Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Zatrudniony w Google'u specjalista ds. bezpieczeństwa, Tavis Ormandy, został skrytykowany zarówno przez Microsoft jak i niezależnych badaczy za nieodpowiedzialne zachowanie i naruszenie zasad etyki zawodowej, które propaguje jego pracodawca. Ormandy'emu dostało się za to, że ujawnił lukę w mechanizmie whitelist Windows zaledwie w pięć dni po tym, jak poinformował o niej Microsoft. Koncern z Redmond nie miał zatem szans, by zbadać dziurę oraz przygotować i przetestować poprawki.

Ormandy poinformował Microsoft w sobotę, a już w najbliższy czwartek opublikował szczegółowe informacje wraz z przygotowanym przez siebie prototypowym szkodliwym kodem.

Ormandy broni się mówiąc, że gdyby nie opublikował szkodliwego kodu, jego informacje zostałaby zlekceważona. Dodaje też, że działał we własnym imieniu i Google nie ma z tym nic wspólnego.

Microsoft obawia się, że działanie Ormandy'ego doprowadzi do rozpoczęcia szeroko zakrojonych ataków na użytkowników Windows. Wszystko wskazuje na to, że atak można przeprowadzić nie tylko za pomocą Internet Explorera, ale wszystkich najpopularniejszych przeglądarek. Microsoft opublikował dokument, w którym opisał sposób na ominięcie niebezpieczeństwa i pracuje nad łatą. Ormandy udostępnił prototypową łatę, jednak zdaniem Microsoftu nie działa ona należycie.

Tymczasem Google'owskiego eksperta krytykują też jego koledzy po fachu. Robert Hansen, szef SecTheory napisał na blogu firmy Kaspersky, że nie jest rozsądne spodziewać się, by łata powstała w tak krótkim czasie. Google w przeszłości był najbardziej aktywnym propagatorem idei odpowiedzialnego ujawniania luk. Być może dla Google'a wszystko jest w porządku, ale dla innych specjalistów tak nie jest. Hipokryzja jest zadziwiająca - stwierdził Hansen. Wtóruje mu Andrew Storms, dyrektor ds. bezpieczeństwa w firmie nCircle. Przypomina on, że nie po raz pierwszy Ormandy zdecydowanie za wcześnie ujawnia szczegóły dziur w produktach Microsoftu. Tavis próbuje twierdzić, że jego działanie nie są działaniami jego pracodawcy, ale musi dziwić fakt, że w ten sposób chętnie dolewa oliwy do ognia, podsyca walkę pomiędzy Microsoftem i Google'em oraz rysuje negatywny obraz bezpieczeństwa produktów Microsoftu - stwierdza Storms.

Rzecznik prasowy Google'a również próbuje odcinać się od akcji Ormandy'ego. Jednak trudno nie zauważyć, że działanie Ormandy'ego zbiega się z czasem z ogłoszeniem przez Google'a rezygnacji z systemu Windows. Wyszukiwarkowy koncern wspomniał przy tym o względach bezpieczeństwa, jednak eksperci nie wierzą w szczerość takiej motywacji.

