Google anuncia Project Zero: equipe de elite para caçar vulnerabilidades

A Google anunciou através do seu blog a criação do Project Zero: uma equipe formada por prodígios no ramo da segurança da informação e que terá como objetivo descobrir e reportar vulnerabilidades, tanto em softwares da Google quanto nos de outras empresas. Dessa forma, a gigante de Mountain View promete dar maior segurança aos seus usuários, garantindo que os seus produtos e os de terceiros, dos quais os seus dependem, não apresentem falhas que possam ser exploradas por criminosos ou agências de espionagem.

A equipe liderada por Chris Evans conta com membros renomados como: George Hotz, conhecido pelo Jailbreak para o iOS e também pelo destravamento do PlayStation 3, Ben Hawks, responsável pela descoberta de dezenas de falhas em softwares como Adobe Flash e Microsoft Office, e Tavis Ormandy, pesquisador reconhecido como um dos maiores caçadores de vulnerabilidades, tendo recentemente demonstrado que softwares antivírus podem incluir falhas zero-day que colocam em risco a segurança dos usuários.

De acordo com a Google, sempre que uma falha em um serviço for descoberta, a empresa responsável será notificada e terá um prazo entre 60 e 90 dias para corrigir a mesma. Após esse prazo, a falha será divulgada em uma base de dados pública, visando garantir que todos que trabalham com a empresa envolvida na falha possam atualizar seus sistemas. Por outro lado, nos casos em que a falha já esteja sendo explorada por hackers, o criador do software vulnerável será pressionado a corrigir o problema ou encontrar uma solução em menos de sete dias. “Não é aceitável colocar as pessoas em risco por levar muito tempo para corrigir uma falha, ou não corrigi-la”, diz Evans.

Como descobrir e eliminar uma grande quantidade de vulnerabilidades zero-day seria uma tarefa muito difícil, a equipe promete escolher os seus alvos de forma estratégica para maximizar os chamados “choques de bugs”, os casos em que uma falha encontrada seja a mesma que esteja sendo secretamente explorada. Assim sendo, uma vez que muitas vulnerabilidades consistem em um conjunto de falhas que são exploradas conjuntamente, a eliminação de uma delas neutralizaria a vulnerabilidade.

Veja maiores informações através do link.