Interne mails:Netcompany har kendt til datatyveri lang tid før offentligheden fik det at vide

Artikel top billede

Microsoft raser: Google er til fare for it-sikkerheden

To dage før Microsoft udsender en rettelse til Windows 8.1, har Google offentliggjort sårbarheden. Det har bragt Redmond-firmaet op i det røde felt.

Der opdages til stadighed sikkerhedsfejl i den software, som vi anvender.

Nu er der dukket en stridighed op blandt to af de største it-aktører i forbindelse med den praksis, der er omkring offentliggørelse af sårbarheder.

Microsoft har rettet en skarp kritik af konkurrenten Google for at have offentliggjort en sårbarhed i Windows uden, at Microsoft var klar med en rettelse.

Microsoft argumenterer for, at offentliggørelse er udtryk for en alt for stivnakket holdning hos Google og, at det er til skade for it-sikkerheden.

Google siger omvendt, at Microsoft har kendt betingelserne til offentliggørelsen af sårbarheden i tre måneder.

Google fortæller om 0-dag

Google har valgt at frigive detaljerede oplysninger om en 0-dags sårbarhed, som optræder i Windows 8.1, bare to dage før rettelsen var klar til download.

Der er tale om en sårbarhed, som potentielt kan misbruges til rettighedseskalering, eller til at opnå uautoriseret adgang til følsomme data under Windows 8.1.

Offentliggørelsen sker 90 dage efter, at Google har varslet Microsoft om problemet, og det er netop denne tidsfrist, der er anledning til skænderiet mellem de to kæmper.

Normal Google-praksis er, at 90 dage efter en varsling om et sikkerhedsproblem, fortæller søgegiganten åbent om opdagelsen. Uanset om der er en rettelse eller ej.

Google skriver om Microsofts sikkerhedsproblemer i dette blogindlæg

Den offentliggørelse er Microsoft blevet godt og grundig sur over, og firmaet svarer igen på denne blog.

Microsoft har nemlig rettet fejlen i den tirsdagsopdatering, der er kommet den 13. januar, men allerede den 11. januar fremlagde Google altså de tekniske detaljer.

Til fare for brugerne

I blog-indlægget skriver Microsoft, at Googles opførsel sætter brugerne i en faresituation, fordi eventuelle hackere får anledning til at udnytte sikkerhedshullet, før der er en patch.

Mere specifikt mener Microsoft, at Google har overtrådt den såkaldte Coordinated Vulnerability Disclosure-praksis som mange it-selskaber har tilsluttet sig.

Aftalen angiver i korte træk at sikkerhedsforskere, der opdager sårbarheder, skal koordinere med produktleverandøren for at varetage sikkerheden til brugernes bedste.

Samtidig har Google sin egen praksis, der indebærer, at alle selskaber får 90 dage til at lappe et hul, der er opdaget af Googles folk.

Google har iværksat den praksis i forbindelse med det såkaldte Project Zero, hvor en gruppe forskere afdækker sårbarheder.

90-dagesreglen er implementeret for at lægge pres på selskaberne, så sikkerhedsfejl bliver rettet hurtigt.

Windows 8.1-hullet blev opdaget den 13. november 2014, og ifølge Googles beskrivelse fik Microsoft en frist til den 11. januar til at lukke hullet.

Så Microsoft stod altså i en situation, hvor man enten skulle udsende en opdatering uden for cyklus eller se til, mens Google ville fortæller om sårbarheden.

Til trods for at Microsoft udmærket har været bekendt med denne tidsfrist, er Redmond-selskabet langt fra tilfreds med søgegigantens opførsel i denne sag.

"Det, der er rigtigt for Google, er ikke altid rigtigt for brugerne. Vi opfordrer Google til at gøre beskyttelse af brugerne til en kollektiv opgave," skriver Microsoft.

Ekspert: Der kommer flere drillerier fra Google
Faktisk har Microsoft tidligere fortalt til Google, at hullet først ville blive lukket til februar, men da Microsoft fik et svar fra Google om, at 90-dages fristen ligger fast for alle, ændrede Microsoft sin udgivelse af lappen til januar.

På den måde har Googles pres på producenterne, for at få hurtige løsninger, vist sig effektiv.

Men de to dage, der skiller offentliggørelsen og patchen, kan virke som en ufleksibel holdning, der har til formål at drille Microsoft og skræmme Windows-brugerne, lyder det fra en ekspert.

"Google har udmærket været klar over, at Microsoft var på vej med en patch. Det er ikke særlig god stil, at firmaet fortæller om en 0-dagssårbarhed, der er på vej til at blive lukket. Det skaber usikkerhed blandt brugerne, og giver hackerne en åbning," siger Peter Kruse, der er sikkerhedsekspert i firmate CSIS.

Er det et generelt problem i sikkerhedsbranchen?

"Nej, det er det ikke. Der er generelt en god forståelse mellem konkurrenterne, der kan give plads til at få lukket sårbarheder på en fornuftig måde. Det er faktisk kun Google, der har bestemt sig for, at de vil gøre det på denne måde."

"De har allerede drillet Apple i en lignende episode, og der vil komme flere. Det er dårligt for it-sikkerheden som helhed," siger den danske sikkerhedsekspert. 

Læs også:
IBM-folk afslører: Microsoft lukker kritisk Windows-fejl efter 19 år




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan får CFOen og den it-ansvarlige hurtig og sikker viden på hånden

Som CFO og it- ansvarlig er automatisering og avanceret dataanalyse blevet en del af hverdagen. Både for at sikre acceleration af forretningskritiske processer men også for at sikre en opdateret og handlingsorienteret indsigt. Men hvordan får man fuldt overblik og udbytte af disse processer? Det sætter vi fokus på, med dette eksklusive roundtable-event.

07. marts 2024 | Læs mere


SAP Excellence Day 2024

Hvordan orkestrerer og opdeler du SAP-projekter, så det bliver muligt og realistisk at hjemtage gevinster langt hurtigere? Hvad er den mest effektive metodik, når man skal arbejde med no-code/low-code og Business Automation i SAP?

12. marts 2024 | Læs mere


Business Intelligence & Analytics Day

Gennem konkrete cases fra den virkelige verden giver vi dig også inspiration til, hvordan du i praksis graver efter – og finder - guldet i de stigende mængder data, din virksomhed producerer i bl.a. finans, drift, logistik og produktion. Samt hvordan du realiserer værdien af informationerne ved at indsamle, håndtere og analysere dem korrekt og systematisk.

14. marts 2024 | Læs mere