پروژه زيرو گوگل: ۹۵.۸ درصد باگ‌ها پيش از اتمام مهلت رفع مي‌شوند

تيم پروژه زيرو گوگل (Project Zero) ادعا مي‌كند كه حدود ۹۵.۸ درصد باگ‌هاي امنيتي كه توسط محققانش در نرم‌افزارهاي ساير شركت‌ها يافت شده و به آن‌ها گزارش مي‌شود، پيش از پايان ضرب‌الاجل براي انتشار عمومي، رفع مي‌شوند.

اين موضوع براي يكي از بدنام‌ترين پروژه‌هاي امنيت سايبري [پروژه زيرو] موفقيت بزرگي محسوب مي‌شود.

تيم امنيتي زبده گوگل طي آماري كه روز چهارشنبه منتشر كرد، اظهار داشت كه در طي تمام تاريخچه اين تيم، يعني از هفدهم ژوئيه ۲۰۱۴ تا سي‌ام ژوئيه ۲۰۱۹، محققانش تعداد ۱۵۸۵ آسيب‌پذيري امنيتي را براي طيف وسيعي از شركت‌هاي نرم‌افزاري و سخت‌افزاري، يافته و گزارش داده‌اند.

در ماه‌هاي اوليه تاريخچه تأسيس پروژه زيرو گوگل، زمان درانديشه متخصصين گرفته شده براي ارائه عمومي جزييات نقص‌هاي امنيتي كشف‌شده، به ۹۰ روز محدود بود؛ اما در تاريخ ۱۳ فوريه ۲۰۱۵ تحت شرايطي خاص، ۱۴ روز ديگر به مهلت ضرب‌الاجل براي افشاي جزئيات باگ‌ها اضافه كرد.

گوگل عقيده دارد كه ارائه اين مهلت اضافي روند گزارش باگ‌ها را بهبود بخشيده است. با ارائه اين مهلت اضافي، شركت‌ها وقت بيشتري براي ارائه وصله‌هاي امنيتي داشتند. در برخي از موارد، باوجود آماده بودن به‌روزرساني‌ها، شركت‌ها مجبور بودند آن‌ها را به‌صورت ماهانه ارائه دهند و همين مسئله سبب پايان يافتن مهلت ضرب‌الاجل مي‌شد؛ هرچند باگ‌ها از لحاظ متخصص برطرف شده بودند.

افزايش مهلت ضرب‌الاجل همچنين روي دقت آمار و بازده كار تيم پروژ زير تأثير مثبت داشته است.

تيم پروژه زيرو در اين باره بيان مي‌كند:

اگر ما در آمار اعلام شده، مهلت اضافي ۱۴ روزه را نيز حساب مي‌كرديم (۱۳ فوريه ۲۰۱۵ تا ۳۰ ژوئيه ۲۰۱۹) ، ۱۴۳۴ باگ رفع‌شده داشتيم. از اين ميزان ۱۲۲۴ باگ طي ۹۰ روز رفع مي‌شدند و ۱۷۴ نقص امنيتي ديگر در مهلت اضافي ۱۴ روزه برطرف مي‌شدند؛ در نتيجه ۳۶ آسيب‌پذيري رفع‌نشده باقي مي‌ماند و به عبارت ديگر، ۹۷.۵ درصد باگ‌هاي امنيتي پيش از اتمام مهلت رفع مي‌شدند.

پروژه زيرو گوگل كه اخيرا پنجمين سالگرد تولدش را جشن گرفت، جهت رسيدگي به نرم‌افزارها و سخت‌افزارهاي مورد استفاده در داخل گوگل و گزارش باگ به شركت‌هاي مربوطه تأسيس شد. هر باگي كه محققان امنيتي گوگل كشف مي‌كنند توسط تيم زيرو مستندسازي و سپس به شركت‌هاي مربوطه گزارش مي‌شوند. اطلاعات مربوط به گزارش‌ باگ‌ها، بعضا حاوي جزئيات متخصص دقيق و كد اثبات مفهوم براي كاهش باگ‌ها هستند و پس از اتمام مهلت ضرب‌الاجل يا رفع آن‌ها توسط شركت‌هاي مربوطه، براي عموم منتشر مي‌شوند.

