پروژه زيرو گوگل: ۹۵.۸ درصد باگها پيش از اتمام مهلت رفع ميشوند
تيم پروژه زيرو گوگل (Project Zero) ادعا ميكند كه حدود ۹۵.۸ درصد باگهاي امنيتي كه توسط محققانش در نرمافزارهاي ساير شركتها يافت شده و به آنها گزارش ميشود، پيش از پايان ضربالاجل براي انتشار عمومي، رفع ميشوند.
اين موضوع براي يكي از بدنامترين پروژههاي امنيت سايبري [پروژه زيرو] موفقيت بزرگي محسوب ميشود.
تيم امنيتي زبده گوگل طي آماري كه روز چهارشنبه منتشر كرد، اظهار داشت كه در طي تمام تاريخچه اين تيم، يعني از هفدهم ژوئيه ۲۰۱۴ تا سيام ژوئيه ۲۰۱۹، محققانش تعداد ۱۵۸۵ آسيبپذيري امنيتي را براي طيف وسيعي از شركتهاي نرمافزاري و سختافزاري، يافته و گزارش دادهاند.
غول موتورهاي جستوجو ادعا ميكند كه از اين تعداد، تنها ۶۶ باگ گزارش شده از سوي آن، پيش از اتمام ضربالاجل، توسط شركتهاي مربوطه رفع نشده است؛ درنتيجه محققان پروژه زيرو مجبور شدهاند پيش از رفع اشكال، جزئيات متخصص آسيبپذيريهاي مذكور را براي عموم منتشر كنند.
در ماههاي اوليه تاريخچه تأسيس پروژه زيرو گوگل، زمان درانديشه متخصصين گرفته شده براي ارائه عمومي جزييات نقصهاي امنيتي كشفشده، به ۹۰ روز محدود بود؛ اما در تاريخ ۱۳ فوريه ۲۰۱۵ تحت شرايطي خاص، ۱۴ روز ديگر به مهلت ضربالاجل براي افشاي جزئيات باگها اضافه كرد.
گوگل عقيده دارد كه ارائه اين مهلت اضافي روند گزارش باگها را بهبود بخشيده است. با ارائه اين مهلت اضافي، شركتها وقت بيشتري براي ارائه وصلههاي امنيتي داشتند. در برخي از موارد، باوجود آماده بودن بهروزرسانيها، شركتها مجبور بودند آنها را بهصورت ماهانه ارائه دهند و همين مسئله سبب پايان يافتن مهلت ضربالاجل ميشد؛ هرچند باگها از لحاظ متخصص برطرف شده بودند.
افزايش مهلت ضربالاجل همچنين روي دقت آمار و بازده كار تيم پروژ زير تأثير مثبت داشته است.
تيم پروژه زيرو در اين باره بيان ميكند:
اگر ما در آمار اعلام شده، مهلت اضافي ۱۴ روزه را نيز حساب ميكرديم (۱۳ فوريه ۲۰۱۵ تا ۳۰ ژوئيه ۲۰۱۹) ، ۱۴۳۴ باگ رفعشده داشتيم. از اين ميزان ۱۲۲۴ باگ طي ۹۰ روز رفع ميشدند و ۱۷۴ نقص امنيتي ديگر در مهلت اضافي ۱۴ روزه برطرف ميشدند؛ در نتيجه ۳۶ آسيبپذيري رفعنشده باقي ميماند و به عبارت ديگر، ۹۷.۵ درصد باگهاي امنيتي پيش از اتمام مهلت رفع ميشدند.
پروژه زيرو گوگل كه اخيرا پنجمين سالگرد تولدش را جشن گرفت، جهت رسيدگي به نرمافزارها و سختافزارهاي مورد استفاده در داخل گوگل و گزارش باگ به شركتهاي مربوطه تأسيس شد. هر باگي كه محققان امنيتي گوگل كشف ميكنند توسط تيم زيرو مستندسازي و سپس به شركتهاي مربوطه گزارش ميشوند. اطلاعات مربوط به گزارش باگها، بعضا حاوي جزئيات متخصص دقيق و كد اثبات مفهوم براي كاهش باگها هستند و پس از اتمام مهلت ضربالاجل يا رفع آنها توسط شركتهاي مربوطه، براي عموم منتشر ميشوند.
