Wirkungsvolle Kritik: Google gewährt mehr Zeit bei Sicherheitslücken

Die Veröffentlichung von Sicherheitslücken, die von den entsprechenden Unternehmen nicht innerhalb von 90 Tagen geschlossen wurden, hat Google im letzten Monat einige Kritik eingebracht. Jetzt reagiert das Unternehmen und führt eine kurze ... mehr...

Sicherheit, Sicherheitslücken, schloss, Kette, Abus Bildquelle: John Dierckx / Flickr

Sicherheit, Sicherheitslücken, schloss, Kette, Abus John Dierckx / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++20 --12

Wer im Glashaus sitzt, sollte nicht mit Steinen werfen.

[re:1] am ++11 --3

@Xeroxxx: In der Tat blicken zu wenige, worum es Google eigentlich geht... und wer hier überhaupt wen kritisiert... würde Google alle Apps mit massiven Sicherheitsproblemen aus dem Play Store entfernen, hätte Android weniger Apps als Windows Phone. Google soll gefälligst die Fr**** halten und vor der eigenen Haustür kehren. ;)

Bearbeitet am 16.02.15 um 02:40 Uhr.

[re:1] am ++1 --2

@Chris Sedlmair: "würde Google alle Apps mit massiven Sicherheitsproblemen aus dem Play Store entfernen, hätte Android weniger Apps als Windows Phone" Was für Zahlen hast du dazu, die das auch nur annähernd belegen könnten?

[re:1] am ++1 --1

@adrianghc: http://www.rp-online.de/digitales/smartphones/android-apps-70-prozent-senden-daten-unverschluesselt-aid-1.4087297 Gibt dazu auch Artikel aus der Fachpresse, die genau das Aussagen, falls Mainstream-Allgemein-Medien Dir zu platt sind

PS: Minus finde ich doof. Da die Frage von adrianghc auf meine Aussage hin völlig berechtigt ist.

Bearbeitet am 17.02.15 um 05:06 Uhr.

[re:1] am ++1 --

@Chris Sedlmair: "Android-Apps: 70 Prozent senden Daten unverschlüsselt" "Neun von zehn Android-Apps (91 Prozent) beanspruchen bei der Installation das Recht zum Aufbau einer Internetverbindung." "Knapp jede zweite App (49 Prozent) nimmt sich das Recht, den Aufenthaltsort bestimmen zu können" Ist es bei Windows Phone denn besser? Wobei es bei WP natürlich möglich ist, bei jeder App einzeln die Ortung auszuschalten.

[o2] am ++21 --19

Ich finde es schon krank, dass Google Leute beschäftigt, die Sicherheitslücken bei anderen Herstellern suchen und diese dann veröffentlicht.
Man sollte erst mal vor der eigenen Haustür kehren als andere schlecht zu machen. Sind die die Internet-Polizei oder wofür halten die sich?
Das ist ein nicht zu akzeptierendes Verhalten und ich werde mit Sicherheit weiterhin keine Google-Produkte einsetzen.

[re:1] am ++17 --1

@Teddybär2: Naja Google arbeitet ja auch mit mit Microsoft Produkten. Ich habe vor längerer Zeit mal gelesen, dass Google den Mitarbeitern freistellt, mit welchem System sie arbeiten, sei es Mac OS, Windows, das eigene OS, linuxbasierend, MS Office, Google Docs etc. Und wenn da halt Mitarbeiter mit MS oder Apple Software sitzen, dann sind diese ja auch angreifbar und sind dann nicht produktiv, falls diese Lücken mal ausgenutzt werden.
Außerdem bin ich der Meinung in fremden Code Fehler finden ist einfacher als im eigenen. Zumindest ging mir das so, wenn ich bei Freunden drüber schaue. Meine eigenen finde ich schwerer als den von anderen. Somit wäre es ja ein "plus".
Dass man zwei Tage vor wirklicher Patch-Releases noch veröffentlicht ist wirklich doof, aber generell Fehler suchen ist nicht verkehrt. Sei es fürs eigene Unternehmen oder für fremde.

