پروژه زیرو گوگل: ۹۵.۸ درصد باگ‌ها پیش از اتمام مهلت رفع می‌شوند

یک‌شنبه ۱۳ مرداد ۱۳۹۸ - ۱۷:۳۲
مطالعه 5 دقیقه
پروژه زیرو گوگل اعلام کرده است که ۹۵.۸ درصد نقص‌های امنیتی که محققان این تیم کشف می‌کنند، پیش از پایان یافتن مهلت تعیین‌شده گوگل برای انتشار جزئیات آن‌ها، برطرف می‌شوند.
تبلیغات

تیم پروژه زیرو گوگل (Project Zero) ادعا می‌کند که حدود ۹۵.۸ درصد باگ‌های امنیتی که توسط محققانش در نرم‌افزارهای سایر شرکت‌ها یافت شده و به آن‌ها گزارش می‌شود، پیش از پایان ضرب‌الاجل برای انتشار عمومی، رفع می‌شوند.

این موضوع برای یکی از بدنام‌ترین پروژه‌های امنیت سایبری [پروژه زیرو] موفقیت بزرگی محسوب می‌شود.

تیم امنیتی زبده گوگل طی آماری که روز چهارشنبه منتشر کرد، اظهار داشت که در طی تمام تاریخچه این تیم، یعنی از هفدهم ژوئیه ۲۰۱۴ تا سی‌ام ژوئیه ۲۰۱۹، محققانش تعداد ۱۵۸۵ آسیب‌پذیری امنیتی را برای طیف وسیعی از شرکت‌های نرم‌افزاری و سخت‌افزاری، یافته و گزارش داده‌اند.

غول موتورهای جست‌وجو ادعا می‌کند که از این تعداد، تنها ۶۶ باگ گزارش شده از سوی آن، پیش از اتمام ضرب‌الاجل، توسط شرکت‌های مربوطه رفع نشده است؛ درنتیجه محققان پروژه زیرو مجبور شده‌اند پیش از رفع مشکل، جزئیات فنی آسیب‌پذیری‌های مذکور را برای عموم منتشر کنند.

در ماه‌های اولیه تاریخچه تأسیس پروژه زیرو گوگل، زمان درنظر گرفته شده برای ارائه عمومی جزییات نقص‌های امنیتی کشف‌شده، به ۹۰ روز محدود بود؛ اما در تاریخ ۱۳ فوریه ۲۰۱۵ تحت شرایطی خاص، ۱۴ روز دیگر به مهلت ضرب‌الاجل برای افشای جزئیات باگ‌ها اضافه کرد.

گوگل عقیده دارد که ارائه این مهلت اضافی روند گزارش باگ‌ها را بهبود بخشیده است. با ارائه این مهلت اضافی، شرکت‌ها وقت بیشتری برای ارائه وصله‌های امنیتی داشتند. در برخی از موارد، باوجود آماده بودن به‌روزرسانی‌ها، شرکت‌ها مجبور بودند آن‌ها را به‌صورت ماهانه ارائه دهند و همین مسئله سبب پایان یافتن مهلت ضرب‌الاجل می‌شد؛ هرچند باگ‌ها از لحاظ فنی برطرف شده بودند.

امنیت اینرنت

افزایش مهلت ضرب‌الاجل همچنین روی دقت آمار و بازده کار تیم پروژ زیر تأثیر مثبت داشته است.

تیم پروژه زیرو در این باره بیان می‌کند:

اگر ما در آمار اعلام شده، مهلت اضافی ۱۴ روزه را نیز حساب می‌کردیم (۱۳ فوریه ۲۰۱۵ تا ۳۰ ژوئیه ۲۰۱۹) ، ۱۴۳۴ باگ رفع‌شده داشتیم. از این میزان ۱۲۲۴ باگ طی ۹۰ روز رفع می‌شدند و ۱۷۴ نقص امنیتی دیگر در مهلت اضافی ۱۴ روزه برطرف می‌شدند؛ در نتیجه ۳۶ آسیب‌پذیری رفع‌نشده باقی می‌ماند و به عبارت دیگر، ۹۷.۵ درصد باگ‌های امنیتی پیش از اتمام مهلت رفع می‌شدند.

پروژه زیرو گوگل که اخیرا پنجمین سالگرد تولدش را جشن گرفت، جهت رسیدگی به نرم‌افزارها و سخت‌افزارهای مورد استفاده در داخل گوگل و گزارش باگ به شرکت‌های مربوطه تأسیس شد. هر باگی که محققان امنیتی گوگل کشف می‌کنند توسط تیم زیرو مستندسازی و سپس به شرکت‌های مربوطه گزارش می‌شوند. اطلاعات مربوط به گزارش‌ باگ‌ها، بعضا حاوی جزئیات فنی دقیق و کد اثبات مفهوم برای کاهش باگ‌ها هستند و پس از اتمام مهلت ضرب‌الاجل یا رفع آن‌ها توسط شرکت‌های مربوطه، برای عموم منتشر می‌شوند.

محققان امنیتی پروژه زیرو طی چند سال اخیر، به‌خاطر انتشار جزئیات دقیق و کدهای اکسپلویت اثبات مفهوم (PoC) مربوط به باگ‌های کشف‌شده، مورد انتقاد شدید قرار گرفته‌اند. محققان امنیتی عقیده دارند که انتشار چنین گزارش‌هایی، به مهاجمان در طراحی اکسپلویت برای حمله به کاربران کمک کرده‌اند.

