‘Projeto Zero’ investiga a segurança de vários produtos e pode divulgar falhas que não foram corrigidas pelos fabricantes. Google tem equipe que encontra e revela vulnerabilidades em softwares populares do mercado.
Arnd Wiegmann/Reuterus
O Google anunciou uma mudança nos prazos praticados pelo “Projeto Zero”, sua equipe de “hackers do bem”. Pela primeira vez, o Google dará um prazo de 30 dias para que usuários instalem as atualizações fornecidas pelos desenvolvedores após uma vulnerabilidade ser corrigida.
O “Projeto Zero” foi formado pelo Google para patrocinar a caça de brechas em softwares relevantes de qualquer empresa, inclusive de concorrentes como Apple e Microsoft. O objetivo é antecipar a descoberta de falhas para que elas sejam corrigidas antes que criminosos as explorem.
Desde a sua criação, em 2014, o Projeto Zero tem eventuais atrito com desenvolvedores. Pelas regras da iniciativa, as falhas não corrigidas dentro de 90 dias são divulgadas publicamente para pressionar os desenvolvedores a lançar correções.
Essa pressão sobre os desenvolvedores também coloca os usuários em risco. Especialistas debatem há anos os méritos de cada escolha – se é melhor manter falhas em sigilo ou divulgá-las para informar usuários e constranger os fornecedores de software.
No caso das falhas que foram corrigidas pelos fabricantes, o Google divulgava os detalhes técnicos do problema e quase que imediatamente após a solução ser disponibilizada para os usuários – mesmo antes do prazo de 90 dias ter decorrido.
Ou seja, os detalhes eram publicados em 90 dias ou após a correção da falha, o que viesse primeiro.
É nessa situação que entra o novo prazo estipulado pelo Google. Agora, as informações sobre as vulnerabilidades serão retidas por 30 dias após a atualização ou solução ser disponibilizada, dando mais tempo para que usuários e empresas apliquem as correções em seus sistemas.
A divulgação imediata de dados de vulnerabilidades não afeta empresas que atuam principalmente com soluções on-line – como é o caso do próprio Google. Nessas soluções “em nuvem”, qualquer atualização tende a ser aplicada de imediato para todos os usuários.
Mas este não é o caso para sistemas e aplicativos instalados em aparelhos, como o Android, Windows ou Chrome. A disponibilidade de dados técnicos de uma falha pode permitir que criminosos explorem a brecha para atacar usuários que ainda não atualizaram seus softwares.
A partir de agora, no caso do Projeto Zero, eles terão um período de 30 dias para baixar e instalar essas atualizações.
Desenvolvedores podem solicitar extensões
Desde a sua criação, o Google vem estendendo os prazos praticados pelo Projeto Zero. Hoje, desenvolvedores podem solicitar até 14 dias de extensão para o prazo de 90 dias concedido para falhas normais.
A nova política do Projeto Zero prevê a possibilidade de extensão para as falhas chamadas “dia zero” – aquelas que são encontradas em ataques reais, não em ambientes de testes.
O Google possui outra equipe de especialistas, chamada de Grupo de Análise de Ameaças (Threat Analysis Group, ou “TAG”, na sigla em inglês), responsável por investigar ataques em curso na internet. Essas investigações muitas vezes encontram códigos de ataque inéditos, que podem explorar falhas desconhecidas.
Nesse caso, como a vulnerabilidade já é de conhecimento dos criminosos, o Google dá um prazo de apenas sete dias para que o desenvolvedor se manifeste e publique uma solução. Os detalhes do problema são divulgados após o fim desse prazo, havendo ou não alguma forma de contornar o problema.
Porém, a nova regra do Google que dá tempo para os usuários instalarem atualizações também vale para esses casos. Sendo assim, problemas corrigidos dentro do prazo de sete dias ganharão uma extensão de 30 dias para a divulgação.
Os desenvolvedores também podem solicitar uma extensão de três dias para estes casos, dando um total de dez dias para a criação de um “patch”.
Dessa forma, o prazo máximo de divulgação para falhas já exploradas salta de 7 para até 40 dias: os sete dias iniciais, mais três solicitados pelo desenvolvedor, mais 30 caso uma solução seja publicada.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Veja dicas para manter seguro on-line:
Comentar