[re:1] am ++3 --8

@bmngoc: Prinzipiell hast du Recht, fremder Code analysiert sich besser, Stichwort Betriebsblindheit. Nur kann das Google gar nicht, da sie keine Einsicht auf den Code haben, also müssen sie per Reverse Engineering ran, was die Sache deutlich schwerer macht.

Die Frage ist jedoch, setzt Google wirklich Mitarbeiter ein, die "hauptberuflich" nichts anderes machen als Lücken bei den anderen zu finden, oder sind es eher Zufallsfunde, weil man die Software eben benutzt und ein waches Auge hat.

Ersteres wäre meiner Meinung nach nicht in Ordnung, letzteres wäre für mich sogar verpflichend...

[re:1] am ++3 --6

@Draco2007: Ich glaube fast, die setzen Leute darauf an Fehler zu finden.
Ist aber doch fast schon gängige Praxis, dass US Firmen sich bei allen Belangen ans Bein pissen. Auch wenn die Idee erst mal nobel erscheint, dann aber zu veröffentlichen, obwohl ein Patch kurz vor Release ist, ist ja ein Indiz für "Hey, die haben schlechte Software, nutzt unsere".

[re:2] am ++1 --

@Draco2007: http://googleprojectzero.blogspot.de/2014/07/announcing-project-zero.html

"The success of that part-time research has led us to create a new, well-staffed team called Project Zero."

"In addition, we’ll be conducting new research into mitigations, exploitation, program analysis—and anything else that our researchers decide is a worthwhile investment."

"We’re hiring. We believe that most security researchers do what they do because they love what they do."

Ich denke, das beantwortet die Frage. :)

[re:2] am ++2 --1

@bmngoc: Naja... Google hat hoffentlich nicht den Code von Microsoft Produkten.... Insofern tun sie sich da schwer. Und es ist nicht so, dass bei MS nur einer am Code sitzt...

[re:3] am ++1 --

@bmngoc: Das von Google genutzte Linux-OS ist kein eigenes OS. Es ist einfach nur ein Ubuntu mit angepassten Paketen.

[o3] am ++9 --3

Nach Ablauf welcher Frist veröffentlichen die denn eigentlich ungestopfte Sicherheitslücken in ihrer eigenen Software? (Ernstgemeinte Frage!)

[re:1] am ++6 --

@DON666: Ebenfalls 90 Tage. Edit: "We remain committed to treating all vendors strictly equally. Google expects to be held to the same standard; in fact, Project Zero has bugs in the pipeline for Google products (Chrome and Android) and these are subject to the same deadline policy." http://googleprojectzero.blogspot.de/2015/02/feedback-and-data-driven-updates-to.html

Bearbeitet am 15.02.15 um 19:48 Uhr.

[re:1] am ++4 --

@nicknicknick: Danke für die Info.

[re:2] am ++2 --2

@nicknicknick: Leider werden bei Google aber keine altversionen mehr gepatcht und man kann immer nur hoffen das es die neue Version auch aufs eigene Smartphone/Tablet schafft was leider oft nicht der Fall ist, das liegt zum Teil an den Herstellern aber auch Google ist daran nicht unschuldig.

[re:1] am ++2 --1

@PakebuschR: So lange die eigenen Nexus-Geraete immer aktuell gehalten werden, waescht Google doch seine Haende in Unschuld... :->

[re:1] am ++1 --

@JanKrohn: Warum sollte Google sich nicht die Hände in Unschuld waschen? Es war immer schon so, dass bei Open-Source-Geräten der Hersteller der Endgeräte für den Support verantwortlich ist und nicht der Entwickler der Software. Die OS-Software wird gemäß gängiger Lizenzvereinbarungen frei, kostenlos aber, ohne jede Gewährleistung überlassen. Wenn du als Hersteller diese Software nutzen willst, hast du diese Bedingungen zu akzeptieren. Oder du entwickelst dir dein eigenes Süppchen.

