Google'i Project Zero turvameeskond ootab nüüd 90 päeva, et avalikustada leitud haavatavused

Google'i Project Zero turvameeskond ootab nüüd 90 päeva, enne kui nad avastatud haavatavused avalikustavad.

Project Zero on Google'i turbeosakond, mis oli asutatud 2014. aastal. Meeskonna põhiülesanne on avastada nullpäeva haavatavused – st haavatavused, mis on teadmata (või mida ei ole käsitlenud) pool, kes peaks olema huvitatud selle leevendamisest. "Heartbleed" on üks selline nullpäeva ärakasutamine, millest kaks eraldi turvameeskonda teatasid OpenSSL-ile privaatselt. Üks neist turvameeskondadest tegutses Google'i all ja viis lõpuks Project Zero loomiseni. Viga avastati 2014. aasta aprillis, mõni päev hiljem avaldati veaga parandatud OpenSSL-i järg koos vea täieliku avalikustamisega. See täielik avalikustamine tähendas, et süsteemid, mida kohe ei värskendatud, olid ohus, kuigi üldiselt on see arendajameeskondade jaoks motivatsiooniks oma tarkvara värskendada.

Sellest ajast alates on Google'i Project Zero töötanud sarnasel viisil. Kui avastatakse nullpäeva viga, teatab meeskond sellest privaatselt igale ettevõttele, kellele tarkvara kuulub. Alates avalikustamise kuupäevast on ettevõttel vea parandamiseks aega 90 päeva. Kui nad parandavad selle enne 90-päevase akna lõppemist, avaldab Google haavatavuse üksikasjad. Kui 90 päeva möödub ilma seda parandamata, vabastab meeskond haavatavuse niikuinii, mille eesmärk on kasutajad on teadlikud probleemidest, mis nende kasutatava tarkvaraga võivad esineda, ning motiveerivad samal ajal ettevõtet töötama kiiremini. Selle süsteemi puhul märkavad müüjad ühte viga ja nagu ka Heartbleedi puhul, on see, et kasutajad (või arendajad) ei pruugi olla võimeline oma süsteeme piisavalt kiiresti uuendama, enne kui nende ohvriks langevad ärakasutamine. Sel põhjusel on Project Zero meeskond teatanud, et aasta jooksul proovivad nad 90 päeva ära oodata, olenemata sellest, kui kiiresti (või aeglaselt) haavatavus on parandatud.

See ei mõjuta Google'i poliitikat, mille kohaselt avalikustatakse vead 7 päeva jooksul, kui nad leiavad tõendeid selle kohta, et viga looduses ära kasutatakse. Samas blogipostituses on Project Zero meeskond teatanud ka mitmetest muudest pisimuudatustest. Google teatab uhkusega, et 97,7% kõigist nende avastatud probleemidest lahendatakse 90-päevase akna jooksul. Täispikka blogipostitust saate lugeda allpool.


Allikas: Google'i projekt null