Entenda como o Google Project Zero vem buscando e relatando as vulnerabilidades de softwares e internet

Entenda como o Google Project Zero vem buscando e relatando as vulnerabilidades de softwares e internet

Desde o Heartbleed, grande falha que afetou a internet no ano passado (você pode conferir mais informações através do nosso artigo “as maiores falhas de segurança de 2014“) o Google vem empenhado em descobrir e delatar falhas nos mais variados softwares e serviços, seja da própria companhia como de terceiros. Para essa busca incessante por vulnerabilidades e consequentemente alertas para que as empresas responsáveis tomem as decisões cabíveis o Google lançou o Project Zero em 15 de julho de 2014, com uma equipe que trabalha em tempo integral para encontrar as tais vulnerabilidades. 

O Project zero é liderado por Chris Evans, ex-chefe da equipe de segurança do Google Chrome, além é claro de outros membros que atuam na área de pesquisa de segurança. Um desses membros da “tropa de elite” do Google é nada mais nada menos que George Hotz, responsável por desbloquear o primeiro iPhone, além de também ter desbloquear o Playstation 3 e descobrir falhas de segurança no Chrome OS, conquistando US$ 15.000 como prêmio pelo feito e claro a atenção do Google para o “poder” do garoto

Dentro das diretrizes que o projeto segue uma é bem peculiar, a falha só irá ser exposta ao grande público se nenhum patch de correção para aquele bug saia num prazo de 90 dias. Então basicamente funciona da seguinte forma, o Google encontra a vulnerabilidade repassa para a empresa responsável pelo software em questão que tem o prazo de 90 dias para corrigir o problema, caso não seja resolvido o Google expõe a falha publicamente. Um caso envolvendo o a explanação para o grande público de uma falha encontrada pelos pesquisadores do Project Zero envolveu a Microsoft e o Windows 8.1 como noticiamos  aqui. Seguindo as regras do projeto que mencionei acima, o Google esperou o prazo dos 90 dias (o bug foi descoberto pelo Google em 30 de setembro de 2014 e divulgado no dia 29 de dezembro de 2014) até que a Microsoft corrigisse o problema como nada foi feito o Google gritou aos “quatro pulmões” sobre a vulnerabilidade. O erro consistia em que usuários ganhassem privilégios de administrador sem permissão, e claro que depois que a falha veio a público a Microsoft se mobilizou para corrigir o problema

“As pessoas merecem usar a internet sem medo de que as vulnerabilidades lá fora, possam arruinar sua privacidade com uma única visita a um website” – Chris Evans

Uma grande jogada do Google com o Project Zero é que além de prestar um serviço para uma navegação mais segura, Evans aponta que quanto mais a internet e os programas forem seguros mais ainda elas irão clicar em anúncios, item esse que é primordial para o Google, que tem grande parte de sua receita gerada através dos seus parceiros no Adwords. Nos tempos de hoje o que seria melhor que um programa ou serviço da internet seguro? Simplesmente nada, a segurança está num patamar tão alto quanto o bom funcionamento de alguma aplicação. Mas claro que esse discurso do Google não é totalmente imparcial, empresas que dependem da publicidade direcionada de uma forma ou outra inspecionam seus próprios clientes, como é o caso do Facebook que está sendo acusado de vasculhar o chat de seus usuários para entender ainda mais o comportamento de quem acessa a rede social para direcionar propaganda de uma forma mais precisa.

Em um caso mais recente, divulgado no final do mês passado o Project Zero divulgou três vulnerabilidades no OS X Yosemite, o sistema operacional usado pela Apple em seus Macs. A primeira falha afeta o serviço networkd XPC que é o daemon usado pelo sistema para gerenciar redes. Já a segunda falha está relacionada ao Kernel do sistema enquanto a terceira ao gerenciamento de memória. Claro que nenhuma dessas três falhas é tão grandiosa porque depende que o atacante já possua algum tipo de acesso à máquina. Mas essa iniciativa é mais uma prova de que o esquadrão anti-exploits do Google está em ação

De acordo com a equipe do Project Zero, dos 154 erros de segurança encontrados até o momento 85% foram corrigidos durante o prazo de 90 dias. E esse tempo pré-estabelecido pelo Google sofrerá algumas revisões, a empresa já estuda incluir um prazo extra de 14 dias caso a empresa responsável pelo problema já esteja trabalhando na correção para o problema. 

As empresas alegam que o prazo de 90 dias em alguns casos pode estar em desacordo com o cronograma de patches lançados oficialmente para os sistemas operacionais por exemplo, então com um prazo extra de 14 dias, torna-se mais flexível que a Microsoft, Apple e outras empresas corram atrás do prejuízo.

No caso da Microsoft então, em alguns casos as coisas caminham bem devagar, recentemente a empresa anunciou que corrigiu um bug de exatamente 15 anos de idade. A falha permitia que os atacantes executassem códigos remotos em um computador que fosse afetado. A falha começou a ser amplamente divulgada em janeiro de 2014, dessa vez não pelo Project Zero, e sim pela JAS Advisors que anunciou o problema. E desde então a Microsoft esteve se dedicando a correção do erro, que demorou devido ao bug criar uma falha no design do Windows. O bug afetava o Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2008 R2, Windows 7, Windows 8, Windows Serve 2012 Windows Server 2012 R2, Windows RT, Windows 8.1 e Windows RT 8.1. E claro que depois do vazamento ao grande público a correção foi lançada pela Microsoft que pode ser baixada pelos administradores de sistemas clicando aqui.

O Project Zero é justo porém demasiadamente rígido, realmente forçar as empresas de segurança a desenvolverem correções para problemas relacionados a segurança é simplesmente louvável, mas a questão do prazo de 90 Dias (com alguns casos o bônus de 14 dias) é um grande problema se o bug afetar a concepção do próprio sistema. E vale destacar ainda as próprias iniciativas que o Google vem tomando com o Android, com a decisão de não lançar mais correções de segurança para versões do Android anteriores ao Kit Kat como noticiamos aqui, sendo que diversos aparelhos utilizam uma versão anterior ao 4.4.4 por inúmeras questões, a maior delas relacionado a determinado dispositivo não ter suporte para receber as versões mais recentes do Android não ter suporte para a atualização.  A tentativa de se posicionar como “policial da web” é válida, mas para isso é preciso observar a própria ficha.

Sobre o Autor

Editor-chefe no Hardware.com.br, aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Leia mais
Redes Sociais:

Deixe seu comentário

X