Googlen Project Zero -tietoturvatiimi odottaa nyt täydet 90 päivää ennen kuin paljastaa löytämänsä haavoittuvuudet.
Project Zero on Googlen palveluksessa oleva tietoturvaosasto, joka oli perustettu vuonna 2014. Tiimin ensisijainen tehtävä on löytää nollapäivän haavoittuvuuksia – eli haavoittuvuuksia, jotka ovat tuntemattomia (tai joita ei ole käsitelty) taho, jonka pitäisi olla kiinnostunut haavoittuvuuksista. "Heartbleed" on yksi tällainen nollapäivän hyväksikäyttö, jonka kaksi erillistä turvallisuustiimiä ilmoitti yksityisesti OpenSSL: lle. Yksi näistä tietoturvatiimeistä toimi Googlen alaisuudessa ja johti lopulta Project Zero -projektin luomiseen. Virhe löydettiin huhtikuussa 2014, ja muutamaa päivää myöhemmin julkaistiin OpenSSL-versio, jossa oli korjattu virhe, ja virhe paljastettiin kokonaisuudessaan. Tämä täydellinen paljastaminen tarkoitti, että järjestelmät, joita ei päivitetty välittömästi, olivat vaarassa, vaikka se yleensä toimiikin motivaationa kehittäjätiimeille päivittää ohjelmistonsa.
Siitä lähtien Googlen Project Zero on toiminut samalla tavalla. Kun nollapäivän virhe havaitaan, tiimi ilmoittaa siitä yksityisesti ohjelmiston omistavalle yritykselle. Ilmoittamisesta lähtien yhtiöllä on 90 päivää aikaa korjata virhe. Jos he korjaavat sen ennen kuin 90 päivän ajanjakso on päättynyt, Google julkaisee haavoittuvuuden tiedot. Jos 90 päivää kuluu ilman, että sitä korjataan, tiimi vapauttaa haavoittuvuuden joka tapauksessa, jonka tarkoituksena on käyttäjät ovat tietoisia käyttämiensä ohjelmistojen ongelmista ja samalla motivoivat yritystä työskentelemään nopeammin. Tässä järjestelmässä myyjät havaitsevat yhden puutteen, ja aivan kuten Heartbleedissä, käyttäjät (tai kehittäjät) eivät ehkä pysty päivittämään järjestelmiään tarpeeksi nopeasti ennen kuin he joutuvat uhriksi hyväksikäyttöä. Tästä syystä Project Zero -tiimi on ilmoittanut, että he yrittävät vuoden aikana odottaa 90 päivää riippumatta siitä, kuinka nopeasti (tai hitaasti) haavoittuvuus korjataan.
Tämä ei vaikuta Googlen käytäntöön paljastaa vikoja 7 päivän kuluessa, jos se löytää todisteita siitä, että vikaa hyödynnetään luonnossa. Samassa blogikirjoituksessa Project Zero -tiimi on ilmoittanut myös joukosta muita pieniä muutoksia. Google ilmoittaa myös ylpeänä, että 97,7 % kaikista sen löytämistä ongelmista korjataan 90 päivän kuluessa. Voit lukea koko blogikirjoituksen alta.
Lähde: Google Project Zero