O Project Zero do Google se torna rigoroso com empresas com políticas de correção de segurança laxas

A Google Inc. tem uma equipe de elite de hackers e programadores chamada Project Zero, nomeada assim por causa das falhas de segurança de “zero dia” que são exploradas antes que os desenvolvedores tomem conhecimento delas.

O Project Zero examina seu próprio software e o de concorrentes em busca de falhas de segurança, dando às empresas um prazo, mais especificamente um ultimato de 90 dias para corrigir suas vulnerabilidades de software ou elas se tornarão de conhecimento público.

Em um esforço para “motivar” concorrentes como Microsoft Corp. e Apple Inc. a corrigir seu software com falhas antes que os verdadeiros criminosos cibernéticos aproveitem as falhas em seu código não corrigido. Claro, tanto a Microsoft quanto a Apple não estão muito satisfeitas com isso.

Os opositores da prática do Project Zero do Google dizem que isso coloca a segurança online em risco ao revelar lacunas antes que possam ser corrigidas. Claro, hackers informados trabalham rapidamente para explorar intencionalmente falhas de software quando se tornam conhecidas.

Considere quando os invasores apoiados pela China exploraram uma falha de segurança na Web conhecida como Heartbleed para atacar a Community Health Systems Inc. apenas uma semana após a falha de software ser divulgada.

Até mesmo a Apple pediu ao Google para esperar antes de tornar público para que pudesse corrigir suas falhas no sistema operacional Mac OS X. O Google sabia que a correção estava a caminho e tinha posse do software fonte atualizado porque também atuava como desenvolvedor para a Apple na época. O Google se recusou e divulgou detalhes ao público sobre as falhas. A Microsoft, também, solicitou mais tempo para corrigir uma falha em seu Windows OS. O Google, novamente, se recusou e divulgou o bug.

Os apoiadores do Google dizem que a abordagem rigorosa de 90 dias do Project Zero pode motivar a indústria de software a se concentrar em melhores práticas de correção de segurança, nas quais as empresas podem levar meses ou anos para corrigir seus bugs.

Até agora, o Project Zero do Google identificou 39 vulnerabilidades em produtos da Apple e 20 em produtos da Microsoft. A equipe também encontrou 37 falhas no software da Adobe Systems Inc. e 22 na biblioteca de desenvolvimento de software FreeType para renderização de fontes.

É uma boa coisa para os consumidores que o Project Zero do Google tenha assumido o papel de mestre de tarefas de “corrija ou nós reportaremos”, já que muitos produtos dessas empresas podem deixar os usuários vulneráveis a ataques que podem causar mais sofrimento e problemas mais profundos se não forem controlados.

O Project Zero acabou de traçar uma linha na areia; como as empresas afetadas reagem a isso determinará quais produtos você pode realmente confiar com seus dados no futuro.