科技巨頭撕X：微軟被谷歌撕哭了

    科技巨頭撕X：微軟被谷歌撕哭了！谷歌最近在安全領(lǐng)域頻頻出手，先是公開macOS與iOS核心部分漏洞，后又在通知微軟僅10天后曝光Windows漏洞，大有自封安全領(lǐng)域“網(wǎng)警”的架勢(shì)。然而，谷歌“網(wǎng)警小分隊(duì)”與軟件公司之間的恩恩怨怨絕不止這些。

    最近微軟被谷歌擺了一道，心里很是郁悶。

    本周一，谷歌在 Google Security Blog 中披露了微軟Windows系統(tǒng)的一個(gè)臨危級(jí)別的重大漏洞。當(dāng)然在這之前，谷歌也按規(guī)矩把信息首先告知了微軟。

    一般來說，發(fā)現(xiàn)這種零日漏洞(指還沒有補(bǔ)丁的漏洞)的公司或?qū)＜視?huì)給軟件開發(fā)商預(yù)留60天的反應(yīng)期。

    但令微軟大為光火的是，從告知到公開，谷歌只給了微軟10天的時(shí)間。

    雖然谷歌在博客中只對(duì)漏洞進(jìn)行了很籠統(tǒng)的描述，目的是在警示用戶的同時(shí)又不至于被黑客過于輕易地利用，但不少外媒認(rèn)為，僅僅是披露存在漏洞這一信息，就足以讓更多黑客想方設(shè)法鉆空子。

    那么谷歌為什么要提前公布漏洞呢？

    事情是這樣的：谷歌發(fā)現(xiàn)微軟的漏洞以后，很良心地在第一時(shí)間想到了自己的Chrome用戶。

    由于已經(jīng)有惡意軟件在利用Windows漏洞對(duì)Chrome瀏覽器發(fā)起攻擊，谷歌快馬加鞭趕制出了針對(duì)Chrome瀏覽器的補(bǔ)丁。

    這樣谷歌就面臨一個(gè)選擇：盡早公布Chrome補(bǔ)丁，但這樣就要出賣微軟;不公布補(bǔ)丁，自己用戶就有可能繼續(xù)蒙受損失。谷歌毫不猶豫地選擇了前者。

    這樣看來，谷歌似乎也是出于無奈。

    但這種理由似乎依然沒辦法平息微軟的怒火。漏洞公布后，微軟的一位發(fā)言人當(dāng)即對(duì)谷歌進(jìn)行了譴責(zé)：“谷歌今天公布的信息很可能將用戶置于危險(xiǎn)的境地?！?/p>

    當(dāng)然，發(fā)完脾氣，微軟還是要想辦法挽回面子，于是它決定先把這鍋甩出去。

    周二，微軟執(zhí)行副總裁泰瑞·梅爾森(Terry Myerson)表示：

    Windows漏洞目前遭到了俄羅斯知名黑客組織“奇幻熊(Fancy Bear)”的利用(你們看吧都怪谷歌)，建議用戶立即升級(jí)到Windows 10(順便推銷一把Win 10)，并改用Edge瀏覽器來躲避攻擊。

    同時(shí)，微軟也許諾，系統(tǒng)層面的補(bǔ)丁將于11月8日公布。由于擔(dān)心黑客干擾大選，最近美國(guó)對(duì)俄羅斯黑客這一話題異常敏感，微軟這招甩鍋大法成功地轉(zhuǎn)移了注意力。果然，到了今天，外媒呼啦一下都跑去針對(duì)黑客了。

    現(xiàn)在，邊埋頭開發(fā)補(bǔ)丁，邊努力塑造“受害者”形象的微軟，估計(jì)已經(jīng)在心里默默算起了跟谷歌的“舊賬”。

    早在2010年，谷歌的一名工程師就曾給微軟下過“五日通牒”。只給五天也就算了，讓微軟氣暈的是，這名工程師后來不但公開了漏洞信息，還例舉了一組攻擊代碼，手把手教黑客攻破Windows。

    再后來，谷歌當(dāng)“網(wǎng)警”似乎當(dāng)上了癮，干脆成立了一個(gè)專門用來披露軟件漏洞的項(xiàng)目Project Zero，目的是為用戶創(chuàng)造更加安全的互聯(lián)網(wǎng)環(huán)境。

