Google avertizeaza Microsoft si Apple: Daca nu va rezolvati vulnerabilitatile software, le publicam
O echipa de elita a Google, formata din hackeri si programatori, cauta deficientele de securitate ale aplicatiilor software ale sale si ale altor companii. Google avertizeaza competitorii sai ca daca nu vor elimina vulnerabilitatile in 90 de zile, atunci le va face publice.
Google sustine ca producatorii de software trebuie sa actioneze rapid intrucat infractorii cibernetici actioneaza cu viteza fulgerului atunci cand identifica un defect, transmite Bloomberg.
Microsoft si Apple au refuzat sa comenteze pe tema acestui subiect sensibil, in timp ce alti membri ai industriei spun ca echipa Google uzurpa un rol care revine cel mai bine autoritatilor guvernamentale.
"Nu sunt sigur cine a desemnat Google drept arbitrul oficial al pietei, pentru anuntarea vulnerabilitatilor. Presiunea asupra companiilor pentru eliminarea deficientelor este o idee buna, dar care este motivul nobil de a dezvalui problemele inregistrate de doi mari competitori?", a afirmat John Dickson, director la compania Denim Group, din San Antonio, specializata in securitate informatica.
Google a infiintat echipa in iulie anul trecut si a numit-o "Project Zero", dupa mult-temuta "zi zero", in care deficientele de securitate pot fi exploatate de rauvoitori inainte ca dezvoltatorii sa le cunoasca.
Unii experti in securitate informatica sustin ca astfel de activitati sunt mai potrivite unei agentii guvernamentale. Rolul sectoarelor publice si private este unul dintre subiectele care vor fi discutate la un summit pe tema securitatii cibernetice care va avea loc vineri, la Palo Alto, California, la care presedintele american Barack Obama va cere liderilor din sectorul tehnologiei sa imbunatateasca relatiile de colaborare si sa face mai multe schimburi de informatii.
Unii analisti se intreaba insa cum poate avea loc colaborarea, daca cele mai mari companii din industria Interneatului nu se pot intelege intre ele.
Reprezentantii Apple au refuzat sa comenteze, iar cei ai Microsoft au facut referire la o declaratie anterioara, potrivit careia practica Google seamana cu "jocul de-a prinselea", ilustrand neintelegerile pe aceasta tema.
Oponentii Google sustin ca practicile gigantului pun in pericol securitatea online, prin dezvaluirea breselor de securitate inainte ca acestea sa poata fi eliminate.
Hackerii lucreaza rapid pentru a exploata problemele, odata ce sunt cunoscute. Astfel, hackeri din China s-au folosit anul trecut de un bug de securitate numit "Heartbleed", pentru a ataca sistemul Community Health Systems Inc. In ianuarie, Apple a cerut Google sa astepte o saptamana inainte de a face publice trei deficiente din sistemul de operare Mac OS X. Google stia ca se lucreaza la eliminarea problemei si avea in posesie o versiune actualizata a softului, intrucat lucreaza ca dezvoltator pentru Apple, dar cu toate acestea a refuzat si a publicat informatia, a spus o persoana apropiata situatiei.
Microsoft la randul sau a solicitat inca doua zile pentru a elimina o problema a Windows, dar Google a refuzat si a anuntat-o public.
Sustinatorii Google spun pe de alta parte ca aceasta abordare ferma poate modifica fundamental practicile din industrie, in care rezolvarea breselor de securitate poate dura luni de zile sau chiar ani. Potrivit unei analize efectuate de Risk Based Security, Project Zero a identificat 39 de vulnerabilitati in produsele Apple si 20 in cazul celor ale Microsoft. De asemenea, au fost descoperite 37 de probleme la softul Adobe Systems si 22 in cazul softului FreeType.
Project Zero a publicat detalii referitoare la brese de securitate inainte sa existe remedii pentru acestea de circa 16 ori in cazul produselor Apple, de trei ori in cazul Microsoft si o data in cazul Adobe.
Google a creat Project Zero dupa descoperirea bug-ului Heartbleed si a activitatilor de spionaj ale Agentiei Nationale de Securitate si ale altor guverne.
Google contribuie la dezvoltarea pietei serviciilor de administrare si eliminare a vulnerabilitatilor software, care ar putea creste la 1 miliard de dolari pana in 2018, de la circa 600 de milioane de dolari in 2014, a declarat Christopher Kissel, analist la compania de cercetare a pietei Frost & Sullivan. Kissel considera ca furnizorii de servicii in domeniul managementului vulnerabilitatilor, precum Hewlett-Packard, Tenable Network Security si Qualys, ar putea profita de fondurile mai mari alocate rezolvarii acestor probleme.