Google formirao hakerski tim koji treba da pronalazi 0-day propuste pre kriminalaca i špijunskih agencija

Vesti, 16.07.2014, 01:10 AM

Google je objavio da je formirao Project Zero, tim sastavljen od elitnih hakera čiji će zadatak biti da pronalaze zero-day propuste u Googleovim ali i proizvodima drugih proizvođača tako da oni mogu biti ispravljeni pre nego što ih iskoriste oni koji imaju loše namere.

Hakerski tim predvodi Kris Evans, bivši šef Googleovog tima za bezbednost, a u timu su i Ben Hauks, Tavis Ormandi, Jan Bir i Džordž Hoc koji su se već dokazali u brojnim prilikama i koji su zaslužni za otkrivanje brojnih bezbednosnih propusta u proizvodima velikih kompanija kao što su Google, Adobe, Microsoft, Apple i druge.

“Trebalo bi da bude moguće da se web koristi bez straha da će kriminalci ili oni koje finansiraju države iskorišćavati softverske bagove da bi zarazili vaš računar, ukrali slike ili nadzirali vašu komunikaciju”, kaže Kris Evans. ”Ali u sofisticiranim napadima vidimo da se koriste zero-day ranjivosti za napade na, na primer, borce za ljudska prava ili za sprovođenje industrijske špijunaže. To treba zaustaviti”, smatra Evans.

Cilj ove grupe je da se poboljša bezbednost svakog softvera koji ima veliku bazu korisnika.

Hakerski tim je otvoren za nove talente. Ako projekat krene u dobrom pravcu, očekuje se da se tim proširi i da to bude veća grupa istraživača koji rade puno radno vreme u kancelariji opremljenoj svim neophodnim alatima za pronalaženje softverskih propusta.

Cilj projekta je prvenstveno altruistički, ali to nije i jedina svrha formiranja ovog tima. Evans kaže da je jačanje poverenja korisnika u bezbednost weba takođe korisno i za Google. Bezbednosne propuste ne koriste samo sajber kriminalci, pokazala su Snoudenova otkrića. Zahvaljujući Snoudenu saznali smo da ove propuste takođe koriste i obaveštajne agencije za potrebe špijuniranja.

U tom smislu, Project Zero bi trebalo da učvrsti poverenje u Googleov stav o unapređenju zaštite privatnosti korisničkih podataka.

Pošto je lanac jak koliko i njegova najslabija karika, i Googleovi proizvodi su takođe podložni napadima ako je third-party kod uključen u njih.

Hakerski tim daće kompanijama u čijim proizvodima budu pronađene ranjivosti rok od 60 do 90 dana da objave ispravke. Posle toga, informacije o propustima biće objavljivane javno.

Ako se propust već koristi u hakerskim napadima, Project Zero neće čekati duže od nedelju dana, s obzirom da oklevanje i više vremena datog proizvođačima softvera mogu za posledicu imati nove žrtve.

Evans kaže da će osim standardnog pristupa koji podrazumeva pronalaženje i prijavljivanje ranjivosti, njegov tim istraživati i ublažavanje posledica propusta i njihovo iskorišćavanje ali i analizirati programe.

Google već ima svoj interni program za nagrađivanje istraživača koji pronađu bagove, a kompanija takođe finansijski podržava i nekoliko drugi programa izvan kompanije, kao što je program za nagrađivanje ispravki u kodu programa otvorenog koda.

Kris Evans je pozvao zainteresovane istraživače da se prijave za mesto u timu Project Zero.