Το όνομα της ομάδας είναι «Project Zero», και ο όλος «αέρας» μιας «ελίτ» ομάδας έχει προκαλέσει αίσθηση στο Διαδίκτυο, με δημοσιεύματα να κάνουν λόγο για μία ομάδα «hacker elite», στην υπηρεσία της κυβερνοασφάλειας και όχι της «σκοτεινής πλευράς».
Όπως αναφέρεται στη σχετική ανακοίνωση της Google, «θα έπρεπε να είστε σε θέση να χρησιμοποιήσετε το web χωρίς να φοβάστε ότι ένας εγκληματίας ή κάποιος κρατικά υποστηριζόμενος φορέας εκμεταλλεύεται bugs λογισμικού για να μολύνει τον υπολογιστή σας, να κλέψει μυστικά ή να παρακολουθήσει τις επικοινωνίες σας.
Ωστόσο, σε εξελιγμένες επιθέσεις βλέπουμε τη χρήση “zero day vulnerabilities” για τη στόχευση, για παράδειγμα, ακτιβιστών ανθρωπίνων δικαιωμάτων, ή τη διεξαγωγή βιομηχανικής κατασκοπείας. Αυτό πρέπει να σταματήσει».
Το Project Zero αποτελεί τη «συνεισφορά» της Google στην αντιμετώπιση αυτού του προβλήματος: «στόχος μας είναι η σημαντική μείωση του αριθμού των ατόμων που βλάπτονται από στοχευμένες επιθέσεις. Προσλαμβάνουμε τους καλύτερους πρακτικά σκεπτόμενους ερευνητές ασφαλείας και συμβάλουμε με το 100% του χρόνου τους στη βελτίωση της ασφάλειας σε όλο το Ίντερνετ».
Όπως σημειώνεται, δεν τίθενται συγκεκριμένα όρια στο όλο εγχείρημα, καθώς επιδιώκεται η βελτίωση της ασφάλειας σε κάθε λογισμικό που χρησιμοποιείται από μεγάλους αριθμούς χρηστών, ενώ δίνεται ιδιαίτερη σημασία στις τεχνικές, τους στόχους και τα κίνητρα των αυτουργών των επιθέσεων.
Παράλληλα, η Google διασαφηνίζει ότι η δουλειά θα συνοδεύεται από διαφάνεια, καθώς κάθε bug που θα εντοπίζεται θα καταχωρείται σε μια εξωτερική βάση δεδομένων. Τα bugs θα αναφέρονται στους προμηθευτές λογισμικού και όχι σε «τρίτους».
Μόλις τα bugs δημοσιοποιούνται (συνήθως όταν υπάρχει έτοιμο κάποιο patch) θα είναι δυνατή η παρακολούθηση των επιδόσεων του προμηθευτή στη διόρθωση, συζητήσεων περί εκμετάλλευσής τους κ.α. Επίσης, υπάρχει δέσμευση για αποστολή αναφορών στους προμηθευτές «όσο πιο κοντά στον πραγματικό χρόνο είναι δυνατόν» και στη συνεργασία μαζί τους για να φτάνουν διορθώσεις στους χρήστες εντός λογικού χρονικού πλαισίου.
«Προσλαμβάνουμε. Πιστεύουμε ότι οι περισσότεροι ερευνητές ασφαλείας κάνουν αυτό που κάνουν επειδή το αγαπούν. Αυτό που προσφέρουμε, το οποίο θεωρούμε ότι είναι καινούριο, είναι ένα μέρος όπου θα κάνετε αυτό που αγαπάτε να κάνετε- αλλά ανοιχτά και χωρίς περισπασμούς. Θα αναζητούμε επίσης τρόπους να εμπλέξουμε την ευρύτερη κοινότητα» σημειώνεται στην ανακοίνωση.
ΠΗΓΗ: naftemporiki.gr
Όπως αναφέρεται στη σχετική ανακοίνωση της Google, «θα έπρεπε να είστε σε θέση να χρησιμοποιήσετε το web χωρίς να φοβάστε ότι ένας εγκληματίας ή κάποιος κρατικά υποστηριζόμενος φορέας εκμεταλλεύεται bugs λογισμικού για να μολύνει τον υπολογιστή σας, να κλέψει μυστικά ή να παρακολουθήσει τις επικοινωνίες σας.
Ωστόσο, σε εξελιγμένες επιθέσεις βλέπουμε τη χρήση “zero day vulnerabilities” για τη στόχευση, για παράδειγμα, ακτιβιστών ανθρωπίνων δικαιωμάτων, ή τη διεξαγωγή βιομηχανικής κατασκοπείας. Αυτό πρέπει να σταματήσει».
Το Project Zero αποτελεί τη «συνεισφορά» της Google στην αντιμετώπιση αυτού του προβλήματος: «στόχος μας είναι η σημαντική μείωση του αριθμού των ατόμων που βλάπτονται από στοχευμένες επιθέσεις. Προσλαμβάνουμε τους καλύτερους πρακτικά σκεπτόμενους ερευνητές ασφαλείας και συμβάλουμε με το 100% του χρόνου τους στη βελτίωση της ασφάλειας σε όλο το Ίντερνετ».
Όπως σημειώνεται, δεν τίθενται συγκεκριμένα όρια στο όλο εγχείρημα, καθώς επιδιώκεται η βελτίωση της ασφάλειας σε κάθε λογισμικό που χρησιμοποιείται από μεγάλους αριθμούς χρηστών, ενώ δίνεται ιδιαίτερη σημασία στις τεχνικές, τους στόχους και τα κίνητρα των αυτουργών των επιθέσεων.
Παράλληλα, η Google διασαφηνίζει ότι η δουλειά θα συνοδεύεται από διαφάνεια, καθώς κάθε bug που θα εντοπίζεται θα καταχωρείται σε μια εξωτερική βάση δεδομένων. Τα bugs θα αναφέρονται στους προμηθευτές λογισμικού και όχι σε «τρίτους».
Μόλις τα bugs δημοσιοποιούνται (συνήθως όταν υπάρχει έτοιμο κάποιο patch) θα είναι δυνατή η παρακολούθηση των επιδόσεων του προμηθευτή στη διόρθωση, συζητήσεων περί εκμετάλλευσής τους κ.α. Επίσης, υπάρχει δέσμευση για αποστολή αναφορών στους προμηθευτές «όσο πιο κοντά στον πραγματικό χρόνο είναι δυνατόν» και στη συνεργασία μαζί τους για να φτάνουν διορθώσεις στους χρήστες εντός λογικού χρονικού πλαισίου.
«Προσλαμβάνουμε. Πιστεύουμε ότι οι περισσότεροι ερευνητές ασφαλείας κάνουν αυτό που κάνουν επειδή το αγαπούν. Αυτό που προσφέρουμε, το οποίο θεωρούμε ότι είναι καινούριο, είναι ένα μέρος όπου θα κάνετε αυτό που αγαπάτε να κάνετε- αλλά ανοιχτά και χωρίς περισπασμούς. Θα αναζητούμε επίσης τρόπους να εμπλέξουμε την ευρύτερη κοινότητα» σημειώνεται στην ανακοίνωση.
ΠΗΓΗ: naftemporiki.gr
0 σχόλια:
Δημοσίευση σχολίου