محققان امنيتي پروژه زيرو طي چند سال اخير، بهخاطر انتشار جزئيات دقيق و كدهاي اكسپلويت اثبات مفهوم (PoC) مربوط به باگهاي كشفشده، مورد انتقاد شديد قرار گرفتهاند. محققان امنيتي عقيده دارند كه انتشار چنين گزارشهايي، به مهاجمان در طراحي اكسپلويت براي حمله به متخصصان كمك كردهاند.
تيم پروژه زيرو اخيرا در صفحه سوالات متداول خود از اقداماتش دفاع كرده است؛ با اين ادعا كه گزارش باگها به مدافعان بيشتر از مهاجمان كمك كرده است.
محققان پروژه زيرو ميگويند:
مهاجمان انگيزه واضحي در اختصاص دادن وقت براي تحليل وصلههاي امنيتي دارند تا آسيبپذيريها را بهتر بشناسند (ازطريق مطالعه كد منبع يا مهندسي معكوس باينري) و هرچند شركتها و محققان در حفظ دادههاي متخصص كوشا باشند، مهاجمان بهسرعت جزئيات كاملي از آن را منتشر ميكنند.
از آنجا كه استفاده مهاجمان و مدافعان از اطلاعات مربوط به آسيبپذيريها بسيار متفاوت است، انتظار نميرود كه مهاجمان بتوانند با دقت مشابه مدافعان، آنها را تحليل كنند. بازخوردي كه از سوي مدافعان دريافت ميكنيم آن است كه آنها جزئيات بيشتري را درباره خطراتي كه خود يا متخصصانشان را تهديد ميكند، درخواست دارند.
افشاي جزئيات باگها به مدافعان بيشتر از مهاجمان كمك ميكند
بنابراين از انديشه متخصصين گوگل، انتشار چنين جزئياتي به مهاجمان كمكي نميكند؛ چراكه بسياري از آنها به هرحال فهرست تغييرات نرمافزار و فايل باينري آنها مطالعه ميكنند. اما جزئيات مربوط به باگها، شركتها و مديران سيستم را براي كاهش آسيبپذيري و تشخيص آنها ياري ميكنند.
اين تعادل دشواري است؛ اما هدف ما هموارتر كردن زمين بازي است. تيم پروژه زيرو اعلام كرده است هنگامي كه گزارش باگها بهصورت عمومي منتشر ميشوند، كدهاي اثبات مفهوم موجود در گزارشها، زنجيره كامل اكسپلويتها را شامل نميشوند. درعوض، گوگل تنها بخشي از زنجيره اكسپلويت را منتشر ميكند؛ بنابراين مهاجمان براي تكميل آن مجبور هستند تحقيقات بيشتري را انجام دهند.
پروژه زيرو اعلام كرد:
مهاجمان ماهر، براي تبديل گزارش باگ به زنجيره قابلاطمينان اكسپلويت، قادر خواهند بود زنجيره اكسپلويت مشابهي را طراحي كنند؛ حتي اگر ما جزئيات باگ را منتشر نكنيم.
تيم پروژه گوگل همچنين به ساير محققان امنيتي پيشنهاد ميكند كه مسيرشان را دنبال كرده و براي انتشار جزئيات باگها مهلت محدودي تعيين كنند:
ما عقيده داريم كه هرچه محققان بيشتري براي انتشار گزارش باگهاي كشفشدهشان ضربالاجل تعيين كنند، امنيت سايبري بهبود خواهد يافت. دلايل بسياري وجود دارد كه محقق امنيتي سياست تعيين ضربالاجل را براي انتشار گزارش جزئيات باگ تخاذ نميكنند. اما ما با تعيين ضربالاجل براي انتشار گزارش نقصهاي امنيتي، نتايج مثبت بسياري را مشاهده كردهايم و بهكارگيري روند مشابه را به ساير محققان امنيتي پيشنهاد ميكنيم.
به هرحال نكات بالا تنها موضوعات مهم منتشرشده ازسوي محققان گوگل بهشمار نميروند. جزئيات ديگر و ساير نكات اصلي موجود در صفحه سوالات متداول پروژه زيرو در ادامه آورده شده است:
هم انديشي ها