El equipo de seguridad del Proyecto Cero de Google ahora esperará los 90 días completos antes de revelar las vulnerabilidades que descubra.
Project Zero es una división de seguridad empleada por Google, que fue fundada en 2014. La misión principal del equipo es descubrir vulnerabilidades de día cero, es decir, vulnerabilidades que la parte que debería estar interesada en mitigar desconocen (o no abordan). "Heartbleed" es uno de esos exploits de día cero, que fue informado de forma privada por dos equipos de seguridad separados a OpenSSL. Uno de estos equipos de seguridad operó bajo la dirección de Google y finalmente condujo a la creación del Proyecto Cero. El error se descubrió en abril de 2014, unos días después se lanzó una versión de OpenSSL con el error solucionado junto con la divulgación completa del error. Esta divulgación completa significó que los sistemas que no se actualizaron inmediatamente estaban en riesgo, aunque eso generalmente sirve como motivación para que los equipos de desarrolladores actualicen su software.
Desde entonces, el Proyecto Cero de Google ha funcionado de manera similar. Cuando se descubre un error de día cero, el equipo lo informa de forma privada a la empresa propietaria del software. A partir de la fecha de divulgación, la empresa tiene 90 días para corregir el error. Si lo solucionan antes de que se complete el período de 90 días, Google publicará detalles de la vulnerabilidad. Si pasan 90 días sin que se solucione, el equipo liberará la vulnerabilidad de todos modos, lo que pretende hacer Los usuarios son conscientes de los problemas que puede tener el software que están utilizando, al tiempo que también motivan potencialmente a la empresa a trabajar. más rápido. Hay un defecto que los proveedores perciben en este sistema y, al igual que con Heartbleed, es que los usuarios (o desarrolladores) pueden no ser capaces de actualizar sus sistemas lo suficientemente rápido antes de convertirse en víctimas de explotación. Por esta razón, el equipo de Project Zero ha anunciado que durante el año, estarán probando esperar los 90 días sin importar qué tan rápido (o lento) se solucione la vulnerabilidad.
La política de Google de revelar errores en 7 días si encuentran evidencia de que el error está siendo explotado en la naturaleza no se ve afectada. En la misma publicación de blog, el equipo de Project Zero también anunció una serie de otros pequeños cambios. Google también se enorgullece de anunciar que el 97,7 % de todos los problemas que descubren se solucionan en un plazo de 90 días. Puede leer la publicación completa del blog a continuación.
Fuente: Proyecto Cero de Google