Het Project Zero-beveiligingsteam van Google wacht nu de volledige 90 dagen voordat ze de kwetsbaarheden die ze ontdekken openbaar maken.
Project Zero is een beveiligingsdivisie in dienst van Google, dat was opgericht in 2014. De primaire missie van het team is het ontdekken van zero-day-kwetsbaarheden – dat wil zeggen kwetsbaarheden die onbekend zijn (of niet worden aangepakt door) de partij die geïnteresseerd zou moeten zijn in de beperking ervan. "Hartbloeding" is zo'n zero-day-exploit, dat door twee afzonderlijke beveiligingsteams privé aan OpenSSL werd gerapporteerd. Eén van deze beveiligingsteams opereerde onder Google en leidde uiteindelijk tot de oprichting van Project Zero. De bug werd ontdekt in april 2014, een build van OpenSSL waarin de bug was verholpen, werd een paar dagen later uitgebracht, samen met volledige openbaarmaking van de bug. Deze volledige openbaarmaking betekende dat systemen die niet onmiddellijk werden bijgewerkt, gevaar liepen, hoewel dat doorgaans als motivatie dient voor ontwikkelaarsteams om hun software bij te werken.
Sindsdien heeft Google's Project Zero op een vergelijkbare manier gewerkt. Wanneer een zero-day bug wordt ontdekt, rapporteert het team dit privé aan het bedrijf dat eigenaar is van de software. Vanaf de datum van bekendmaking heeft het bedrijf 90 dagen de tijd om de bug op te lossen. Als ze het probleem oplossen voordat de periode van 90 dagen is verstreken, zal Google details over de kwetsbaarheid vrijgeven. Als de 90 dagen verstrijken zonder dat het probleem wordt opgelost, zal het team de kwetsbaarheid toch vrijgeven, wat de bedoeling is gebruikers zijn zich bewust van de problemen die de software die ze gebruiken kunnen hebben, terwijl ze het bedrijf mogelijk ook motiveren om te werken sneller. Er is één fout die leveranciers waarnemen bij dit systeem, en net als bij Heartbleed zijn het de gebruikers (of ontwikkelaars) zijn mogelijk niet in staat hun systemen snel genoeg te upgraden voordat ze er het slachtoffer van worden exploitatie. Om deze reden heeft het Project Zero-team aangekondigd dat ze dit jaar een proefperiode van 90 dagen aan het uitproberen zijn, ongeacht hoe snel (of langzaam) de kwetsbaarheid wordt verholpen.
Het beleid van Google om bugs binnen zeven dagen bekend te maken als ze bewijs vinden dat de bug in het wild wordt uitgebuit, blijft onaangetast. In dezelfde blogpost heeft het Project Zero-team ook een aantal andere kleine wijzigingen aangekondigd. Google is ook trots om aan te kondigen dat 97,7% van alle problemen die ze ontdekken, binnen de periode van 90 dagen zijn opgelost. Hieronder kun je het volledige blogbericht lezen.
Bron: Google-project nul