Wenn du keine Patches bekommst, die Google zweifelsfrei veröffentlichst, darfst du dich beschweren: Beim Hersteller des Gerätes und nicht bei Google. Und wenn der Hersteller keine Patches liefert, obwohl du sie haben willst, dann muss man sich beim nächsten Gerät halt eben um einen neuen Hersteller kümmern. Wie bei jedem anderen Produkt ohne eigenen Softwareentwickler im Hintergrund auch. Mal ganz davon abgesehen, dass ein Großteil der Kundschaft sich einen feuchten Dreck um Updates scheren. Was wiederum die Frage aufwirft, warum sich ein Hersteller um einen Support über das umsatzsteigernde und gesetzlich notwendige Maß hinaus bemühen sollte.

Bearbeitet am 16.02.15 um 15:52 Uhr.

[re:2] am ++--1

@Niccolo Machiavelli: Schau mal nach, was der Smiley mit der spitzen Klammer aussage ;-)

[re:2] am ++1 --1

@PakebuschR: Das liegt ausschließlich an den Herstellern. Siehe Windows Phone, auch da sind Updates letztendlich vom Hersteller abhängig, obwohl es viel weniger unterschiedliche Geräte und engere Hardwarevorgaben seitens MS gibt.

[re:1] am ++--1

@nicknicknick: Ja, aber auf Windows Phone kann Microsoft die Updates zur Not erzwingen, soweit ich weiß. Daher ja die engen Hardware-Vorgaben.

[re:2] am ++1 --

@Chiron84: Ob sie das theoretisch können weiß ich nicht, halte es aber für äußerst unwahrscheinlich, da Updates eben ganz klar in der Verantwortung der Hersteller sind die bei möglichen Fehlern ja auch dafür gerade stehen müssen, sowohl den Kunden als auch den Netzbetreibern gegenüber. Wie man beim Ativ S und dem HTC 8X gesehen hat liegt es jedenfalls in der Praxis am Hersteller ob und wie schnell ein Update kommt.

[o4] am ++10 --8

Ja, die Welt ist doch so einfach, wenn man seine eigene Unfähigkeit flexibel auf die Sicherheit der Nutzer zu reagieren, einfach einen Anderen "Böseren" in die Schuhe schiebt, aber Trotzdem seine Nutzer im Regen stehen lässt!
Die Wahrheit ist, das Microsoft jederzeit Google zuvorkommen hätte können, es nur nicht wollte, weil man unbedingt an Patchday festhalten musste!
Nur die Wahrheit ist immer das erste Opfer, im jeden Krieg.

[re:1] am ++8 --8

@Gast11962: Der Patchday ist seit 10 Jahren immer der gleiche Tag und viele Großunternehmen haben ihre gesamten Prozesse auf diesen Tag abgestimmt. Einige andere Software-Unternehmen haben sich diesem Tag inzwischen aus gutem Grund angeschlossen und veröffentlichen Ihre Updates ebenfalls an dem Tag.
Das ist auch der Grund, warum man nur dann einen OOB (Out of Band) einschiebt, wenn es sich absolut nicht vermeiden lässt. Ein OOB generiert extreme Aufwände, die man den Kunden gerne ersparen möchte.
Was meinst Du wäre also einfacher? Wenn Google mal ein paar Tage später seine Veröffentlichung macht oder wenn alle Großunternehmen einen extra Patchzyklus einschieben müssen und hunderte Anwendungen einmal zusätzlich testen müssen?

[re:1] am ++4 --7

@Teddybär2: Allen Administratoren die ich kenne, sowie jede Firma mit der ich zusammenarbeite oder die ich kenne, ist der Patchday völlig egal bis unsympathisch, da alle Patch nacheinander abgearbeitet werden.
Keiner (wohlgemerkt den ich kenne) spielt an diesen Tag alle Patch ein und oder testet sie.
Es ist schlichtweg illusorisch zu glauben das der Patchday irgend einen Vorteil zu kontinuierlichen Patch hat, insbesondere wenn Sicherheitslücken schon ausgenutzt werden oder ein ausnutzen droht.
Alle Ressourcen einer Firma müssen für den Tag gebündelt werden, anstatt das kontinuierlich Mitarbeiter die Patch abarbeiten.

