Il Project Zero di Google diventa severo con le aziende con politiche di patch di sicurezza lassiste

Google Inc. ha un team d’élite di hacker e programmatori chiamato Project Zero, così chiamato per i difetti di sicurezza “zero day” che vengono sfruttati prima che gli sviluppatori ne vengano a conoscenza.

Il Project Zero esamina il proprio software e quello dei concorrenti per difetti di sicurezza, dando alle aziende una scadenza, più specificamente un ultimatum di 90 giorni per correggere le vulnerabilità del loro software o renderanno pubbliche le informazioni.

Nel tentativo di “motivare” concorrenti come Microsoft Corp. e Apple Inc. a correggere il loro software difettoso prima che i veri criminali informatici sfruttino i difetti nel loro codice non corretto. Naturalmente, sia Microsoft che Apple non sono favorevoli a questo.

I critici della pratica del Project Zero di Google affermano che mette a rischio la sicurezza online rivelando le lacune prima che possano essere colmate. Naturalmente, gli hacker informati lavorano rapidamente per sfruttare intenzionalmente i difetti software quando diventano noti.

Considera quando gli intrusi sostenuti dalla Cina hanno sfruttato un difetto di sicurezza web noto come Heartbleed per attaccare Community Health Systems Inc. solo una settimana dopo che il difetto software era stato pubblicizzato.

Anche Apple ha implorato Google di aspettare prima di rendere pubbliche le informazioni in modo da poter correggere i loro difetti nel sistema operativo Mac OS X. Google sapeva che la correzione era in arrivo e aveva in possesso il software sorgente aggiornato perché fungeva anche da sviluppatore per Apple in quel momento. Google ha rifiutato e ha rilasciato al pubblico i dettagli sui difetti. Anche Microsoft ha richiesto ulteriore tempo per correggere un difetto nel loro sistema operativo Windows. Google, ancora una volta, ha rifiutato e ha pubblicizzato il bug.

I sostenitori di Google affermano che l’approccio rigido di 90 giorni del Project Zero potrebbe motivare l’industria del software a concentrarsi su migliori pratiche di patching della sicurezza, in cui le aziende possono impiegare mesi o anni per correggere i loro bug.

Fino ad oggi, il Project Zero di Google ha identificato 39 vulnerabilità nei prodotti Apple e 20 nei prodotti Microsoft. Il team ha anche trovato 37 difetti nel software di Adobe Systems Inc. e 22 nella libreria di sviluppo software FreeType per il rendering dei caratteri.

È una buona cosa per i consumatori che il Project Zero di Google abbia assunto il ruolo di maestro del compito di “correggi o lo riporteremo”, poiché molti di questi prodotti aziendali possono lasciare gli utenti vulnerabili a hack che possono creare più disagi e problemi più profondi se non vengono messi sotto controllo.

Il Project Zero ha appena tracciato una linea nella sabbia, come le aziende interessate reagiranno a questo determinerà quali prodotti puoi davvero fidarti con i tuoi dati in futuro.