a. Co robi odpowiedzialna firma? Niezwłocznie dzwoni do kogoś w Google i mówi „czy was porąbało? zdejmijcie to natychmiast!”
Co zrobił Microsoft? Napisał o tym wielki artykuł, opisujący dokładnie usterkę i poradę, że można monitorować GitHuba by znaleźć szczegóły niezałatanych problemów w Chrome. Och, Google, takie niebezpieczne, ma dziury, popełnia błędy i w ogóle. Na Trygława i Swaroga… serio?!
Wojna małostkowych korporacji.
Google nieraz i nie dwa wykazał się brakiem odpowiedzialności jeśli chodzi o bezpieczeństwo swoich klientów. Microsoft, jako firma chcąca szczycić się znacznie lepszymi standardami, nie powinna zniżać się do poziomu rywala. Luki w zabezpieczeniach przy tak wysokiej złożoności oprogramowania i jego ciągłej ekspozycji na łączność sieciową będą znajdowane zawsze i wszędzie, w oprogramowaniu każdego producenta.
Kapitałem Microsoftu od paru lat jest jego odmieniona i chwalona przez ekspertów na całym świecie polityka cyberbezpieczeństwa. Firma teraz zbiera tego owoce i nie musi zachowywać się w tak infantylny sposób. Tymczasem obie firmy zamieniły tak poważny temat jakim jest cyberbezpieczeństwo w operę mydlaną. Której nie da się oglądać.