    自從有了這個(gè)項(xiàng)目，谷歌和一批軟件公司之間的恩恩怨怨就沒有斷過，谷歌和微軟的對(duì)撕也是越來越精彩。

    2014年9月，谷歌發(fā)現(xiàn)了微軟Win 8中的一個(gè)安全漏洞，并告知了微軟。那一次，谷歌給了微軟足足90天的反應(yīng)期。到了去年1月2日，微軟依舊沒有發(fā)布補(bǔ)丁，谷歌二話不說立即公開了漏洞。而且谷歌故伎重演，在披露信息中附上了一段所謂的“驗(yàn)證代碼”，實(shí)際上就是把系統(tǒng)入侵“教程”拱手送給了黑客。

    微軟安全回應(yīng)中心資深總監(jiān)克里斯?貝斯(Chris Betz)隨即發(fā)表了題為《號(hào)召更好的漏洞協(xié)同披露》的長(zhǎng)文博客，寫道：我們?cè)蠊雀韬臀覀儏f(xié)同保護(hù)用戶，將期限放寬到1月13日，屆時(shí)就會(huì)發(fā)布補(bǔ)丁。谷歌提前公布漏洞的做法“與其說是不知變通，不如說是抱有一種幸災(zāi)樂禍的心態(tài)，讓用戶為這一切買單”。

    針對(duì)此事，曾有外媒指出，谷歌將漏洞與攻擊代碼同時(shí)公開的做法違背了“不作惡”原則。還說谷歌Project Zero項(xiàng)目看起來是為公眾利益考慮，實(shí)際上卻是滿滿的強(qiáng)盜邏輯：

    谷歌好像是一個(gè)自封的督查小隊(duì)隊(duì)長(zhǎng)，它跑到你家告訴你房間窗戶沒關(guān)，而且如果你不趕快關(guān)上的話，它就會(huì)在你家門前貼一張海報(bào)昭告天下，讓周圍的犯罪分子都知道你家很容易下手……Project Zero根本不是權(quán)威，倒像是自封的網(wǎng)警。它沒有權(quán)力到處威脅別人。

    經(jīng)過那次事件，谷歌似乎也有反省的姿態(tài)。不久后，谷歌就宣布修改Project Zero在公開漏洞方面的規(guī)定，90天反應(yīng)期這一標(biāo)準(zhǔn)將變得更加靈活，最長(zhǎng)延長(zhǎng)期達(dá)到14天，條件是軟件發(fā)行商承諾能夠在這14天內(nèi)發(fā)布補(bǔ)丁。

    隨后，谷歌也曾在安全團(tuán)隊(duì)的博客中寫道：“只有在軟件發(fā)行商嚴(yán)重超過約定期限時(shí)，才會(huì)公開披露零日漏洞?！?/p>

    事實(shí)上，就在不久前，谷歌就對(duì)蘋果展現(xiàn)出了“寬宏大量”的一面。今年6月，Project Zero發(fā)現(xiàn)了蘋果macOS及iOS系統(tǒng)核心部分漏洞，并報(bào)告給蘋果。蘋果最初要求60天寬限期，谷歌同意了，雙方約定的截止日期為9月21日。

    但到了這個(gè)日期，蘋果又犯拖延癥，谷歌再次為其延長(zhǎng)了寬限期。事實(shí)上，時(shí)至今日，蘋果已經(jīng)獲得了將近5個(gè)月的寬限期，當(dāng)然蘋果現(xiàn)在已經(jīng)解決了這一問題，在剛剛過去的兩周時(shí)間內(nèi)先后發(fā)布了iOS 10.1和macOS 10.12.1。

    然而，最近幾天的事件似乎又讓劇情出現(xiàn)了反轉(zhuǎn)。

    有外媒調(diào)侃道：別被谷歌逮到，只要給它發(fā)現(xiàn)一絲絲別人可能利用你家漏洞的機(jī)會(huì)，你就完了。

    不過，也有人認(rèn)為谷歌這么做很公平。一位名叫Jim Shaver的IT安全專家在博客中指出，反應(yīng)期的長(zhǎng)度一般都是根據(jù)修補(bǔ)漏洞的難度而定，反應(yīng)期過短，開發(fā)商根本來不及開發(fā)補(bǔ)丁，反應(yīng)期過長(zhǎng)，開發(fā)商就會(huì)缺乏動(dòng)力。

    “問題在于，如果谷歌縱容微軟，那么90天會(huì)變成120天、150天……事情當(dāng)然不一定會(huì)這樣發(fā)展，但很可能會(huì)讓開發(fā)商拖拖拉拉，與此同時(shí)，用戶卻要為漏洞承擔(dān)風(fēng)險(xiǎn)，而且渾然不知。”

    2898站長(zhǎng)資源平臺(tái)友情鏈接交換：http://www.afrimangol.com/friendchange.htm