Google a anunţat pe blogul de securitate IT al companiei, prin Chris Evans, că doreşte securizarea cât mai multor programe ale altor producători de software, în ideea de a face un Internet mai sigur pentru toată lumea.
Au cei de la Google şi păcatele lor, însă nu poate spune nimeni că nu investesc în tehnologie, fără să se fi discutat vreodată că ar folosi descoperirile în scopuri nu tocmai curate. Dacă doreau să caute vulnerabilităţi zero-day în programele altora, pentru a le furniza agenţiilor de spionaj, o făceau undeva în umbră, nu era nevoie de a anunţa vreun proiect în acest sens.
Iată cum sună articolul celor de la Google:
“Google consideră securitatea IT drept o prioritate de top. Am investit masiv în securizarea produselor proprii, inclusiv prin criptarea căutărilor, Google Drive, Gmail şi prin transferul datelor criptate între centrele noastre de date. În afară de securizarea produselor noastre, cercetători independenţi şi-au petrecut o parte din timpul lor, descoperind vulnerabilităţi care au condus înspre un Internet mai sigur, ca în cazul bugului Heartbleed.
Succesul acelor cercetări part-time, ne-a convins să creăm o echipă de oameni bine pregătiţi, denumită “Project Zero”.
Ar trebui să poţi folosi Internetul fără frica faptului că organizaţii criminale sau celule sponsorizate de diverse state, exploatează programele pentru a-ţi infecta calculatorul, pentru a-ţi fura secretele sau monitoriza comunicaţiile. Cu toate acestea, în atacurile sofisticate, vedem cum sunt folosite vulnerabilităţi de ultimă oră (0-day) care au ca ţintă, spre exemplu, activişti pentru drepturile omului sau spionajul industrial.
“Project Zero” reprezintă contribuţia noastră, pentru a pune lucrurile în mişcare. Obiectivul este să reducem într-un mod semnificativ numărul persoanelor afectate de aceste atacuri. Angajăm cei mai buni cercetători din domeniul securităţii IT, care-şi vor sacrifica în totalitate timpul pentru a îmbunătăţi securitatea pe Internet.
Nu oferim recompense particulare în cazul acestui proiect şi vom încerca să securizăm orice software, în funcţie de câţi oameni îl folosesc, concentrându-ne atenţia asupra tehnicilor, ţintelor şi motivaţiei atacatorilor. Vom folosi metode standard, cum ar fi descoperirea şi raportarea unui număr cât mai mare de vulnerabilităţi. În plus, vom cerceta noi căi de stopare a atacurilor, de exploatare a programelor, de analiză software şi orice altceva despre care cercetătorii noştri consideră că merită osteneala.
Vom face toate aceste lucruri într-un mod transparent. Fiecare bug găsit va fi completat într-o bază de date externă. Vom raporta aceste vulnerabilităţi numai către proprietarii programelor, nu către companii terţe. De îndată ce acel bug va deveni public, adică atunci când va exista un patch pentru el, veţi putea monitoriza timpul în care fiecare dezvoltator de software rezolvă problema, veţi putea vedea orice discuţie despre exploatabilitate, precum şi istoria vulnerabilităţilor. De asemenea, încercăm să trimitem aceste vulnerabilităţi cât mai repede către dezvoltatori şi să lucrăm împreună cu ei pentru a le rezolva într-un timp rezonabil.
Angajăm. Credem că majoritatea cercetătorilor din sfera securităţii IT, iubesc ceea ce fac. Noi considerăm că venim cu un lucru nou, fiindcă le permitem să facă ceea ce iubesc, dar într-un spaţiu deschis şi fără a fi distraşi”.
Teoria pare destul de în regulă, să vedem cum va fi cu practica.
Şi chiar dacă practica va fi de succes, tot am unele nedumeriri în legătură cu bunele intenţii, care se pot transforma extrem de rapid în lucruri negative.
Este cunoscut faptul că mulţi oameni nu dau mare importanţă actualizării programelor, asta înseamnă că dacă tu, Google, strângi unii dintre cei mai buni oameni din domeniul securităţii IT şi îi pui să găsească vulnerabilităţi în programele altor companii, poţi înmulţi numărul atacurilor, chiar fără să vrei.
Metoda este extrem de simplă: apare vulnerabilitatea, compania respectivă lansează o versiune care să o acopere, hackerii fac reverse engineering pentru a afla bugul, după care îl vor folosi pentru a lua la ţintă calculatoarele celor care nu-şi actualizează programul.
Foto: Khaled