Es ist also völlig gleichgültig, für jedes Patch muss jede Anwendungsgruppe eigens getestet werden, mir ist es noch nie untergekommen das man es bei mehr als einen Patch gleichzeitig macht, ein Mitarbeiter der dies macht hat die sofortige Freistellung verdient!

[re:2] am ++2 --4

@Teddybär2: klar, 50 updates an einem tag (oder 100 wenn andere unternehmen noch mitmachen) sind viel einfacher zu managen als immer wieder ein-drei updates über 30 tage verteilt die vielleicht sogar komplett ohne zu tun installiert werden könnten, vor allem wenn man geldsparen will, sicher so ein microsoft certified update heini kostet auch zu viel... und wenn es dann inkompatible updates gibt ist sicher auch ganz schnell erkennbar welches der 50-100 updates dafür verantwortlich ist, die werden ja nicht alle mit einem schlag installiert. oh, doch... verdammt. ja dann halt googeln, patchnotes wälzen oder in einer testumgebung mit jedem update einzeln rumprobieren welches update jetzt ein problem verursacht. aber du hast natürlich recht, besser weniger aufwand und die kunden sind zufrieden. bleibt nur die frage: sind die kunden so wirklich zufrieden?

[re:2] am ++1 --3

@Gast11962: m und n sind in deinen letzten drei wörtern vertauscht (ich bin aber auch nicht besser da ich komplett auf groß- und kleinschreibung verzichte). ich sehe es aber letztendlich so wie du: die nutzer sind die gelackmeierten.

[re:1] am ++--2

@spookster: Danke für den Hinweis.

[re:3] am ++2 --3

@Gast11962: Dumm nur, dass Betriebssysteme vom Code her viel komplexer sind, als irgendwelche Fremdprogramme, die darauf installiert werden. Chrome und Firefox sind zum Beispiel viel weniger komplex, als Windows.

[re:1] am ++1 --

@eragon1992: Wenn du meinst das sie von der "Masse" her weniger umfangreich sind, hast du recht.

Das sie weniger Komplex wären, oder "einfacher" in der Programmierung, dann solltet du dir bewusst machen das sie >auch< die selben Code wie Windows IE ein und umsetzen!

Bearbeitet am 16.02.15 um 10:35 Uhr.

[re:1] am ++1 --

@Gast11962: 'Das sie weniger Komplex sind oder "einfacher" in der Programmierung solltet du dir bewusst machen das sie >auch< die selben Code wie Windows ein und umsetzen!'

Dieser Satz ergibt irgendwie keinen Sinn. Die fehlenden Satzzeichen und die schlechte Rechtschreibung/Grammatik machen es auch nicht gerade einfacher.

[re:1] am ++1 --

@crmsnrzl: OK, war nicht ganz bei der Sache.

[o5] am ++3 --5

Als ob 3 Monate nicht genug wären...

[re:1] am ++7 --3

@Freudian: Wer bist du, dass du das beurteilen kannst?

[re:1] am ++4 --3

@Draco2007:
Jemand der viel Erfahrung in QA von Software hat und auch jetzt noch Freunde in dem Bereich hat. Hab ich hier aber schon öfters erwähnt...

[re:1] am ++5 --4

@Freudian: Und deshalb meinst du zu wissen, dass kein Bug existieren kann, der nicht in 3 Monaten gefixt ist? Dann arbeitest du wohl nur an kleinen Projekten und keinem Weltkonzern der ein Betriebssystem baut....

[re:1] am ++5 --4

@Draco2007: das problem ist doch trotzdem hausgemacht von microsoft, und wie kribs in o4 schon schrieb sehe ich auch den patchday als problematischen hauptverantwortlichen an. microsoft rückt sich doch selbst in ein schlechtes licht wenn sie dann außerplanmäßig updates veröffentlichen. also warum halten sie bitte daran fest? sollen sie doch updates bringen wenn sie fertig sind und gut. dieses "ja wir wollen noch bis zum patchday warten" ist doch einfach nur (nochmal) hausgemachter humbug.

