Google’s Project Zero wird hart gegen Unternehmen mit laxen Sicherheits-Patch-Richtlinien

Google Inc. hat ein Elite-Team von Hackern und Programmierern namens Project Zero, benannt nach den „Zero-Day“-Sicherheitsanfälligkeiten, die ausgenutzt werden, bevor die Entwickler davon erfahren.

Project Zero durchsucht die eigene und die Software von Wettbewerbern nach Sicherheitsanfälligkeiten und gibt den Unternehmen eine Frist, genauer gesagt ein 90-tägiges Ultimatum, um ihre Softwareanfälligkeiten zu beheben, oder sie werden öffentlich bekannt gemacht.

In einem Versuch, Wettbewerber wie Microsoft Corp. und Apple Inc. zu „motivieren“, ihre fehlerhafte Software zu reparieren, bevor die echten Cyberkriminellen die Schwächen in ihrem ungeschützten Code ausnutzen. Natürlich sind sowohl Microsoft als auch Apple nicht begeistert davon.

Gegner der Praktiken von Google’s Project Zero sagen, dass dies die Online-Sicherheit gefährdet, indem Lücken aufgedeckt werden, bevor sie geschlossen werden können. Natürlich arbeiten informierte Hacker schnell, um absichtlich Softwareanfälligkeiten auszunutzen, sobald sie bekannt werden.

Denken Sie an den Fall, als von China unterstützte Eindringlinge eine Web-Sicherheitsanfälligkeit namens Heartbleed ausnutzten, um Community Health Systems Inc. anzugreifen, nur eine Woche nachdem die Softwareanfälligkeit veröffentlicht wurde.

Sogar Apple bat Google, zu warten, bevor sie öffentlich werden, damit sie ihre Schwächen im Mac OS X-Betriebssystem beheben können. Google wusste, dass der Fix bevorstand und hatte die aktualisierte Quellsoftware, da sie zu diesem Zeitpunkt auch als Entwickler für Apple tätig waren. Google weigerte sich und gab alle Details zu den Schwächen öffentlich bekannt. Auch Microsoft bat um zusätzliche Zeit, um eine Schwäche in ihrem Windows-Betriebssystem zu beheben. Google weigerte sich erneut und veröffentlichte den Fehler.

Unterstützer von Google sagen, dass der harte 90-Tage-Ansatz von Project Zero die Softwareindustrie dazu motivieren könnte, sich auf bessere Sicherheits-Patching-Praktiken zu konzentrieren, bei denen Unternehmen Monate oder Jahre benötigen können, um ihre Fehler zu beheben.

Bis heute hat Google’s Project Zero 39 Schwachstellen in Apple-Produkten und 20 in Microsoft-Produkten identifiziert. Das Team hat auch 37 Schwächen in der Software von Adobe Systems Inc. und 22 in der FreeType-Softwareentwicklungsbibliothek zur Schriftartenrendering gefunden.

Es ist gut für die Verbraucher, dass Google’s Project Zero die Rolle des „Patchen oder wir berichten es“-Aufsehers übernommen hat, da viele Produkte dieser Unternehmen die Benutzer anfällig für Hacks machen können, die mehr Kummer und tiefere Probleme verursachen können, wenn sie nicht in den Griff bekommen werden.

Project Zero hat gerade die Grenze im Sand gezogen, wie die betroffenen Unternehmen darauf reagieren, wird bestimmen, welchen Produkten Sie in Zukunft wirklich vertrauen können, wenn es um Ihre Daten geht.