تیم امنیت سایبری Project Zero گوگل خط مشی جدیدی برای خود تعریف کرد

تیم Project Zero گوگل که متشکل از افرادی زبده در زمینه‌ی امنیت سایبری است، به‌تازگی اعلام کرده که در خط مشی خود تغییراتی اعمال کرده و هم‌اکنون به‌صورت آزمایشی در حال اجرای آن است. براساس قوانین جدید، تیم پراجکت زیرو قصد ندارد جزئیات آسیب‌پذیری‌های امنیتی را در زمان کوتاهی پس از انتشار به‌روزرسانی برای رفع آن‌ها دراختیار رسانه‌ها قرار دهد و به‌صورت عمومی منتشر کند. در صفحه‌ی قوانین جدید پراجکت زیرو آمده است که این تیم بدون درنظرگرفتن زمان رفع شدن باگ، به‌صورت پیش‌فرض ۹۰ روز کامل دست نگه می‌دارد و آسیب‌پذیری‌ها را رسانه‌ای نمی‌کند. تیم پراجکت زیرو قصد دارد این رویکرد جدید را به‌صورت آزمایشی به مدت یک سال اتخاذ کند و در صورتی که صلاح ببیند پس از گذر یک سال، به‌صورت دائمی از آن بهره بگیرد.

براساس قوانین پیشین، محققان تیم پراجکت زیرو به شرکت‌هایی که در دستگاه آن‌ها آسیب‌پذیری کشف شده بود ۹۰ روز وقت می‌داد تا از طریق انتشار به‌روزرسانی نرم‌افزاری، آن را رفع کنند. پس از گذر این ۹۰ روز حتی اگر مشکل یادشده برطرف نشده بود، محققان پراجکت زیرو آن را رسانه‌ای می‌کردند تا عموم مردم خبردار شوند. بااین‌حال اگر به‌روزرسانی نرم‌افزاری پیش از پایان آن بازه‌ی زمانی ۹۰ روزه منتشر می‌شد، تیم پراجکت زیرو آسیب‌پذیری را زودتر از آنچه وعده داده بود رسانه‌ای می‌کرد. این موضوع گاهی اوقات می‌توانست مشکل‌ساز شود؛ زیرا کاربران برای در امان ماندن از خطر هک شدن باید سریعا دست به کار می‌شدند و دستگاه خود را به‌روزرسانی می‌کردند. با این اوصاف کسانی که عجله نمی‌کردند در خطر هک شدن قرار می‌گرفتند، زیرا با رسانه‌ای شدن آسیب‌پذیری، هکرهای سودجو نیز از آن باخبر می‌شدند. هر آسیب‌پذیری کشف‌شده احتمالا توسط شرکت‌ها رفع می‌شود؛ با این حال پیداشدن راه‌حل بدین معنی نیست که دستگاه‌ها از خطر هک شدن در امان می‌مانند. درواقع تا زمانی‌که کاربران به‌روزرسانی را نصب نکنند، همچنان در معرض خطر خواهند بود.

به‌لطف قوانین جدید، فرقی ندارد که شرکت‌ها باگ‌های محصولات‌شان را در فاصله‌ی ۲۰ یا حتی ۹۰ روز پس از اینکه از سوی پراجکت زیرو باخبر شدند رفع کنند؛ تیم امنیت سایبری گوگل برای رسانه‌ای کردن جزئیات آسیب‌پذیری ۹۰ روز کامل سکوت خواهد کرد و سپس جزئیات آن را با رسانه‌ها در میان خواهد گذاشت. البته براساس اعلام رسمی، دراین‌زمینه موارد استثنا نیز وجود دارد. اگر بین گوگل و شرکتی که دستگاهش دچار باگ شده توافقی متقابل و قطعی صورت پذیرد، پراجکت زیرو ممکن است افزون بر ۹۰ روز، ۱۴ روز دیگر به شرکت یادشده فرصت دهد تا مشکل را برطرف کند. این توافق تنها در صورتی منعقد خواهد شد که پراجکت زیرو تشخیص دهد رفع مشکل بیشتر از آنچه که باید، طول می‌کشد. در ضمن تیم پراجکت زیرو به آسیب‌پذیری‌هایی که به‌صورت گسترده کشف شده‌اند و احتمال بهره‌برداری از آن‌ها توسط هکرها وجود دارد، تنها هفت روز مهلت می‌دهند.

پراجکت زیرو هم‌زمان با دادن فرصت بیشتر به شرکت‌ها برای رفع آسیب‌پذیری نرم‌افزاری محصولات‌شان، می‌گوید امیدوار است خط مشی جدیدش در راستای رفع بهتر باگ‌ها اثرات مثبتی داشته باشد. در ضمن این قوانین جدید به شرکت‌ها امکان می‌دهند به‌طور دقیق بفهمند که برای رفع مشکل دستگاه‌شان، چقدر زمان دارند و آسیب‌پذیری در چه زمانی رسانه‌ای می‌شود. پراجکت زیرو همچنین می‌گوید شدیدا مشتاق همکاری بیشتر از سوی شرکت‌های مختلف است و از آن‌ها درخواست می‌کند به‌روزرسانی‌های امنیتی را در سریع‌ترین زمان ممکن در دسترس قرار دهند تا کاربران متحمل کمترین ضرر و زیان شوند. به‌لطف افزایش بازه‌ی زمانی رسانه‌ای‌شدن آسیب‌پذیری، بدون شک شرکت‌ها فرصت بیشتری خواهند داشت تا با صرف زمان کافی، مشکلات دستگاه‌شان را برطرف کنند.

با وجود تغییرات اعمال شده، تیم پراجکت زیرو می‌گوید از اینکه قوانین قدیمی‌اش طی سال‌های اخیر توانسته‌اند اثرات بسیار مهمی روی برطرف شدن مشکلات نرم‌افزاری دستگاه‌های مختلف داشته باشند، بسیار خوشحال است. پراجکت زیرو که کار خودش را از سال ۲۰۱۴ آغاز کرده، می‌گوید گاهی اوقات با باگ‌هایی مواجه شده که به‌روزرسانی امنیتی مربوط به آن‌ها تا ۶ ماه پس از کشف شدن‌شان، منتشر نشده است. بااین‌حال به‌لطف قوانین سخت‌گیرانه، ۹۷/۷ درصد باگ‌ها در فاصله‌ی زمانی ۹۰ روزه رفع می‌شوند.

شما کاربران زومیت چه دیدگاهی درمورد تیم امنیت سایبری گوگل دارید؟