Nie wszyscy jednak potępiają Ormandy'ego tak zdecydowanie. H.D. Moore, twórca Metasploit, uważa, że najlepszym sposobem na zmuszenie producenta oprogramowania do szybkiej publikacji łaty jest wydanie prototypowego szkodliwego kodu. Ostrożny w potępianiu jest też Gordon Lyon, niezależny ekspert ds. bezpieczeństwa i były szef Computer Professionals for Social Responsability. Stwierdził on, że dzięki działaniu pracownika Google'a jego komputer jest bezpieczny, a wszyscy użytkownicy mogą zabezpieczyć się, sięgając po poradę Microsoftu i stosując zawarty w niej sposób na obejście luki.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Google ujawniło swoją pilnie strzeżoną tajemnicę. Koncern, jako pierwszy dostawca chmury obliczeniowej i – prawdopodobnie – pierwszy wielki właściciel centrów bazodanowych, zdradził ile wody do chłodzenia zużywają jego centra obliczeniowe. Dotychczas szczegóły dotyczące zużycia wody były traktowane jak tajemnica handlowa.
      Firma poinformowała właśnie, że w ubiegłym roku jej centra bazodanowe na całym świecie zużyły 16,3 miliarda litrów wody. Czy to dużo czy mało? Google wyjaśnia, że to tyle, ile zużywanych jest rocznie na utrzymanie 29 pól golfowych na południowym zachodzie USA. To też tyle, ile wynosi roczne domowe zużycie 446 000 Polaków.
      Najwięcej, bo 3 miliardy litrów rocznie zużywa centrum bazodanowe w Council Bluffs w stanie Iowa. Na drugim miejscu, ze zużyciem wynoszącym 2,5 miliarda litrów, znajduje się centrum w Mayes County w Oklahomie. Firma zapowiada, że więcej szczegółów na temat zużycia wody przez jej poszczególne centra bazodanowe na świecie zdradzi w 2023 Environmental Report i kolejnych dorocznych podsumowaniach.
      Wcześniej Google nie podawało informacji dotyczących poszczególnych centrów, obawiając się zdradzenia w ten sposób ich mocy obliczeniowej. Od kiedy jednak zdywersyfikowaliśmy nasze portfolio odnośnie lokalizacji i technologii chłodzenia, zużycie wody w konkretnym miejscu jest w mniejszym stopniu powiązane z mocą obliczeniową, mówi Ben Townsend, odpowiedzialny w Google'u za infrastrukturę i strategię zarządzania wodą.
      Trudno się jednak oprzeć wrażeniu, że Google'a do zmiany strategii zmusił spór pomiędzy gazetą The Oregonian a miastem The Dalles. Dziennikarze chcieli wiedzieć, ile wody zużywają lokalne centra bazodanowe Google'a. Miasto odmówiło, zasłaniając się tajemnicą handlową. Gazeta zwróciła się więc do jednego z prokuratorów okręgowych, który po rozważeniu sprawy stanął po jej stronie i nakazał ujawnienie danych. Miasto, któremu Google obiecało pokrycie kosztów obsługi prawnej, odwołało się od tej decyzji do sądu. Później jednak koncern zmienił zdanie i poprosił władze miasta o zawarcie ugody z gazetą. Po roku przepychanek lokalni mieszkańcy dowiedzieli się, że Google odpowiada za aż 25% zużycia wody w mieście.
      Na podstawie dotychczas ujawnionych przez Google'a danych eksperci obliczają, że efektywność zużycia wody w centrach bazodanowych firmy wynosi 1,1 litra na kilowatogodzinę zużytej energii. To znacznie mniej niż średnia dla całego amerykańskiego przemysłu wynosząca 1,8 l/kWh.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Microsoft zatrudnił byłego projektanta układów scalonych Apple'a, , który wcześniej pracował też w firmach Arm i Intel,  trafił do grupy kierowanej przez Raniego Borkara, zajmującej się rozwojem chmury Azure. Zatrudnienie Filippo wskazuje, że Microsoft chce przyspieszyć prace nad własnymi układami scalonymi dla serwerów tworzących oferowaną przez firmę chmurę. Koncern idzie zatem w ślady swoich największych rywali – Google'a i Amazona.
      Obecnie procesory do serwerów dla Azure są dostarczane przez Intela i AMD. Zatrudnienie Filippo już odbiło się na akcjach tych firm. Papiery Intela straciły 2% wartości, a AMD potaniały o 1,1%.
      Filippo rozpoczął pracę w Apple'u w 2019 roku. Wcześniej przez 10 lat był głównym projektantem układów w firmie ARM. A jeszcze wcześniej przez 5 lat pracował dla Intela. To niezwykle doświadczony inżynier. Właśnie jemu przypisuje się wzmocnienie pozycji układów ARM na rynku telefonów i innych urządzeń.
      Od niemal 2 lat wiadomo, że Microsoft pracuje nad własnymi procesorami dla serwerów i, być może, urządzeń Surface.
      Giganci IT coraz częściej starają się projektować własne układy scalone dla swoich urządzeń, a związane z pandemią problemy z podzespołami tylko przyspieszyły ten trend.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Prawnikom Google'a nie udało się doprowadzić do odrzucenia przez sąd pozwu związanego z nielegalnym gromadzeniem danych użytkowników przez koncern. Sędzia Lucy Koh uznała, że Google nie poinformował użytkowników, iż zbiera ich dane również wtedy, gdy wykorzystują w przeglądarce tryb anonimowy.
      Powodzi domagają się od Google'a i konglomeratu Alphabet co najmniej 5 miliardów dolarów odszkodowania. Twierdzą, że Google potajemnie zbierał dane za pośrednictwem Google Analytics, Google Ad Managera, pluginów oraz innych programów, w tym aplikacji mobilnych. Przedstawiciele Google'a nie skomentowali jeszcze postanowienia sądu. Jednak już wcześniej mówili, że pozew jest bezpodstawny, gdyż za każdym razem, gdy użytkownik uruchamia okno incognito w przeglądarce, jest informowany, że witryny mogą zbierać informacje na temat jego działań.
