ทีมรักษาความปลอดภัย Project Zero ของ Google จะรอ 90 วันเพื่อเปิดเผยช่องโหว่ที่พบ

ทีมรักษาความปลอดภัย Project Zero ของ Google จะรอเป็นเวลา 90 วันก่อนจะเปิดเผยช่องโหว่ที่พวกเขาค้นพบ

Project Zero เป็นแผนกรักษาความปลอดภัยที่ Google ว่าจ้าง ก่อตั้งขึ้นในปี พ.ศ. 2557. ภารกิจหลักของทีมคือการค้นหาช่องโหว่แบบ Zero-day นั่นคือช่องโหว่ที่ไม่ทราบ (หรือไม่ได้รับการแก้ไขโดย) ฝ่ายที่ควรสนใจในการบรรเทาผลกระทบ “เลือดหัวใจ” นั่นเอง การใช้ประโยชน์แบบซีโรเดย์อย่างหนึ่งดังกล่าวซึ่งได้รับการรายงานเป็นการส่วนตัวโดยทีมรักษาความปลอดภัยสองทีมที่แยกจากกันไปยัง OpenSSL หนึ่งในทีมรักษาความปลอดภัยเหล่านี้ดำเนินงานภายใต้ Google และนำไปสู่การสร้าง Project Zero ในที่สุด ข้อบกพร่องนี้ถูกค้นพบในเดือนเมษายนปี 2014 ส่วน OpenSSL เวอร์ชันที่มีการแก้ไขข้อบกพร่องนั้นได้รับการเผยแพร่ในอีกไม่กี่วันต่อมาพร้อมกับการเปิดเผยข้อบกพร่องทั้งหมด การเปิดเผยข้อมูลอย่างเต็มรูปแบบนี้หมายความว่าระบบที่ไม่ได้รับการอัปเดตทันทีมีความเสี่ยง แม้ว่าโดยทั่วไปแล้วจะเป็นแรงจูงใจให้ทีมนักพัฒนาอัปเดตซอฟต์แวร์ของตนก็ตาม

ตั้งแต่นั้นมา Project Zero ของ Google ก็ทำงานในลักษณะเดียวกัน เมื่อพบจุดบกพร่องแบบซีโร่เดย์ ทีมงานจะรายงานจุดบกพร่องนั้นเป็นการส่วนตัวไปยังบริษัทใดก็ตามที่เป็นเจ้าของซอฟต์แวร์ นับจากวันที่เปิดเผย บริษัทมีเวลา 90 วันในการแก้ไขข้อบกพร่อง หากแก้ไขก่อนกรอบเวลา 90 วันจะเสร็จสมบูรณ์ Google จะเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าว หากผ่านไป 90 วันโดยไม่ได้รับการแก้ไข ทีมงานจะปล่อยช่องโหว่ต่อไปซึ่งตั้งใจจะทำให้ ผู้ใช้ตระหนักถึงปัญหาของซอฟต์แวร์ที่พวกเขาใช้อยู่ ขณะเดียวกันก็อาจเป็นแรงจูงใจให้บริษัททำงานด้วย เร็วขึ้น. มีข้อบกพร่องประการหนึ่งที่ผู้ขายรับรู้เกี่ยวกับระบบนี้ และเช่นเดียวกับ Heartbleed ก็คือผู้ใช้รายนั้น (หรือนักพัฒนา) อาจไม่สามารถอัพเกรดระบบได้เร็วพอก่อนที่จะตกเป็นเหยื่อของ การแสวงหาผลประโยชน์ ด้วยเหตุนี้ ทีมงาน Project Zero จึงได้ประกาศว่าในปีนี้ พวกเขากำลังทดลองใช้งานโดยรอเป็นเวลา 90 วัน ไม่ว่าจะแก้ไขช่องโหว่ได้เร็ว (หรือช้า) แค่ไหนก็ตาม

นโยบายของ Google ในการเปิดเผยจุดบกพร่องภายใน 7 วัน หากพบหลักฐานว่าจุดบกพร่องนั้นถูกนำไปใช้ประโยชน์ในป่านั้นไม่ได้รับผลกระทบ ในบล็อกโพสต์เดียวกันนี้ ทีมงาน Project Zero ได้ประกาศการเปลี่ยนแปลงเล็กๆ น้อยๆ อื่นๆ อีกจำนวนหนึ่ง Google มีความภูมิใจที่จะประกาศว่า 97.7% ของปัญหาทั้งหมดที่พวกเขาค้นพบได้รับการแก้ไขภายในกรอบเวลา 90 วัน คุณสามารถอ่านโพสต์บล็อกแบบเต็มด้านล่าง


แหล่งที่มา: Google โครงการศูนย์