پروژه زیرو گوگل: ۹۵.۸ درصد باگها پیش از اتمام مهلت رفع میشوند
تیم پروژه زیرو گوگل (Project Zero) ادعا میکند که حدود ۹۵.۸ درصد باگهای امنیتی که توسط محققانش در نرمافزارهای سایر شرکتها یافت شده و به آنها گزارش میشود، پیش از پایان ضربالاجل برای انتشار عمومی، رفع میشوند.
این موضوع برای یکی از بدنامترین پروژههای امنیت سایبری [پروژه زیرو] موفقیت بزرگی محسوب میشود.
تیم امنیتی زبده گوگل طی آماری که روز چهارشنبه منتشر کرد، اظهار داشت که در طی تمام تاریخچه این تیم، یعنی از هفدهم ژوئیه ۲۰۱۴ تا سیام ژوئیه ۲۰۱۹، محققانش تعداد ۱۵۸۵ آسیبپذیری امنیتی را برای طیف وسیعی از شرکتهای نرمافزاری و سختافزاری، یافته و گزارش دادهاند.
غول موتورهای جستوجو ادعا میکند که از این تعداد، تنها ۶۶ باگ گزارش شده از سوی آن، پیش از اتمام ضربالاجل، توسط شرکتهای مربوطه رفع نشده است؛ درنتیجه محققان پروژه زیرو مجبور شدهاند پیش از رفع مشکل، جزئیات فنی آسیبپذیریهای مذکور را برای عموم منتشر کنند.
در ماههای اولیه تاریخچه تأسیس پروژه زیرو گوگل، زمان درنظر گرفته شده برای ارائه عمومی جزییات نقصهای امنیتی کشفشده، به ۹۰ روز محدود بود؛ اما در تاریخ ۱۳ فوریه ۲۰۱۵ تحت شرایطی خاص، ۱۴ روز دیگر به مهلت ضربالاجل برای افشای جزئیات باگها اضافه کرد.
گوگل عقیده دارد که ارائه این مهلت اضافی روند گزارش باگها را بهبود بخشیده است. با ارائه این مهلت اضافی، شرکتها وقت بیشتری برای ارائه وصلههای امنیتی داشتند. در برخی از موارد، باوجود آماده بودن بهروزرسانیها، شرکتها مجبور بودند آنها را بهصورت ماهانه ارائه دهند و همین مسئله سبب پایان یافتن مهلت ضربالاجل میشد؛ هرچند باگها از لحاظ فنی برطرف شده بودند.
افزایش مهلت ضربالاجل همچنین روی دقت آمار و بازده کار تیم پروژ زیر تأثیر مثبت داشته است.
تیم پروژه زیرو در این باره بیان میکند:
اگر ما در آمار اعلام شده، مهلت اضافی ۱۴ روزه را نیز حساب میکردیم (۱۳ فوریه ۲۰۱۵ تا ۳۰ ژوئیه ۲۰۱۹) ، ۱۴۳۴ باگ رفعشده داشتیم. از این میزان ۱۲۲۴ باگ طی ۹۰ روز رفع میشدند و ۱۷۴ نقص امنیتی دیگر در مهلت اضافی ۱۴ روزه برطرف میشدند؛ در نتیجه ۳۶ آسیبپذیری رفعنشده باقی میماند و به عبارت دیگر، ۹۷.۵ درصد باگهای امنیتی پیش از اتمام مهلت رفع میشدند.
پروژه زیرو گوگل که اخیرا پنجمین سالگرد تولدش را جشن گرفت، جهت رسیدگی به نرمافزارها و سختافزارهای مورد استفاده در داخل گوگل و گزارش باگ به شرکتهای مربوطه تأسیس شد. هر باگی که محققان امنیتی گوگل کشف میکنند توسط تیم زیرو مستندسازی و سپس به شرکتهای مربوطه گزارش میشوند. اطلاعات مربوط به گزارش باگها، بعضا حاوی جزئیات فنی دقیق و کد اثبات مفهوم برای کاهش باگها هستند و پس از اتمام مهلت ضربالاجل یا رفع آنها توسط شرکتهای مربوطه، برای عموم منتشر میشوند.
