Η ομάδα ασφαλείας του Project Zero της Google θα περιμένει τώρα ολόκληρες 90 ημέρες πριν αποκαλύψει τα τρωτά σημεία που ανακαλύπτει.
Το Project Zero είναι ένα τμήμα ασφαλείας που απασχολείται από την Google ιδρύθηκε το 2014. Η πρωταρχική αποστολή της ομάδας είναι να ανακαλύψει τρωτά σημεία zero-day - δηλαδή τρωτά σημεία που είναι άγνωστα (ή δεν έχουν αντιμετωπιστεί από) το μέρος που θα πρέπει να ενδιαφέρεται για τον μετριασμό τους. «Heartbleed» είναι μια τέτοια εκμετάλλευση μηδενικής ημέρας, το οποίο αναφέρθηκε ιδιωτικά από δύο ξεχωριστές ομάδες ασφαλείας στο OpenSSL. Μία από αυτές τις ομάδες ασφαλείας λειτουργούσε υπό την Google και τελικά οδήγησε στη δημιουργία του Project Zero. Το σφάλμα ανακαλύφθηκε τον Απρίλιο του 2014, μια έκδοση του OpenSSL με διορθωμένο το σφάλμα κυκλοφόρησε λίγες μέρες αργότερα μαζί με την πλήρη αποκάλυψη του σφάλματος. Αυτή η πλήρης αποκάλυψη σήμαινε ότι τα συστήματα που δεν ενημερώθηκαν αμέσως ήταν σε κίνδυνο, αν και αυτό γενικά χρησιμεύει ως κίνητρο για τις ομάδες προγραμματιστών να ενημερώσουν το λογισμικό τους.
Από τότε, το Project Zero της Google λειτούργησε με παρόμοιο τρόπο. Όταν ανακαλύπτεται ένα σφάλμα μηδενικής ημέρας, η ομάδα το αναφέρει ιδιωτικά σε οποιαδήποτε εταιρεία κατέχει το λογισμικό. Από την ημερομηνία αποκάλυψης, η εταιρεία έχει 90 ημέρες για να διορθώσει το σφάλμα. Εάν το διορθώσουν πριν συμπληρωθεί το παράθυρο των 90 ημερών, η Google θα δημοσιεύσει λεπτομέρειες σχετικά με την ευπάθεια. Εάν περάσουν οι 90 ημέρες χωρίς να διορθωθεί, η ομάδα θα απελευθερώσει την ευπάθεια ούτως ή άλλως, η οποία έχει σκοπό να χρήστες που γνωρίζουν τα προβλήματα που μπορεί να έχει το λογισμικό που χρησιμοποιούν, ενώ δυνητικά παρακινούν την εταιρεία να εργαστεί γρηγορότερα. Υπάρχει ένα ελάττωμα που αντιλαμβάνονται οι πωλητές με αυτό το σύστημα, και ακριβώς όπως με το Heartbleed, είναι ότι οι χρήστες (ή οι προγραμματιστές) ενδέχεται να μην είναι σε θέση να αναβαθμίσουν τα συστήματά τους αρκετά γρήγορα πριν πέσουν θύμα εκμετάλλευση. Για το λόγο αυτό, η ομάδα του Project Zero ανακοίνωσε ότι για το έτος, δοκιμάζουν την αναμονή των 90 ημερών ανεξάρτητα από το πόσο γρήγορα (ή αργά) επιδιορθωθεί η ευπάθεια.
Η πολιτική της Google να αποκαλύπτει σφάλματα σε 7 ημέρες, εάν βρουν στοιχεία ότι το σφάλμα εκμεταλλεύεται στη φύση δεν επηρεάζεται. Στην ίδια ανάρτηση στο blog, η ομάδα του Project Zero ανακοίνωσε επίσης μια σειρά από άλλες μικρές αλλαγές. Η Google είναι επίσης περήφανη που ανακοινώνει ότι το 97,7% όλων των προβλημάτων που ανακαλύπτει επιδιορθώνονται εντός του παραθύρου των 90 ημερών. Μπορείτε να διαβάσετε την πλήρη ανάρτηση του ιστολογίου παρακάτω.
Πηγή: Google Project Zero