Rozumiem walkę z Microsoftem, ale tym razem Google grubo przesadził

Na całym świecie pracuje aktualnie kilkaset milionów urządzeń podłączonych do globalnej Sieci. Są to przeróżne produkty, od lodówek, przez smartfony i notebooki aż po potężne desktopy. Nigdy wcześniej nie żyliśmy w tak mocno zcyfryzowanym świecie i nigdy wcześniej cyberprzestępcy nie mieli tylu okazji do odnoszenia materialnych korzyści z włamywania się do cudzych systemów informatycznych.

W tak rozbudowanym świecie ciężko o idealnie zabezpieczone oprogramowanie, ale poszczególne firmy prześcigają się w chwaleniu swoich produktów i ich bezpieczeństwa. Są jednak świadome ich potencjalnych ułomności, dlatego też każdy system operacyjny posiada wbudowaną usługę, pozwalającą jego twórcom na naprawianie go poprzez aktualizacje już bezpośrednio na komputerze użytkownika. Wiele firm, w tym Google i Microsoft, wręcz płaci internautom niemałe pieniądze za zgłoszenie usterek w zabezpieczeniach ich produktów. Wszystko po to, by nie dać przestępcom narzędzi do psucia krwi użytkownikom indywidualnym i firmom.

W świecie programistów panuje pewna bardzo pożyteczna zasada: jeżeli wykryłeś usterkę w zabezpieczeniach danego programu, nie informuj o szczegółach publicznie nikogo innego poza twórcą oprogramowania. Możesz powiedzieć, że dany system ma błąd, ale jego techniczne aspekty przekaż wyłącznie twórcom. To nie jest tylko kwestia dobrego wychowania: utajnianie usterek do momentu ich załatania służy interesowi internautów. Cyberprzestępcy bowiem nie będą wiedzieli jak daną usterkę wykorzystać. Chyba, że sami do tego dojdą.

Google najwyraźniej nie zna tego zwyczaju. Zajmujący się bezpieczeństwem pracownik tej firmy opublikował informacje na temat usterki w Windows 8.1. Jak twierdzi, czekał kwartał na Microsoft aż ten załata „dziurę”, po czym opublikował instrukcję jak ową usterkę wykorzystać. Ta pozwala na nieautoryzowane zwiększanie uprawnień aplikacji do poziomu administracyjnego, a więc w efekcie umożliwia włamywaczowi pełną kontrolę nad atakowanym urządzeniem. Usterka nie jest łatwa do wykorzystania, gdyż i tak wymaga, by atakujący znał login i hasło atakowanej osoby, jednak można sobie wyobrazić przypadki, kiedy pozwoli ona na wyrządzenie niemałych szkód.

Problem w tym, że Microsoft zareagował na zgłoszenie firmy Google. Chris Betz, starszy dyrektor ds. bezpieczeństwa, jak twierdzi, osobiście podziękował za zgłoszenie i poinformował firmę Google, że łatka pojawi się w najbliższy „patch Tuesday”, a więc dzień w którym zawsze Microsoft publikuje aktualizacje dla swojego oprogramowania. Firma Google otrzymała dokładną datę publikacji łatki, po której mogłaby podzielić się całością swojego odkrycia. Google jednak nie zamierzał czekać.

Google argumentuje, że jego polityka szybkiego opisywania usterek ma „wywrzeć presję na twórcach oprogramowania”. Pozwolę sobie teraz na przerwę, w której parsknę śmiechem…

…i będę kontynuował myśl. Załóżmy przez chwilę, że to Microsoft pisze nieprawdę i przyjmiemy do wiadomości wyłącznie google’owską wersję zdarzeń. Opracowanie łatki dla systemu operacyjnego, który jest używany przez setki milionów użytkowników na całym świecie na dziesiątkach tysięcy przeróżnych urządzeń nie jest łatwym zadaniem. Nie tylko należy znaleźć skuteczne rozwiązanie problemu, ale też następnie przetestować nową wersję kodu źródłowego uwzględniając setki urządzeń i scenariuszy a następnie jeszcze dostarczyć ową aktualizację do setek milionów użytkowników systemu. To nie jest coś, co jest możliwe do przeprowadzenia w kilkanaście godzin.

Najlepiej wie o tym sam Google, który do tej pory potrafi sprawnie aktualizować wyłącznie swoją przeglądarkę Chrome i opartą o nią netbookowy system operacyjny. Najważniejszy software’owy produkt Google’a wciąż jest obecny w wersjach od Gingerbreada po Jelly Bean, a wersja Lollipop w naturze praktycznie nie występuje. Gdyby opublikowano taki sam exploit dotyczący Androida, to właściwie tylko użytkownicy nielicznych urządzeń Nexus mogliby spać spokojnie.

Doskonale rozumiem, że konkurencję należy zwalczać wszelkimi dostępnymi przez prawo środkami. Google wypchnął Microsoft z rynku mobilnego i ma ambicję zrobić to samo jeżeli chodzi o rynek komputerów stacjonarnych i rozwiązań dla firm. Publikacja exploitu dla Windows 8.1 przed patch Tuesday to sposób na obniżenie zaufania klientów Microsoftu wobec ich partnera. I motywacja do rozejrzenia się po alternatywach, takich jak Chrome OS czy Google Apps.

Sęk w tym, że tracą na tym przede wszystkim użytkownicy. Zostali oni bowiem narażeni na niebezpieczeństwo ze strony cyberprzestępców, którym na tacy podano instrukcję obsługi jak przeprowadzić przykładowy atak. Microsoft jest również odpowiedzialny za dostarczenie klientom wadliwego produktu, jednak zachowanie Google’a jest poniżej wszelkiej krytyki i działaniem wielce nieodpowiedzialnym. Nie wiem, czy chciałbym być klientem firmy, która jest gotowa użyć mnie jako broni w walce konkurencją…

* Ilustracje pochodzą z serwisu Shutterstock