image

"Google hypocriet over beveiligingslekken"

vrijdag 11 juni 2010, 10:49 door Redactie, 5 reacties

Google was altijd een groot voorstander van het op verantwoorde wijze melden van beveiligingslekken, maar als het om Microsoft gaat hanteert het een andere standaard, aldus de bekende beveiligingsonderzoeker Robert 'Rsnake' Hansen. Hij wijst op het nieuw ontdekte lek in Windows XP dat Google's Tavis Ormandy op zaterdag 5 juni aan Microsoft rapporteerde, dat op dezelfde dag antwoordde. Op 10 juni publiceerde de onderzoeker de advisory over de kwetsbaarheid. "Dat betekent dat Google Microsoft minder dan vijf dagen gaf om het het verhelpen", aldus Hansen. "Zelfs Mozilla is op een maximale tijd van 10 dagen teruggekomen, en zij draaien alleen een enkele software suite."

Volgens Hansen is het onredelijk om te verwachten dat Microsoft een lek binnen vier a vijf dagen patcht. Hij snapt dan ook niet dat Ormandy zo boos werd en vervolgens tot Full-disclosure overging. De onderzoeker werkte niet alleen, want hij bedankte ook andere beveiligingsonderzoekers binnen Google voor hun hulp. "Blijkbaar is het prima voor Google om tot Full-disclosure over te gaan, maar geldt dit niet voor andere onderzoekers. De hypocrisie is verbazingwekkend", zo laat een getergde Rsnake weten.

Hypocriet
Google zegt dat het voor het op verantwoorde wijze melden van lekken is, maar op hetzelfde moment geeft het Microsoft slechts vijf dagen de tijd om een zero-day lek te verhelpen dat juist door Google is ontdekt. In de eigen security filosofie zegt de zoekgigant dat het gebruik van responsible disclosure een standaard binnen de industrie is.

"Responsible disclosure is belangrijk voor de ecologie van het internet. Het laat bedrijven zoals Google beter onze gebruikers beschermen door lekken te verhelpen voordat die onder de aandacht van aanvallers komen. We raden iedereen die beveiligingsonderzoek doet zich aan responsible disclosure te houden. Ons Security team volgt dezelfde procedures als we beveiligingslekken aan andere bedrijven rapporteren."

Microsoft
Een ander punt van kritiek is het domein waar Ormandy zijn onofficiële patch plaatste, die niet eens blijkt te werken. Hansen merkt op dat 'lock.cmpxchg8b.com' dubieuzer klinkt dan veel malware sites. "Verwacht je werkelijk dat een miljard XP-gebruikers dat zullen downloaden en installeren?" Het hele incident is volgens Rsnake wel het bewijs dat Google zelf geen responsible disclosure meer hoeft te verwachten, aangezien ze het zelf ook niet volgen. "Zelfs als Microsoft lekken in Google vindt doen ze dat op verantwoorde wijze."

Ook bij Microsoft zijn ze niet gecharmeerd van de manier waarop Google te werk gaat. Beveiligingschef Roger Halbheer vraagt zichzelf af of Google het lek niet gebruikt om met Microsoft te concurreren. De Zwitser vergelijkt het met de concurrentie tussen banken, die nooit op het gebied van beveiliging concurreren. Geen enkele bank zal zeggen dat hij veiliger is dan zijn concurrent, of dat die net het slachtoffer van een phishingaanval is geworden. "De reden hiervoor is eenvoudig. Het gehele bancaire systeem is de dupe als vertrouwen in het ecosysteem afneemt, wat niet in het voordeel de banken is."

Reacties (5)
11-06-2010, 10:53 door Anoniem
Google gebruikt momenteel duidelijk security issues om Microsoft marketing-technisch te beschadigen. Dit is een vies spel, dat zich nog wel eens tegen Google kan gaan keren. Immers hebben zij zelf net zo goed met beveiligingsproblemen te maken.
11-06-2010, 11:50 door U4iA
Zie het als een PR-stunt. Google maakt nu heel veel gebruikers behoorlijk zenuwachtig en speelt malware makers in de hand. Die nemen weer Google-Ads of AdWords af en straks kunnen ze dit weer gebruiken bij de promotie van ChromeOS. Voor Google zelf zijn er alleen maar voordelen...zou je denken, want nu hoeft ook niemand meer op verantwoorde wijze straks om te gaan met lekken in Chrome, ChromeOS, Android, Wave, Apps, Cloud, etc. Daarnaast verbaasd het me dat er kennelijk na een verbod op Windows machines er nog diverse binnen Google zijn met XP machines. Kennelijk geldt een beleid dat men zegt te voeren toch niet voor bepaalde mensen of deze mogen hem straffeloos aan de laars lappen, wat mij dan weer verontrust mbt de security van de gegevens die Google van iedereen heeft. Daarnaast is dit het zoveelste incident dit jaar waarvoor Google toch een hoop mensen tegen zich in het harnas jaagt. Google lijkt steeds meer op een wolf in schaaps kleren...don't be evil was het toch?!?
11-06-2010, 13:14 door Anoniem
serieus, zielig gedoe die microsoft <=> google attacks via media

liever worden die artikelen gewoon niet meer geplaatst, onzin
11-06-2010, 20:26 door [Account Verwijderd]
[Verwijderd]
11-06-2010, 20:28 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.