[re:2] am ++5 --3

@spookster: Da stimmen dir aber wohl nicht alle zu, prinzipiell würde ich dir Recht geben, aber ich bin kein Admin und kann nicht beurteilen ob es besser ist jeden Tag ein paar Patches zu haben oder einmal pro Monat....

Mein Instinkt als Informatiker sagt mir aber, dass ein regelmässiger Patchzyklus durchaus Vorteile hat...

[re:3] am ++5 --4

@Draco2007: Stell dir bitte mal vor du hast eine Doktorarbeit geschrieben über 100 DinA4 Seiten.
Stell die vor es kommt jemand und sagt du hast einen Schreibfehler auf Seite 96 / Zeile 17 / Wort 4.

Google sagt Microsoft nicht nur wo der Schreibfehler Zeilen/Wort genau ist, sondern liefert direkt eine Lupe mit (Exposit) damit man den Fehler aus allen möglichen Richtungen nicht übersehen kann.

[re:4] am ++3 --4

@Draco2007: es gibt immer vor- und nachteile. aber fertige patches nicht anzubieten und die sicherheitslücken für im schlimmstenfall fast vier wochen ungestopft zu lassen reicht mir als amateur it-ler aus um ganz klar den anderen weg zu wählen. dann gibts auch keine außerplanmäßigen patches um die in den medien viel wirbel gemacht wird sondern alle probleme werden so früh wie möglich behoben. sagen wir mal es würde eine einstellungsmöglichkeit für patchen immer nur am 2 dienstag im monat oder direkt bei verfügbarkeit geben... welche würdest du wählen?

[re:5] am ++6 --4

@Gast11962: Was für ein mieser Vergleich...

1. Google hat KEINE Einsicht auf den Code, können also NICHT sagen, wo genau der Fehler liegt, sondern nur beschreiben WIE er sich auswirkt
2. Selbst wenn du mir genau sagen kannst, welches Wort falsc geschrieben ist, heißt das nicht, dass ich nicht den ganzen Absatz neu formulieren muss, weil die Korrektur den Zusammenhang zerreist. Und genau solche Probleme gibt es nunmal häufig in der Softwareentwicklung. EINE Änderung an einer Stelle löst vielleicht ein Problem erzeugt aber auch gleichzeitig welche...

Und wenn es ein wirklich beschissenes Problem ist, dann muss man praktisch das ganze Konzept überdenken (die Doktorarbeit komplett neu strukturieren).

Was ich damit sagen will, ich wäre nicht so dreist und würde mich hinstellen und behaupten JEDEN Bug den irgendwer finden kann lässt sich garantiert in unter 3 Monaten fixen. Viele sicherlich, aber niemand hier kann es tatsächlich beurteilen...

[re:6] am ++2 --3

@spookster: Es gibt aber nicht nur schwarz und weiß. Und es hängt IMMER von der schwere der Sicherheitslücke und der akuten Gefahr ab, ob es verhältnissmässig ist einen Patch vorzuziehen.

Und wenn man die Lücke kennt, kann man auch herausfinden ob die Lücke bereits genutzt wird. Wird sie NICHT genutzt und ist der Angriffsvektor ohnehin nicht sehr trivial spricht NICHTS dafür die Prozesse zu ändern.

Wenn es danach geht dürfte man Sicherheitslücken überhaupt nicht mehr priorisieren was die Behebung angeht...macht man aber...sinnvollerweise...

Bearbeitet am 15.02.15 um 19:33 Uhr.