محققان امنیتی پروژه زیرو طی چند سال اخیر، بهخاطر انتشار جزئیات دقیق و کدهای اکسپلویت اثبات مفهوم (PoC) مربوط به باگهای کشفشده، مورد انتقاد شدید قرار گرفتهاند. محققان امنیتی عقیده دارند که انتشار چنین گزارشهایی، به مهاجمان در طراحی اکسپلویت برای حمله به کاربران کمک کردهاند.
تیم پروژه زیرو اخیرا در صفحه سوالات متداول خود از اقداماتش دفاع کرده است؛ با این ادعا که گزارش باگها به مدافعان بیشتر از مهاجمان کمک کرده است.
محققان پروژه زیرو میگویند:
مهاجمان انگیزه واضحی در اختصاص دادن وقت برای تحلیل وصلههای امنیتی دارند تا آسیبپذیریها را بهتر بشناسند (ازطریق بررسی کد منبع یا مهندسی معکوس باینری) و هرچند شرکتها و محققان در حفظ دادههای فنی کوشا باشند، مهاجمان بهسرعت جزئیات کاملی از آن را منتشر میکنند.
از آنجا که استفاده مهاجمان و مدافعان از اطلاعات مربوط به آسیبپذیریها بسیار متفاوت است، انتظار نمیرود که مهاجمان بتوانند با دقت مشابه مدافعان، آنها را تحلیل کنند. بازخوردی که از سوی مدافعان دریافت میکنیم آن است که آنها جزئیات بیشتری را درباره خطراتی که خود یا کاربرانشان را تهدید میکند، درخواست دارند.
افشای جزئیات باگها به مدافعان بیشتر از مهاجمان کمک میکند
بنابراین از نظر گوگل، انتشار چنین جزئیاتی به مهاجمان کمکی نمیکند؛ چراکه بسیاری از آنها به هرحال فهرست تغییرات نرمافزار و فایل باینری آنها بررسی میکنند. اما جزئیات مربوط به باگها، شرکتها و مدیران سیستم را برای کاهش آسیبپذیری و تشخیص آنها یاری میکنند.
این تعادل دشواری است؛ اما هدف ما هموارتر کردن زمین بازی است. تیم پروژه زیرو اعلام کرده است هنگامی که گزارش باگها بهصورت عمومی منتشر میشوند، کدهای اثبات مفهوم موجود در گزارشها، زنجیره کامل اکسپلویتها را شامل نمیشوند. درعوض، گوگل تنها بخشی از زنجیره اکسپلویت را منتشر میکند؛ بنابراین مهاجمان برای تکمیل آن مجبور هستند تحقیقات بیشتری را انجام دهند.
پروژه زیرو اعلام کرد:
مهاجمان ماهر، برای تبدیل گزارش باگ به زنجیره قابلاطمینان اکسپلویت، قادر خواهند بود زنجیره اکسپلویت مشابهی را طراحی کنند؛ حتی اگر ما جزئیات باگ را منتشر نکنیم.
تیم پروژه گوگل همچنین به سایر محققان امنیتی پیشنهاد میکند که مسیرشان را دنبال کرده و برای انتشار جزئیات باگها مهلت محدودی تعیین کنند:
ما عقیده داریم که هرچه محققان بیشتری برای انتشار گزارش باگهای کشفشدهشان ضربالاجل تعیین کنند، امنیت سایبری بهبود خواهد یافت. دلایل بسیاری وجود دارد که محقق امنیتی سیاست تعیین ضربالاجل را برای انتشار گزارش جزئیات باگ تخاذ نمیکنند. اما ما با تعیین ضربالاجل برای انتشار گزارش نقصهای امنیتی، نتایج مثبت بسیاری را مشاهده کردهایم و بهکارگیری روند مشابه را به سایر محققان امنیتی پیشنهاد میکنیم.
به هرحال نکات بالا تنها موضوعات مهم منتشرشده ازسوی محققان گوگل بهشمار نمیروند. جزئیات دیگر و سایر نکات اصلی موجود در صفحه سوالات متداول پروژه زیرو در ادامه آورده شده است:
نظرات