Project Zero: Google Karte bug-Jagd-Schema einige Liebe

0
18

Google ‘ s Bemühungen zur Bewältigung der Probleme von zero-day-Schwachstellen sollte applaudiert werden, Ansprüche Davey Winder

Also Google erinnert uns daran, dass es hat viel investiert in die Sicherheit, einschließlich der Verschlüsselung von Daten, wie es bewegt sich zwischen den Rechenzentren, und ist nun auf der Suche für die Sachen von anderen Leuten im Internet.

In einem aktuellen blog-post, Google enthüllt die Forscher hatten bereits verbrachte Zeit mit der Suche nach Schwachstellen (die Entdeckung der allgemein veröffentlichten Heartbleed bug wurde überwiegend auf die Google-Beteiligung) und die Teilzeit-Wissenschaftler sind immer Teil eines full-time-Einheit, bekannt als Project Zero.

Die Google-Versprechen der Verantwortlichen, die Offenlegung ist gut, mit bug-reports an den Hersteller nur und keine öffentliche Bekanntgabe, bis ein patch veröffentlicht wurde.

Diese Leute beschäftigt werden, suchen nach Schwachstellen in der breiteren Internet, zero-day-Jäger in anderen Worten. Bravo, könnte man denken. Gut gemacht, Google für etwas zu machen, was sicherer für uns alle.

Doch die Nachricht war sofort stürzten sich auf die Neinsager, mit zahlreichen Kommentare von Menschen, die sagen, Google, um seine eigene Haus in Ordnung zu ersten, bevor Sie Ihre Aufmerksamkeit nach außen, mit den Liberalen erwähnt von Chrome-Schwachstellen und NSA-Beteiligung die Runde herum.

Ich war jedoch nicht einer von Ihnen. Sicher, Google hätte behandelt vulnerability discovery-und patching in seine eigenen Produkte besser, aber wie funktioniert das, dass es ungültig ist die Festlegung eines Teams von sehr erfahrenen bug-Jäger nach draußen gehen und finden null-Tage?

Wie für die NSA-Behauptungen, die Innenstadt rund um Google “freiwillig” die Zusammenarbeit mit den US-Sicherheits-Agentur, um Ihnen den Zugriff auf unsere Daten, dass lediglich Google reagiert auf seine gesetzlichen Pflichten bei der Vorlage eines gerichtlichen Beschlusses. Und wieder, das hat absolut keine Auswirkungen auf, ob Project Zero ist eine gute Sache, oder, ja, eine brauchbare Idee.

Und da, Liebe Leserin, lieber Leser, wir finden die eigentliche Frage, sollte gefragt werden: kann Project Zero liefern? Google hat bereits angeheuert einige gute Leute, die über eine gut dokumentierte Erfolgsbilanz bei der bug-Jagd und das ist ein guter start.

Jedoch, zero-day-research-teams nicht eine neue Sache, Sie haben es schon viele Jahre und null Tage noch vorhanden sind. Die Google-Versprechen der Verantwortlichen, die Offenlegung ist gut, mit bug-reports an den Hersteller nur und keine öffentliche Bekanntgabe, bis ein patch veröffentlicht wurde. Was mich beunruhigt, ist, wie lange der patch dauert bis zum roll-out.

Vielleicht die Hasser hatte einen Punkt, wenn Sie reden über die Zeit, um Probleme mit Google Chrome, als dass Links Nutzer ausgesetzt, um Schwachstellen in der Zwischenzeit.

Das ist eine Hürde, die jeder vulnerability research team hat, klar. Es ist nicht nur eine Frage der Suche nach null-Tage, aber der erste Anbieter auf patch Sie in so kurzer Zeit wie möglich. Vielleicht Google, der Riese, das ist es, mehr Schlagkraft überzeugen Anbieter schneller zu handeln, als Sie es heute tun.