Google va publica vulnerabilitatile competitorilor
Google își avertizează competitorii să elimine vulnerabilitățile din aplicațiile software în termen de 90 de zile, altfel le va face publice.
Google susţine că producătorii de software trebuie să acţioneze rapid întrucât infractorii cibernetici acţionează cu viteza fulgerului atunci când identifică un defect, informează Mediafax.
Microsoft şi Apple au refuzat să comenteze pe tema acestui subiect sensibil, în timp ce alţi membri ai industriei spun că echipa Google uzurpă un rol care revine cel mai bine autorităţilor guvernamentale.
“Nu sunt sigur cine a desemnat Google drept arbitrul oficial al pieţei, pentru anunţarea vulnerabilităţilor. Presiunea asupra companiilor pentru eliminarea deficienţelor este o idee bună, dar care este motivul nobil de a dezvălui problemele înregistrate de doi mari competitori?”, a afirmat John Dickson, director la compania Denim Group, din San Antonio, specializată în securitate informatică.
Google a înfiinţat echipa în iulie anul trecut şi a numit-o “Project Zero“, după mult-temuta “zi zero”, în care deficienţele de securitate pot fi exploatate de răuvoitori înainte ca dezvoltatorii să le cunoască.
Unii experţi în securitate informatică susţin că astfel de activităţi sunt mai potrivite unei agenţii guvernamentale.
Rolul sectoarelor publice şi private este unul dintre subiectele care vor fi discutate la un summit pe tema securităţii cibernetice care va avea loc vineri, la Palo Alto, California, la care preşedintele american Barack Obama va cere liderilor din sectorul tehnologiei să îmbunătăţească relaţiile de colaborare şi să face mai multe schimburi de informaţii.
Unii analişti se întreabă însă cum poate avea loc colaborarea dacă cele mai mari companii din industria Internetului nu se pot înţelege între ele.
Reprezentanţii Apple au refuzat să comenteze, iar cei ai Microsoft au făcut referire la o declaraţie anterioară, potrivit căreia practica Google seamănă cu “jocul de-a prinselea”, ilustrând neînţelegerile pe această temă.
Oponenţii Google susţin că practicile Google pun în pericol securitatea online, prin dezvăluirea breşelor de securitate înainte ca acestea să poată fi eliminate.
Hackerii lucrează rapid pentru a exploata problemele, odată ce sunt cunoscute. Astfel, hackeri din China s-au folosit anul trecut de un bug de securitate numit “Heartbleed”, pentru a ataca sistemul Community Health Systems Inc.
În ianuarie, Apple a cerut Google să aştepte o săptămână înainte de a face publice trei deficienţe din sistemul de operare Mac OS X. Google ştia că se lucrează la eliminarea problemei şi avea în posesie o versiune actualizată a softului, întrucât lucrează ca dezvoltator pentru Apple, dar cu toate acestea a refuzat şi a publicat informaţia, a spus o persoană apropiată situaţiei.
Microsoft la rândul său a solicitat încă două zile pentru a elimina o problemă a Windows, dar Google a refuzat şi a anunţat-o public.
Susţinătorii Google spun pe de altă parte că această abordare fermă poate modifica fundamental practicile din industrie, în care rezolvarea breşelor de securitate poate dura luni de zile sau chiar ani.
Potrivit unei analize efectuate de Risk Based Security, Project Zero a identificat 39 de vulnerabilităţi în produsele Apple şi 20 în cazul celor ale Microsoft. De asemenea, au fost descoperite 37 de probleme la softul Adobe Systems şi 22 în cazul softului FreeType.
Project Zero a publicat detalii referitoare la breşe de securitate înainte să existe remedii pentru acestea de circa 16 ori în cazul produselor Apple, de trei ori în cazul Microsoft şi o dată în cazul Adobe.
Google a creat Project Zero după descoperirea bug-ului Heartbleed şi a activităţilor de spionaj ale Agenţiei Naţionale de Securitate şi ale altor guverne.
Google contribuie la dezvoltarea pieţei serviciilor de administrare şi eliminare a vulnerabilităţilor software, care ar putea creşte la 1 miliard de dolari până în 2018, de la circa 600 de milioane de dolari în 2014, a declarat Christopher Kissel, analist la compania de cercetare a pieţei Frost & Sullivan.
Kissel consideră că furnizorii de servicii în domeniul managementului vulnerabilităţilor, precum Hewlett-Packard, Tenable Network Security şi Qualys, ar putea profita de fondurile mai mari alocate rezolvării acestor probleme.