تیم پروژه زیرو اخیرا در صفحه سوالات متداول خود از اقداماتش دفاع کرده است؛ با این ادعا که گزارش باگ‌ها به مدافعان بیشتر از مهاجمان کمک کرده است.

محققان پروژه زیرو می‌گویند:

مهاجمان انگیزه واضحی در اختصاص دادن وقت برای تحلیل وصله‌های امنیتی دارند تا آسیب‌پذیری‌ها را بهتر بشناسند (ازطریق بررسی کد منبع یا مهندسی معکوس باینری) و هرچند شرکت‌ها و محققان در حفظ داده‌های فنی کوشا باشند، مهاجمان به‌سرعت جزئیات کاملی از آن را منتشر می‌کنند.

از آنجا که استفاده مهاجمان و مدافعان از اطلاعات مربوط به آسیب‌پذیری‌ها بسیار متفاوت است، انتظار نمی‌رود که مهاجمان بتوانند با دقت مشابه مدافعان، آن‌ها را تحلیل کنند. بازخوردی که از سوی مدافعان دریافت می‌کنیم آن است که آن‌ها جزئیات بیشتری را درباره خطراتی که خود یا کاربرانشان را تهدید می‌کند، درخواست دارند.

افشای جزئیات باگ‌ها به مدافعان بیشتر از مهاجمان کمک می‌کند

بنابراین از نظر گوگل، انتشار چنین جزئیاتی به مهاجمان کمکی نمی‌کند؛ چراکه بسیاری از آن‌ها به هرحال فهرست تغییرات نرم‌افزار و فایل باینری آن‌ها بررسی می‌کنند. اما جزئیات مربوط به باگ‌ها، شرکت‌ها و مدیران سیستم‌ را برای کاهش آسیب‌پذیری و تشخیص آن‌ها یاری می‌کنند.

این تعادل دشواری است؛ اما هدف ما هموارتر کردن زمین بازی است. تیم پروژه زیرو اعلام کرده است هنگامی که گزارش باگ‌ها به‌صورت عمومی منتشر می‌شوند، کدهای اثبات مفهوم موجود در گزارش‌ها، زنجیره کامل اکسپلویت‌ها را شامل نمی‌شوند. درعوض، گوگل تنها بخشی از زنجیره اکسپلویت را منتشر می‌کند؛ بنابراین مهاجمان برای تکمیل آن مجبور هستند تحقیقات بیشتری را انجام دهند.

پروژه زیرو اعلام کرد:

مهاجمان ماهر، برای تبدیل گزارش باگ به زنجیره قابل‌اطمینان اکسپلویت، قادر خواهند بود زنجیره اکسپلویت مشابهی را طراحی کنند؛ حتی اگر ما جزئیات باگ را منتشر نکنیم.
پروژه زیرو گوگل / Google Project Zero

تیم پروژه گوگل همچنین به سایر محققان امنیتی پیشنهاد می‌کند که مسیرشان را دنبال کرده و برای انتشار جزئیات باگ‌ها مهلت محدودی تعیین کنند:

ما عقیده داریم که هرچه محققان بیشتری برای انتشار گزارش باگ‌های کشف‌شده‌شان ضرب‌الاجل تعیین کنند، امنیت سایبری بهبود خواهد یافت. دلایل بسیاری وجود دارد که محقق امنیتی سیاست تعیین ضرب‌الاجل را برای انتشار گزارش جزئیات باگ تخاذ نمی‌کنند. اما ما با تعیین ضرب‌الاجل برای انتشار گزارش نقص‌های امنیتی، نتایج مثبت بسیاری را مشاهده کرده‌ایم و به‌کارگیری روند مشابه را به سایر محققان امنیتی پیشنهاد می‌کنیم.

به هرحال نکات بالا تنها موضوعات مهم منتشرشده ازسوی محققان گوگل به‌شمار نمی‌روند. جزئیات دیگر و سایر نکات اصلی موجود در صفحه سوالات متداول پروژه زیرو در ادامه آورده شده است:

  • هنگامی که محققان امنیتی گوگل یک حمله روز صفر فعال را گزارش می‌کنند، مهلت شرکت مربوطه از ۹۰ روز به هفت روز کاهش می‌یابد.
  • پروژه زیرو مهلت ۹۰ روزه افشاء جزئیات باگ را دوبار رعایت نکرده است؛ یک بار برای مشکل تسک‌تی آی‌او‌اس (۱۴۵ روز) و بار دیگر برای نقص‌های امنیتی ملتداون و اسپکتر(۲۱۶ روز).
  • کدهای اثبات مفهوم پروژه زیرو زنجیره کامل اکسپلویت را شامل نمی‌شود.
  • افشای جزئیات باگ در کوتاه‌مدت به مهاجمان کمی نمی‌کند.
  • مدافعان (شرکت‌ها) بیشتر سود را از انتشار جزئیات باگ می‌برند.
  • گوگل امیدوار است که گزارش افشای جزئیات باگ به بهبود امنیت کمک می‌‌کند؛ مانند سرمایه‌گذاری شرکت‌ها در کاهش سطح حملات،، کاهش اکسپلویت‌ها و بهبود جعبه شنی.
  • پروژه زیرو همچنین باگ‌های موجود در محصولات گوگل را نیز کشف و گزارش می‌کنند که در بستر اعطای جایزه برای کشف باگ‌های گوگل اعلام می‌شوند.
  • کارمندان دیگر گوگل نیز که عضو تیم پروژه زیرو نیستند، به گزارش باگ‌های کشف‌شده پروژه زیرو دسترسی دارند.
  • تبلیغات
    داغ‌ترین مطالب روز

    نظرات

    تبلیغات