[re:7] am ++1 --

@Draco2007:
Ich arbeite in dem Bereich nicht mehr.
Aber genau das ist der Punkt. Wenn man so ein Weltkonzern ist, stehen einem ganz andere Ressourcen zur Verfügung. Ich habe in Unternehmen gearbeitet bei denen Sicherheit auch sehr wichtig war, da die Hauptkunden Banken waren, und die hatten nichtmal ansatzweise die Möglichkeiten von MS. Wenn da ein Patch jemals 3 Monate gedauert hätte, wären die Firmen schon längst pleite. Aber man merkt schon, du hast davon gar keine Ahnung. Warst du nicht auch der Typ der meinte dass man QA nicht mit VMs machen kann? :)

Bearbeitet am 16.02.15 um 08:32 Uhr.

[re:8] am ++1 --

@Draco2007: Zu:" [re:5] Draco2007 am 15.02.15 um 19:26 Uhr"
Es bedarf keines Source Codes um Bestanteile (einzelnen Dienste) auszulesen, das kannst selbst du mit der richtigen Software, die es zum Teil frei im Netz gibt!

Sonst wäre es schlichtweg nicht möglich das Dritte, für und auf die Plattform Windows, Programme schreiben.
Selbst Microsoft stellt mehrere Bibliotheken von Codes zur Verfügung um das zu gewährleisten.

Es ist nicht nur möglich für Google Seiten / Zeilen / Code genau anzugeben wo ein Fehler liegt, es ist ihnen zu gar möglich den Microsoft Dienstcode zu zweckentfremden um damit ein Programm (Exposid) zu schreiben.

Ich weiß nicht woher du deinen Glauben nimmst, ich hoffe du bist einfach nur falsch informiert.

Bearbeitet am 16.02.15 um 10:09 Uhr.

[re:2] am ++3 --2

@Freudian: Dann solltest du eigentlich wissen, dass Windows und andere Betriebssysteme vom Code her viel komplexer sind, als einfache Software (wie Chrome und Firefox).

[re:2] am ++3 --2

@Freudian: Eine ganz klare Aussage dazu, nein nicht immer. Bei meinem letzten Arbeitgeber hatten wir den Fall, dass es einen Bug gab, der über 1 Jahr nicht behoben wurde, ob er schon behoben ist weiß ich gar nicht, da ich inzwischen wo anders arbeite.

[re:1] am ++1 --

@Knerd:
Oh, es gibt sicherlich Bugs die so lange nicht gefixt werden, ganz einfach weil die Ressourcen fehlen und schwerere Bugs nunmal wichtiger sind. Habe ich auch oft erlebt, aber das waren nun wirklich Dinge die nicht wichtig waren und nicht solche riesigen Sicherheitslöcher wie in diesem Fall.

[re:1] am ++--1

@Freudian: Dieser Bug war/ist verdammt wichtig, und es waren auch schon fast alle Entwickler in dem Team dran ;)

[o6] am ++4 --3

Also wenn man mich auf Fehler in meinen Werken hinweist bin ich dankbar, nicht entrüstet. Und nachdem es sich hierbei um Sicherheitsaspekte handelt, ist es auch mMn vollkommen legitim, die Informationen nach einer bestimmten Zeit zu veröffentlichen. Desweiteren hat Google nun ihre Fristen überarbeitet, was doch nur zeigt, dass sie offen für Anpassungen sind. In diesen Fall macht Microsoft mit ihren Patchday allerdings mehr Mist. Mir erschließt es sich in keinster Weise, wie das zurückhalten von fertigen Sicherheitspatches(!) gut sein kann. Auch ist mir nicht ganz klar, wie das auf irgendeiner Weise, Arbeit für die Unternehmen ersparen soll. Mehr Updates sollten mehr Testaufwand bedeuten, und wie in vorherigen Kommentaren bereits erwähnt wurde, summiert sich der Aufwand dann einfach auf einen Haufen. Außerdem, wenn manche Unternehmen der Meinung sind, nach diesen Verfahren vorgehen zu müssen, dann könnten sie auch ihren eigenen monatlichen Patchday halten, und erst dann die Updates einspielen. Wieso glaubt Microsoft eigentlich, diese Entscheidung für alle Kunden treffen zu müssen?