צוות האבטחה של Google Project Zero ימתין כעת 90 יום כדי לחשוף את כל הפגיעות שימצאו

צוות האבטחה של Google Project Zero ימתין כעת את מלוא 90 הימים לפני שיחשוף נקודות תורפה שהם יגלו.

Project Zero היא חטיבת אבטחה המועסקת על ידי גוגל, שהייתה נוסדה בשנת 2014. המשימה העיקרית של הצוות היא לגלות נקודות תורפה של יום אפס - כלומר, נקודות תורפה שאינן ידועות (או שאינן מטופלות על ידי) הגורם שאמור להיות מעוניין בהפחתה. "דימום לב" הוא ניצול כזה של יום אפס, אשר דווח באופן פרטי על ידי שני צוותי אבטחה נפרדים ל-OpenSSL. אחד מצוותי האבטחה הללו פעל תחת גוגל והוביל בסופו של דבר ליצירת Project Zero. הבאג התגלה באפריל 2014, מבנה של OpenSSL עם הבאג תוקן שוחרר כמה ימים לאחר מכן יחד עם חשיפה מלאה של הבאג. גילוי מלא זה גרם לכך שמערכות שלא עודכנו מיד היו בסיכון, אם כי זה בדרך כלל משמש כמוטיבציה לצוותי מפתחים לעדכן את התוכנה שלהם.

מאז, Project Zero של גוגל עבד בצורה דומה. כאשר מתגלה באג של יום אפס, הצוות מדווח על כך באופן פרטי לאיזו חברה שבבעלותה התוכנה. מתאריך החשיפה, לחברה יש 90 יום לתקן את הבאג. אם יתקנו את זה לפני השלמת חלון 90 הימים, גוגל תשחרר פרטים על הפגיעות. אם יעברו 90 הימים מבלי שזה יתוקן, הצוות ישחרר את הפגיעות בכל מקרה, שנועדה להפוך משתמשים מודעים לבעיות שעלולות להיות לתוכנה שהם משתמשים בהם, ובמקביל גם להניע את החברה לעבודה מהיר יותר. יש פגם אחד שספקים קולטים במערכת הזו, ובדיוק כמו עם Heartbleed, זה שהמשתמשים (או מפתחים) אולי לא יוכלו לשדרג את המערכות שלהם מהר מספיק לפני שיהפכו לקורבן של ניצול. מסיבה זו, צוות Project Zero הכריז שבמשך השנה הם מתנסים בהמתנה של 90 הימים, לא משנה כמה מהר (או איטי) הפגיעות מתוקנת.

המדיניות של גוגל לחשוף באגים תוך 7 ימים אם הם מוצאים ראיות שהבאג מנוצל בטבע אינה מושפעת. באותו פוסט בבלוג, צוות Project Zero הכריז גם על מספר שינויים קטנים אחרים. גוגל גם גאה להכריז ש-97.7% מכל הבעיות שהם מגלים מתוקנים בחלון של 90 יום. אתה יכול לקרוא את הפוסט המלא בבלוג למטה.


מָקוֹר: Google Project Zero