همه چیز در مورد پروژه صفر گوگل google project zero

پروژه صفر گوگل شکارچیان باگ امنیتی

گوگل قصد دارد جزئیات تیم معروف به پروژه صفر Project Zero را به‌صورت عمومی فاش کند. گروهی از محققان امنیتی برتر گوگل که تنها مأموریت آن‌ها ردیابی و خنثی کردن موذیانه‌ترین نقص‌های امنیتی در نرم‌افزارها در سراسر جهان است. این نقص‌های مخفی قابل هک که در امنیت به‌عنوان آسیب‌پذیری‌های «روز صفر» شناخته می‌شوند، توسط مجرمان، هکرهای دولتی و سازمان‌های اطلاعاتی در عملیات امنیتی، از مورد سو استفاده قرارگیری آن‌ها پیشگیری کند. متخصصان Project Zero فقط در محصولات Google باگ‌ها را افشا نمی‌کنند. به آن‌ها اختیار داده‌شده تا هر نرم‌افزاری که می‌توان با استفاده از آسیب‌پذیری‌های امنیتی موجود در آن موردحمله روز صفر قرار بگیرد را موردبررسی قرا بدهند.

پروژه صفر گوگل یا زیرو پروجکت

نقش تیم درگیر در پروژه صفر گوگل یافتن نقاط آسیب‌پذیری در نرم‌افزارهای مورداستفاده عموم مردم است که شامل نرم‌افزارهای تولیدشده توسط خود گوگل یا سایرین هم می‌شود. هرزمانی که گروه فنی با آسیب‌پذیری درون نرم‌افزار مواجه شوند موضوع را مخفیانه به شرکت تولیدکننده نرم‌افزار انتقال داده و به آن‌ها ۹۰ روز برای برطرف کردن مشکل فنی زمان می‌دهند.

درصورتی‌که آسیب‌پذیری اعلام‌شده ظرف مدت ۹۰ روز برطرف نشود پروژه تیم صفر به‌صورت خودکار اطلاعات آسیب‌پذیری را به همراه کد در اختیار عموم قرار می‌دهد. هدف از افشای سیاست ۹۰ روزه ترغیب شرکت سازنده برای برطرف نمودن هرچه زودتر آسیب‌پذیری قبل از استفاده توسط مهاجمین است.

البته انتقاداتی هم به پروژه صفر گوگل واردشده است. که چرا گوگل در مورد آسیب‌پذیری‌های نرم‌افزارهای دیگر شرکت‌ها تحقیق می‌کند و آیا این سیاست افشاگری آسیب‌پذیری‌ها را به همان سرعت که برای نرم‌افزارهای سایر شرکت‌ها به کار می‌برد در مورد نرم‌افزارهای تولیدشده توسط گوگل هم استفاده می‌کند؟

اما طرفداران پروژه صفر گوگل اعتقاددارند که همه تحقیقات امنیتی برای عموم مردم مزایایی دارند. گوگل هم به‌واسطه پروژه صفر علاوه بر محصولات خود، روی آسیب‌پذیری‌های موجود محصولاتی که احتمالاً در ارتباط با محصولات شرکت گوگل استفاده می‌شوند تحقیق می‌نماید.

زمان شروع پروژه صفر

گوگل رسماً وجود تیم پروژه صفر را در ۱۵ جولای ۲۰۱۴ اعلام نمود در فوریه ۲۰۱۵ سیاست افشای خودکار پروژه صفر گوگل بعدازاینکه یک نقص ایمنی در ویندوز ۸ را افشا نمود؛ در میان جامعه امنیت سایبری جنجال به پا کرد. این در حالی است که مایکروسافت اعلام کرده بود در حال انتشار یک پچ جهت بهبود مشکل می‌باشد.

خط‌مشی بازنگری شده پروژه زیرو اکنون به شرکت‌ها اجازه می‌دهد درصورتی‌که تولیدکننده نرم‌افزار در مورد اینکه در حال ایجاد وصله‌ای است، به گوگل اطلاع داده باشد افشای اطلاعات تا یک بازه ۱۴ روزه تمدید می‌شود.

این تیم همچنین اعلام کرد که به هر آسیب‌پذیری یک شناسه منحصربه‌فرد CVE اختصاص خواهد داد. شناسه‌های CVE تضمین می‌کنند که فروشندگان، مدیران شبکه و سایر اشخاص ذینفع می‌توانند اطلاعات را از منابع زیادی جمع‌آوری کنند و مطمئن باشند که تمام اطلاعات مربوط به یک شناسه CVE خاص دقیقاً همان آسیب‌پذیری را برطرف می‌کند.

پروژه صفر چه نفعی برای گوگل دارد

تیم پروژه صفر متشکل از زبده‌ترین افراد در حوزه برنامه‌نویسی و امنیت است این پروژه برای گوگل هزینه‌های مالی بالایی در پی دارد. قطعاً این سؤال پیش می‌آید که منافع گوگل در انجام این پروژه چیست؟

مهندس ارشد امنیتی گوگل کیریس ایوانز در پاسخ به این پرسش می‌گوید؟

هدف اصلی این پروژه ادای مسئولیت اجتماعی خود نسبت به کاربران می‌باشد. کمتر شرکت فناورانه ای در دنیا وجود دارد که قادر باشد از پس هزینه‌های سنگین و توان فنی یک چنین پروژه‌ای بربیاید. همین دلیل گوگل را بر آن داشت که دست به اقدام بزند.

این ابتکار از جنبه دیگر فرصت استخدامی خاصی را برای نخبگان امنیت فراهم می‌کند. کار کردن روی چالش‌های پیچیده امنیتی با محدودیت اندک باعث جذب استعدادها به این شرکت می‌شود. هریک از این افراد می‌توانند در آینده روی پروژه‌های دیگر شرکت کار کنند.

اما درنهایت مزایای اینترنت ایمن به نفع همه مخصوصاً گوگل است و کاربران با اعتماد بیشتری روی تبلیغات کلیک می‌کنند.

ایوانز تأکید می‌کند اگر ما به‌طورکلی اعتماد کاربران به اینترنت را افزایش دهیم به روش غیرمستقیم باعث افزایش منافع گوگل شده‌ایم.