پروژه صفر گوگل شکارچیان باگ امنیتی
گوگل قصد دارد جزئیات تیم معروف به پروژه صفر Project Zero را بهصورت عمومی فاش کند. گروهی از محققان امنیتی برتر گوگل که تنها مأموریت آنها ردیابی و خنثی کردن موذیانهترین نقصهای امنیتی در نرمافزارها در سراسر جهان است. این نقصهای مخفی قابل هک که در امنیت بهعنوان آسیبپذیریهای «روز صفر» شناخته میشوند، توسط مجرمان، هکرهای دولتی و سازمانهای اطلاعاتی در عملیات امنیتی، از مورد سو استفاده قرارگیری آنها پیشگیری کند. متخصصان Project Zero فقط در محصولات Google باگها را افشا نمیکنند. به آنها اختیار دادهشده تا هر نرمافزاری که میتوان با استفاده از آسیبپذیریهای امنیتی موجود در آن موردحمله روز صفر قرار بگیرد را موردبررسی قرا بدهند.
پروژه صفر گوگل یا زیرو پروجکت
نقش تیم درگیر در پروژه صفر گوگل یافتن نقاط آسیبپذیری در نرمافزارهای مورداستفاده عموم مردم است که شامل نرمافزارهای تولیدشده توسط خود گوگل یا سایرین هم میشود. هرزمانی که گروه فنی با آسیبپذیری درون نرمافزار مواجه شوند موضوع را مخفیانه به شرکت تولیدکننده نرمافزار انتقال داده و به آنها 90 روز برای برطرف کردن مشکل فنی زمان میدهند.
درصورتیکه آسیبپذیری اعلامشده ظرف مدت 90 روز برطرف نشود پروژه تیم صفر بهصورت خودکار اطلاعات آسیبپذیری را به همراه کد در اختیار عموم قرار میدهد. هدف از افشای سیاست 90 روزه ترغیب شرکت سازنده برای برطرف نمودن هرچه زودتر آسیبپذیری قبل از استفاده توسط مهاجمین است.
البته انتقاداتی هم به پروژه صفر گوگل واردشده است. که چرا گوگل در مورد آسیبپذیریهای نرمافزارهای دیگر شرکتها تحقیق میکند و آیا این سیاست افشاگری آسیبپذیریها را به همان سرعت که برای نرمافزارهای سایر شرکتها به کار میبرد در مورد نرمافزارهای تولیدشده توسط گوگل هم استفاده میکند؟
اما طرفداران پروژه صفر گوگل اعتقاددارند که همه تحقیقات امنیتی برای عموم مردم مزایایی دارند. گوگل هم بهواسطه پروژه صفر علاوه بر محصولات خود، روی آسیبپذیریهای موجود محصولاتی که احتمالاً در ارتباط با محصولات شرکت گوگل استفاده میشوند تحقیق مینماید.
زمان شروع پروژه صفر
گوگل رسماً وجود تیم پروژه صفر را در 15 جولای 2014 اعلام نمود در فوریه 2015 سیاست افشای خودکار پروژه صفر گوگل بعدازاینکه یک نقص ایمنی در ویندوز 8 را افشا نمود؛ در میان جامعه امنیت سایبری جنجال به پا کرد. این در حالی است که مایکروسافت اعلام کرده بود در حال انتشار یک پچ جهت بهبود مشکل میباشد.
خطمشی بازنگری شده پروژه زیرو اکنون به شرکتها اجازه میدهد درصورتیکه تولیدکننده نرمافزار در مورد اینکه در حال ایجاد وصلهای است، به گوگل اطلاع داده باشد افشای اطلاعات تا یک بازه 14 روزه تمدید میشود.
این تیم همچنین اعلام کرد که به هر آسیبپذیری یک شناسه منحصربهفرد CVE اختصاص خواهد داد. شناسههای CVE تضمین میکنند که فروشندگان، مدیران شبکه و سایر اشخاص ذینفع میتوانند اطلاعات را از منابع زیادی جمعآوری کنند و مطمئن باشند که تمام اطلاعات مربوط به یک شناسه CVE خاص دقیقاً همان آسیبپذیری را برطرف میکند.
پروژه صفر چه نفعی برای گوگل دارد
تیم پروژه صفر متشکل از زبدهترین افراد در حوزه برنامهنویسی و امنیت است این پروژه برای گوگل هزینههای مالی بالایی در پی دارد. قطعاً این سؤال پیش میآید که منافع گوگل در انجام این پروژه چیست؟
مهندس ارشد امنیتی گوگل کیریس ایوانز در پاسخ به این پرسش میگوید؟
هدف اصلی این پروژه ادای مسئولیت اجتماعی خود نسبت به کاربران میباشد. کمتر شرکت فناورانه ای در دنیا وجود دارد که قادر باشد از پس هزینههای سنگین و توان فنی یک چنین پروژهای بربیاید. همین دلیل گوگل را بر آن داشت که دست به اقدام بزند.
این ابتکار از جنبه دیگر فرصت استخدامی خاصی را برای نخبگان امنیت فراهم میکند. کار کردن روی چالشهای پیچیده امنیتی با محدودیت اندک باعث جذب استعدادها به این شرکت میشود. هریک از این افراد میتوانند در آینده روی پروژههای دیگر شرکت کار کنند.
اما درنهایت مزایای اینترنت ایمن به نفع همه مخصوصاً گوگل است و کاربران با اعتماد بیشتری روی تبلیغات کلیک میکنند.
ایوانز تأکید میکند اگر ما بهطورکلی اعتماد کاربران به اینترنت را افزایش دهیم به روش غیرمستقیم باعث افزایش منافع گوگل شدهایم.
