Kontynuując swój wkład w poprawianie bezpieczeństwa, Google dwa lata temu ogłosił powstanie zespołu Project Zero. Tworzą go wybitni specjaliści, których zadaniem jest szukanie błędów w oprogramowaniu. Nazwa pochodzi od terminu zero-day, określającego lukę, o której istnieniu twórcy aplikacji nie mają świadomości. Ponieważ nie istnieją zabezpieczenia przed atakiem, który wykorzystuje taką podatność, użytkownicy narażeni są na poważne niebezpieczeństwo.

W przeszłości tego typu błędy były wykorzystywane również przeciwko aktywistom lub w celu inwigilacji. Inspiracją dla stworzenia Project Zero miało być uczynienie internetu bezpieczniejszym dla użytkowników poprzez eliminację podobnych zagrożeń, zanim zostaną odkryte i wykorzystane przez przestępców.

Jednym z ważniejszych aspektów projektu jest to, że Google nie ogranicza się jedynie do swoich produktów - członkowie zespołu mogą szukać błędów praktycznie wszędzie. Na liście wielokrotnie pojawiały się pozycje, dotyczące oprogramowania firm Apple czy Microsoft.

Proces informowania o istnieniu podatności opiera się na wyznaczeniu terminu, w czasie którego podatność powinna zostać naprawiona. Błąd zgłaszany jest twórcy oprogramowania, termin zazwyczaj wynosi od 60 do 90 dni (mniej w poważnych przypadkach), a po tym czasie wszystkie szczegóły zostają ujawnione i opublikowane w publicznej bazie danych.

Ważnym powodem, dla którego podatności powinny być upubliczniane i opisywane, jest potrzeba poinformowania o nich zainteresowanych użytkowników, aby w razie czego mogli podjąć dodatkowe kroki w celu lepszej ochrony swoich systemów. Drugim argumentem jest niechęć twórców oprogramowania do poprawiania błędów. Jeśli nie istnieje możliwość, żeby informacja o lukach w ogóle się pojawiła, zdarza się, że kwestia ich naprawy jest ignorowana, ponieważ wpływa na zły wizerunek firmy oraz jest kosztowna i czasochłonna. Utrzymywanie tego w sekrecie jest łatwiejsze dla twórców, ale bezpieczeństwo użytkowników oprogramowania pozostaje zagrożone, ponieważ brak jest motywacji do tworzenia lepszych produktów.

Oprócz bug bounty, inną formą, która zachęca do szukania podatności, są konkursy. 13 września tego roku Project Zero ogłosił jeden z nich, polegający na znalezieniu błędów, które pozwolą na zdalne wykonanie dowolnego kodu na urządzeniach z Androidem. Warunkiem jest znajomość jedynie numeru telefonu i adresu e-mail, a główną nagrodą 200 000 dolarów.

W tym roku na Security PWNing Conference w Warszawie, która odbędzie się w terminie 7-8 listopada, pojawią się członkowie Project Zero. Jednym z nich jest James Forshaw, który od wielu lat zajmuje się tematem bezpieczeństwa IT. Skupia się głównie na szukaniu błędów w systemie Windows, ale przedmiotem jego zainteresowania było także oprogramowanie Adobe Flash Player, Adobe Reader czy TrueCrypt.

Drugim prelegentem jest Mateusz "j00ru" Jurczyk, trzykrotny laureat Pwnie Awards, wicekapitan i współzałożyciel Dragon Sector - jednej z najlepszych drużyn CTF na świecie. Lista błędów znalezionych przez niego liczy kilkaset pozycji i koncentruje się na oprogramowaniu firmy Microsoft i Adobe Systems.

Oprócz tego podczas konferencji uczestnicy będą mogli posłuchać prelekcji wielu innych ekspertów w dziedzinie bezpieczeństwa IT, a także wymienić się wartościowymi informacjami.

Więcej szczegółów: http://i.pwn.pl/konf_security/