Google acaba de hacer públicas tres vulnerabilidades críticas en OS X a través de su proyecto Project Zero. La criticidad de las mismas, es, en cierta forma, cuestionable, ya que requieren del acceso físico a un ordenador por parte del atacante pero más allá de la publicación de estas vulnerabilidades tanto de Apple como de, como ha hecho recientemente, Microsoft, empieza a quedar patente que la compañía Mountain View está utilizando este proyecto para atribuirse el cargo de “policía del código”.
Poniendo en perspectiva esta forma de trabajar de Google hay mucha tela que cortar. Al respecto de vulnerabilidades en el código, Google está usando el doble de tiempo que se considera estándar en la industria para la actualización de software que tiene problemas de seguridad, 45 días. Lo que hace Google con Project Zero es, una vez descubierta la vulnerabilidad, advertir al desarrollador en cuestión y en 90 días publicar, independientemente de la gravedad del bug, la vulnerabilidad incluyendo “pruebas de concepto”, es decir, un caso práctico de uso que cualquiera puede aprovechar para atacar el software comprometido.
A vista de pájaro esta política se supone que es utilizada por Google para proteger a los usuarios sobre los problemas de código de terceros (sí, exactamente, solo de terceros) lo que se supone que debería ser una ventaja para el usuario final pero al final acaba resultando una pesadilla por múltiples razones.
Tanto Adobe como Microsoft o Apple disponen de diferentes políticas de actualización de software y solución de problemas. A la hora de solucionar problemas de seguridad, sin embargo, que aparezca un problema no implica que la solución sea rápida o fácil. Es exactamente el mismo sistema que se utiliza en política, en las discusiones en internet o en cualquier interacción social: es muy fácil acusar con un par de líneas sobre “lo que sea” pero establecer una línea de defensa siempre requiere de trabajo y muchas explicaciones. De la misma forma, en la industria del software, solucionar un problema puntual de seguridad no solo requiere “arreglarlo” sino integrarlo y ver como afecta por motivos de compatibilidad al respecto del código que lo rodea y las aplicaciones que hacen uso del mismo. Esto no es disculpar a las empresas de desarrollo de software (todas, sin excepción) por la calidad del mismo, pero si es evidente que es fácil descubrir un problema pero mucho más complejo solucionarlo y que la solución no afecte a los usuarios finales conforme se distribuye la actualización, cosa que requiere tiempo, a veces mucho más de 90 días.
Independientemente de todo esto, de la capacidad, el interés, la responsabilidad de las empresas desarrolladoras al respecto de las actualizaciones y problemas de seguridad, Google no puede atribuirse este rol de “policía del código” y publicar no solo la vulnerabilidad, sino la forma de explotarla de forma activa con una herramienta adicional (Al menos, por cortesía) sobre todo cuando hay una amplia comunidad dispuesta a aprovechar cualquier problema de seguridad para usarlo contra el usuario final, mientras Google pone “fechas” y convierte un problema de seguridad de código en un chantaje con un contador de tiempo determinado por un competidor directo.
Sé que para esta situación hay dos (o más) perspectivas claras: los que estarán de acuerdo con la política de Google “porque alguien tiene que hacerlo” y quien entienda que Google está usando este proyecto para torpedear a su competencia. Ambas versiones son válidas, pero no se invalidan entre ellas, por lo que si se inicia la conversación, sería interesante que sea sosegada porque esto da para un buen flame.
Muy acertado el tono del artículo. Obviamente las dos posturas ante este tema son respetables. Ambas llevan razón. No obstante, por apoyar tu opinión, si no me equivoco, creo que en España es delito difundir información que ayude a acceder a sistemas o equipos. ¿Me equivoco?. Una cosa es que lo comuniques a la empresa y otra que abras esa información a todo el mundo.
Y que den gracias por esos 45 días. Esos bugs antes o después son descubiertos. Mejor 45 días que 0, o que se vendan al mejor postor.
Joder que huevos tiene google, precisamente ellos van a ir dando lecciones? en serio?
Don’t be Evil Google
Estoy leyendo en muchos sitios que son 90 días, no 45.
Computer Emergency Response Team Coordination Center (CERT/CC) Vulnerability Disclosure Policy – The CERT/CC Vulnerability disclosure policy sets a firm 45 day timeframe from initial report to public disclosure. This occurs regardless of if a patch or workaround is released by the vendor. Exceptions to this policy do exist for critical issues in core components of technology that require a large effort to fix, such as vulnerabilities in standards or core components of an operating system.
#3 ¿Y te parece mal? Ojalá todas se pusieran a mirar problemas de los demás. Como usuarios y no fanboys de Apple, Google, Microsoft,… debemos estar encantados de que nuestros sistemas consigan estar más seguros.
¿O prefieres que los que investiguen solo sean los que vayan a realizar un uso fraudulento de los errores?
No lo digo porque no sea bueno detectar problemas, lo digo porque google tiene cientos de fallos y quejas de todo tipo por ejemplo en Android y algunos fallos llevan años sin corregirse, aunque la comunidad los haya reportado en varias ocasiones.
#7 y ya solo por eso no puede preocuparse y ayudar al resto… curioso, esa forma de pensar es muy de usar el refran de “la viga propia en la paja ajena” cuando ambas cosas no son excluyentes.
No si me parece bien que declaren los fallos que encuentran, pero ya podrían arreglar los suyos que les detectan los demás, digo yo.