      Sędzia Koh już wielokrotnie rozstrzygała spory, w które były zaangażowane wielkie koncerny IT. Znana jest ze swojego krytycznego podejścia do tego, w jaki sposób koncerny traktują prywatność użytkowników. Tym razem na decyzję sędzi o zezwoleniu na dalsze prowadzenie procesu przeciwko Google'owi mogła wpłynąć odpowiedź prawników firmy. Gdy sędzia Koh zapytała przedstawicieli Google'a, co koncern robi np. z danymi, które użytkownicy odwiedzający witrynę jej sądu wprowadzają w okienku wyszukiwarki witryny, ci odpowiedzieli, że dane te są przetwarzane zgodnie z zasadami, na jakie zgodzili się administratorzy sądowej witryny.
      Na odpowiedź tę natychmiast zwrócili uwagę prawnicy strony pozywającej. Ich zdaniem podważa ona twierdzenia Google'a, że użytkownicy świadomie zgadzają się na zbieranie i przetwarzanie danych. Wygląda na to, że Google spodziewa się, iż użytkownicy będą w stanie zidentyfikować oraz zrozumieć skrypty i technologie stosowane przez Google'a, gdy nawet prawnicy Google'a, wyposażeni w zaawansowane narzędzia i olbrzymie zasoby, nie są w stanie tego zrobić, stwierdzili.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Przed dwoma laty Microsoft rozpoczął interesujący eksperyment. Firma zatopiła u wybrzeża Orkadów centrum bazodanowe. Teraz wydobyto je z dna, a eksperci przystąpili do badań dotyczących jego wydajności i zużycia energii. Już pierwsze oceny przyniosły bardzo dobre wiadomości. W upakowanym serwerami stalowym cylindrze dochodzi do mniejszej liczby awarii niż w konwencjonalnym centrum bazodanowym.
      Okazało się, że od maja 2018 roku zawiodło jedynie 8 a 855 serwerów znajdujących się w cylindrze. Liczba awarii w podwodnym centrum bazodanowym jest 8-krotnie mniejsza niż w standardowym centrum na lądzie, mówi Ben Cutler, który stał na czele eksperymentu nazwanego Project Natick. Eksperci spekulują, że znacznie mniejszy odsetek awarii wynika z faktu, że ludzie nie mieli bezpośredniego dostępu do serwerów, a w cylindrze znajdował się azot, a nie tlen, jak ma to miejsce w lądowych centrach bazodanowych. Myślimy, że chodzi tutaj o atmosferę z azotu, która zmniejsza korozję i jest chłodna oraz o to, że nie ma tam grzebiących w sprzęcie ludzi, mówi Cutler.
      Celem Project Natic było z jednej strony sprawdzenie, czy komercyjnie uzasadnione byłoby tworzenie niewielkich podwodnych centrów bazodanowych, która miałyby pracować niezbyt długo. Z drugiej strony chciano sprawdzić kwestie efektywności energetycznej chmur obliczeniowych. Centra bazodanowe i chmury obliczeniowe stają się coraz większe i zużywają coraz więcej energii. Zużycie to jest kolosalne. Dość wspomnieć, że miliard odtworzeń klipu do utworu „Despacito” wiązało się ze zużyciem przez oglądających takiej ilości energii, jaką w ciągu roku zużywa 40 000 amerykańskich gospodarstw domowych. W skali całego świata sieci komputerowe i centra bazodanowe zużywają kolosalne ilości energii.
      Na Orkadach energia elektryczna pochodzi z wiatru i energii słonecznej. Dlatego to właśnie je Microsoft wybrał jako miejsce eksperymentu. Mimo tego, podwodne centrum bazodanowe nie miało żadnych problemów z zasilaniem. Wszystko działało bardzo dobrze korzystając ze źródeł energii, które w przypadku centrów bazodanowych na lądzie uważane są za niestabilne, mówi jeden z techników Project Natick, Spencer Fowers. Mamy nadzieję, że gdy wszystko przeanalizujemy, okaże się, że nie potrzebujemy obudowywać centrów bazodanowych całą potężną infrastrukturą, której celem jest zapewnienie stabilnych dostaw energii.
      Umieszczanie centrów bazodanowych pod wodą może mieć liczne zalety. Oprócz już wspomnianych, takie centra mogą być interesującą alternatywą dla firm, które narażone są na katastrofy naturalne czy ataki terrorystyczne. Możesz mieć centrum bazodanowe w bardziej bezpiecznym miejscu bez potrzeby inwestowania w całą infrastrukturę czy budynki. To rozwiązanie elastyczne i tanie, mówi konsultant projektu, David Ross. A Ben Cutler dodaje: Sądzimy, że wyszliśmy poza etap eksperymentu naukowego. Teraz pozostaje proste pytanie, czy budujemy pod wodą mniejsze czy większe centrum bazodanowe.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Microsoft ponownie będzie dostarczał użytkownikom Windows 10 poprawki niezwiązane z bezpieczeństwem. Jak wcześniej informowaliśmy, w związku z pandemią koronawirusa koncern zmienił sposób pracy i od maja dostarczał wyłącznie poprawki związane z bezpieczeństwem.
      Chris Morrissey z Microsoftu ogłosił na firmowym blogu, że od lipca dostarczane będą wszystkie poprawki dla Windows 10 oraz Windows Server dla wersji 1809 i nowszych. Kalendarz ich publikacji będzie taki, jak wcześniej, zatem dostęp do nich zyskamy w Update Tuesday. Koncern zapowiada też pewne zmiany, które mają na celu uproszczenie procesu aktualizacji.
      Zmiany takie obejmą nazewnictwo poprawek oraz sposób dostarczania poprawek do testów dla firm i organizacji. Zmian mogą się też spodziewać osoby i organizacja biorące udział w Windows Insider Program oraz Windows Insider Program for Business.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...