محققان امنيتي پروژه زيرو طي چند سال اخير، به‌خاطر انتشار جزئيات دقيق و كدهاي اكسپلويت اثبات مفهوم (PoC) مربوط به باگ‌هاي كشف‌شده، مورد انتقاد شديد قرار گرفته‌اند. محققان امنيتي عقيده دارند كه انتشار چنين گزارش‌هايي، به مهاجمان در طراحي اكسپلويت براي حمله به متخصصان كمك كرده‌اند.

تيم پروژه زيرو اخيرا در صفحه سوالات متداول خود از اقداماتش دفاع كرده است؛ با اين ادعا كه گزارش باگ‌ها به مدافعان بيشتر از مهاجمان كمك كرده است.

محققان پروژه زيرو مي‌گويند:

مهاجمان انگيزه واضحي در اختصاص دادن وقت براي تحليل وصله‌هاي امنيتي دارند تا آسيب‌پذيري‌ها را بهتر بشناسند (ازطريق مطالعه كد منبع يا مهندسي معكوس باينري) و هرچند شركت‌ها و محققان در حفظ داده‌هاي متخصص كوشا باشند، مهاجمان به‌سرعت جزئيات كاملي از آن را منتشر مي‌كنند.

از آنجا كه استفاده مهاجمان و مدافعان از اطلاعات مربوط به آسيب‌پذيري‌ها بسيار متفاوت است، انتظار نمي‌رود كه مهاجمان بتوانند با دقت مشابه مدافعان، آن‌ها را تحليل كنند. بازخوردي كه از سوي مدافعان دريافت مي‌كنيم آن است كه آن‌ها جزئيات بيشتري را درباره خطراتي كه خود يا متخصصانشان را تهديد مي‌كند، درخواست دارند.

اين تعادل دشواري است؛ اما هدف ما هموارتر كردن زمين بازي است. تيم پروژه زيرو اعلام كرده است هنگامي كه گزارش باگ‌ها به‌صورت عمومي منتشر مي‌شوند، كدهاي اثبات مفهوم موجود در گزارش‌ها، زنجيره كامل اكسپلويت‌ها را شامل نمي‌شوند. درعوض، گوگل تنها بخشي از زنجيره اكسپلويت را منتشر مي‌كند؛ بنابراين مهاجمان براي تكميل آن مجبور هستند تحقيقات بيشتري را انجام دهند.

پروژه زيرو اعلام كرد:

مهاجمان ماهر، براي تبديل گزارش باگ به زنجيره قابل‌اطمينان اكسپلويت، قادر خواهند بود زنجيره اكسپلويت مشابهي را طراحي كنند؛ حتي اگر ما جزئيات باگ را منتشر نكنيم.

تيم پروژه گوگل همچنين به ساير محققان امنيتي پيشنهاد مي‌كند كه مسيرشان را دنبال كرده و براي انتشار جزئيات باگ‌ها مهلت محدودي تعيين كنند:

ما عقيده داريم كه هرچه محققان بيشتري براي انتشار گزارش باگ‌هاي كشف‌شده‌شان ضرب‌الاجل تعيين كنند، امنيت سايبري بهبود خواهد يافت. دلايل بسياري وجود دارد كه محقق امنيتي سياست تعيين ضرب‌الاجل را براي انتشار گزارش جزئيات باگ تخاذ نمي‌كنند. اما ما با تعيين ضرب‌الاجل براي انتشار گزارش نقص‌هاي امنيتي، نتايج مثبت بسياري را مشاهده كرده‌ايم و به‌كارگيري روند مشابه را به ساير محققان امنيتي پيشنهاد مي‌كنيم.

به هرحال نكات بالا تنها موضوعات مهم منتشرشده ازسوي محققان گوگل به‌شمار نمي‌روند. جزئيات ديگر و ساير نكات اصلي موجود در صفحه سوالات متداول پروژه زيرو در ادامه آورده شده است: