android zagrożenia
2

Masz 90 dni na załatanie luk bezpieczeństwa, a potem Google powie, jak się włamać

Project Zero to niezwykle ciekawa inicjatywa Google, w ramach której deweloperzy poszukują w programach komputerowych ewentualnych poważnych luk bezpieczeństwa. Teraz zmieniają swoje zasady gry, choć nie z pożytkiem dla wszystkich.

Zmiana polityki Google Project Zero

Google uruchomiło w Project Zero. W jego ramach gigant z Mountain View chce dbać o bezpieczeństwo internetu, za co już odpowiadają bezpośrednio specjaliści z zakresu cyberbezpieczeństwa, którzy wyszukują luk bezpieczeństwa w oprogramowaniu i informują o nich deweloperów. Do tej pory były publikowane informacje na ten temat 90 dni po wykryciu potencjalnie niebezpiecznej wady lub w momencie usunięcia podatności. W taki sposób całkiem sprytnie wymuszali na deweloperach sprawne implementowanie poprawek i wydaje mi się, że było to rozsądne rozwiązanie.

Teraz jednak Google uznał, że warto zautomatyzować to publikowanie. Po upływie 90 dni lub po 104 dniach, jeżeli deweloperzy poproszą o dodatkowe dwa tygodnie i odpowiednio uzasadnią swoją prośbę, w sieci zostanie udostępniona wiadomość na temat konkretnego błędu bezpieczeństwa.

Jednocześnie Google chce zadbać o poprawę funkcjonowania Project Zero. W tym celu nie będą osobno opisywać każdego z problemów i postarają się o to, aby powiązane między sobą luki były udostępniane w ramach jednego raportu. Myślę, że to sensowne rozwiązanie, które usystematyzuje wszystkie wykryte nieprawidłowości.

Zobacz też: Cyberbezpieczeństwo na tle RODO.

Warto w tym miejscu spojrzeć na to, jak Project Zero wypada pod względem współczynnika powodzenia. Od początku istnienia programu, aż 97,7% nieprawidłowości zostało usuniętych  terminie nie dłuższym niż 90 dni. Wprowadzone ostatnio zmiany mają pomóc poprawić ten wynik i spowodować, że współpraca między wytwórcami oprogramowania, a ekipą Google będzie jeszcze lepsza. Owszem, nie wszyscy są zadowoleni, ponieważ tym razem opis każdej luki zostanie udostępniony od razu po wydaniu poprawki, jeżeli nastąpi to między 90, a 104 dniem od wykrycia, co nie każdemu odpowiada. Myślę jednak, że wszyscy do tego się dostosują, o ile będzie im zależeć na zachowaniu odpowiedniego poziomu ochrony.

Troska o wspólne cyberbezpieczeństwo

Niewątpliwie takie programy pozwalają zapewnić wyższe bezpieczeństwo przy korzystaniu z oprogramowania. Na dobrą sprawę pojedyncza firma może mieć problem, aby móc znaleźć wszystkie ewentualne zagrożenia, a przeoczenie błędu może zdarzyć się nawet najlepszym.

W przypadku samego Project Zero wielokrotnie zdarzało się jednak również zaliczyć kontrowersyjne decyzje i sporo osób zastanawiało się nad tym, jak bardzo ich decyzje sprzyjają usługom Google. W przypadku testu przeglądarek zwycięstwo należało do Chrome, z kolei peleton zamykało Safari. Nie obyło się też wpadek ze strony Microsoftu i w 2017 roku firma z Redmond spóźniła się z udostępnieniem patcha na Windowsa 10, co skutkowało udostępnieniem informacji o luce przez Project Zero, choć w tym przypadku winnym całej sytuacji był opieszały Microsoft. Niewątpliwie takie działania wpływają także pozytywnie na to, że deweloperzy czują większą odpowiedzialność za lepsze testowanie swoich aplikacji.

źródło: Android Police