Project Zero е проектът на Google, който е известен с три неща:

  • Открива най-големите уязвимости
  • Открива проблеми всеки ден
  • Дава на компаниите само 90 дена да поправят дупките, преди информацията да стане публична

Екипът е сформиран след като са открити редица слаби места в софтуер за масова употреба, по време на проучвания за други проблеми. Пример за такова откритие е „Heartbleed„. Специалистите започват да работят на пълен работен ден, за да откриват още уязвимости – не само в софтуер на Google. Анонсът на инициативата е на 15 юли 2014.

Всички големи компании, от Microsoft през Apple до Intel, са получавали доклад от Project Zero със следното съобщение:

„Този бъг е обект на 90-дневен срок за разкриване. След като те минат или след като проблемът бъде решен, а болшинството засегнати потребители имат достъп до решението (което се случи първо), информацията ще стане публична“

От там нататък, компаниите могат да решат да работят с екипа на инициативата, да се справят сами или да не правят нищо. PZ събира максимално много информация за всяка уязвимост – как е намерена, прави се демонстрация на пробива, предават от TechSpot.

Към 30-ти юли, има публикувани доклади за 1585 поправени бъга и 66 непоправени. 1411 от 1585-те са поправени в рамките на 90-дневния срок. Другите 174 са оправени в рамките на 14-дневен гратисен срок, който изследователите дават, когато смятат, че компанията е близо до целта. Срокът е удължен само за Spectre/Meltdown и task_t пробивите, тъй като дупките там даваха достъп до най-големите тайни на операционната система.

Именно Spectre и Meltdown са двете най-сериозни открития – не само на този екип, но може би и в историята

При тях срокът за отстраняване беше удължен до 216 дни. Имаше критики, че информацията за тях е пусната преди пачовете да са достъпни за всички. Използването на уязвимостта се оказва твърде сложно и няма документирани случаи на успешни атаки, въпреки случилото се.

В този материал може да прочетете повече за това как работеха двете дупки. Тук и тук може да намерите обзор от всички материали по темата, за да проследите хронологично как производителите на процесори реагираха на заплахата и други интересни неща около случая.

Хората от проекта са наясно, че публикуването на информацията е донякъде вредно

Това обаче е желан ефект. Компаниите са изплашени и знаят какво ще стане, ако не си свършат работата. Ако знаят, че нищо няма да излезе наяве, може да не поправят нищо.

„Опитахме се да калибрираме сроковете, така че да амбицират, да са честни и да са реалистични.“

Има проучвания, които са в полза на този подход. Едно от тях анализира над 4300 уязвимости и открива, че между 15% и 20% от тях се откриват поне два пъти в рамките на година. От различни хора. При Android 14% от проблемите се откриват отново от някой друг в рамките на 60 дни, а 20% в рамките на 90 дни. За Chrome има 13% в рамките на 60 дни. Да, някой изследовател може да открие проблема пръв, но е много вероятно това да направи и някой злонамерен хакер, ако не е решен междувременно.

Информацията, която се споделя, не може директно да се използва за експлойт

„Project Zero не публикува информацията във формат „стъпка по стъпка“. Публикува се една част от целия процес. Атакуващият ще има нужда от значителни умения и усилия, за да превърне тази информация в надежден експлойт. Хората, които са способни на това, могат да го направят и без да прочетат въпросната информация публично.“

Друга голяма критика е за публикуването на информацията, след като за уязвимостта е изработен patch. Често се случва пачовете да не са перфектни. Същия проблем може да се появи и на друго място. От организацията смятат, че с информацията може да се помогне на много специалисти да разберат по-подробно различните пробиви. Хакерите могат да стигнат до тази информация с малко работа по самия patch.

“Атакуващите имат голяма ползва да инвестират време в анализ на кръпки по сигурността. Така те извличат информация за уязвимостите чрез изходния код. Бързо могат да си осигурят пълната информация, дори ако разработчикът и открилият проблема запазят информацията за себе си.

Тъй като тази информация се използва по различен начин от атакуващите и тези, които трябва да предпазват от атаки, ние не очакваме вторите да могат да си позволят да правят толкова дълбоки анализи.

Информацията, която пускаме, може да бъде използвана от тях, за да подобрят защитата си, да тестват ефективността на поправките. Могат да направят информирано решение за това дали да преминат към даден patch или да мигрират временно към друг софтуер.“, разказват още от Project Zero.

Понякога в една война трябва да се предприемат рискове, за да се стигне до крайния успех. Не си правете илюзии. Битката между експертите по сигурност и хакерите е истинска, сериозна и с големи последствия.

Може да се каже, че поне за сега този проект е успешен и изпълнява предназначението си. Не е ясно да има кой знае какви лоши последствия от дейността му. Със сигурност хората там ще продължат да работят по същия начин, освен ако не станем свидетели на някой голям инцидент. Да се надяваме това да не стане, защото е в интерес на целия Интернет.

Одобрявате ли инициативата? Бихте ли променили нещо в начина на работа? Когато се появи някаква дупка в сигурността, какви мерки взимате, за да се предпазите?

1
ДОБАВИ КОМЕНТАР

avatar
1 Коментари
0 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
mitkom1
mitkom1

А пък МС и толкова не могат.За 34 години не могат си оправят ОС ,а гугъл са магьосници