Wired News - Projekti nagrajevanja odkriteljev ranljivosti v programski opremi (bug bounties) so med podjetji že nekaj običajnega. Ima ga tudi Google, kjer so v štirih letih podelili že precej nagrad. Sedaj pa bo Google lovljenje hroščev dvignil na novo dimenzijo, saj se bodo lotili tudi tuje programske opreme in to kar v lastni hiši.
Zagnali so Project Zero, na katerem bodo zaposlili največje strokovnjake za iskanje ranljivosti in lovljenje hroščev. Ti ne bodo imeli nobene omejitve pri delu, ampak se bodo lahko lotili katerekoli programske opreme kateregakoli proizvajalca. Google bo o odkritih ranljivostih obvestil proizvajalca, potem pa podrobnosti tudi javno objavil. Počeli bodo torej nekaj podobnega kot VUPEN, le da bodo po lastnih besedah to počeli iz altruizma.
V Projectu Zero bodo namreč zaposlovali največje zvezde. Med njimi bomo našli Georga Hotza, ki je zaslovel z zlomom iPhona in vdorom v PlayStation, pa recimo Bena Hawkesa, Tavisa Ormandya in Iana Beera, pojasnjuje Chris Evans iz Google, ki vodi projekt. Skupno nameravajo zaposliti deset ljudi, vsa mesta pa še niso zasedena.
Zakaj bi Google izdatno plačeval deseterico zelo sposobnih ljudi, da iščejo ranljivosti v tuji programski opremi? Samooklicani razlog je altruizem, a mu je primešan tudi zdrav ščepec egoizma. Google že dlje časa pravi, da kar je dobro za internet, je dobro tudi za Google. Zato ni presenetljivo, da v napovedi projekta Zero pišejo, da imajo dovolj vladnih in drugih vdorov v računalniške sisteme in prisluškovanja. Google pač zasluži ogromno od uporabe interneta, saj se k njim stekajo velikanske vsote oglaševalskega denarja, zato je v njegovem interesu varen internet.
Upoštevati pa je treba tudi soodvisnost programske opreme, ki jo je nekdanji Googlovec Morgan Marquis-Boire plastično ponazoril: čelada vam na motorju ne pomaga dosti, če vozite v kimonu. Tako na primer tudi ranljivosti v vtičnikih za Chrome - zlasti Flash je pogosto na tapeti - ogrozijo celoten sistem. In potem je Googlova poteza precej bolj razumljiva, sploh ker so stroški desetih (resda visokih) plač za podjetje zanemarljivi.
Juhej, vse aktualne ranljivosti lepo zbrane in dokumentirane pri ameriški korporaciji... NSA sploh ne bo potrebno iskati ranljivosti ampak samo Googlu dostavi še en National Security Letter (če ga že niso in ga prikrivajo z altruizmom).
"ampak se bodo lahko lotili katerekoli programske opreme kateregakoli proizvajalca"
Kaj pa zaprtokodni programi? Ali pa zadevščine kjer ni source-ov? Black box testiranje predvidevam? Seveda kakšne bodo pa posledice v primeru objavljanja lukenj sploh za kak kritičen software kjer bodo zaradi objave lahko uporabnikom zakrivili denarno škodo? Kaj so to za ene bučke?
Še najbolje bi bilo, da Google zero ekipa dobi amnestijo pred vsakršno odgovornostjo, če so jim že dodelili NSA značke. Kot drugo pa ima večina teh "skrbnikov internetne varnosti" svoje dolgoročne načrte za diskreditacijo korporacij, ki niso povezane z NSA, samo da se pridobi določen tržni delež katerekoli dejavnosti.
"You may fool all the people some of the time;
you can even fool some of the people all the time;
but you can't fool all of the people all the time."
V korporacijah ne obstaja altruizem, sploh pa pri tako velikih podjetjih v velikosti Googla. Da smo si na jasnem....vsi so isti (Google, Apple, Microfrost). :)
Seveda kakšne bodo pa posledice v primeru objavljanja lukenj sploh za kak kritičen software kjer bodo zaradi objave lahko uporabnikom zakrivili denarno škodo? Kaj so to za ene bučke?
verjetno z zamikom od obvstilaa proizvajalca kot je praksa za taksne zadeve
Pri zaprti kodi se pač izvaja fuzzing. Sicer pa je tole dobra novica. Škode ne bo nikakršne, ker jo že dela Vupen (green hat hekerji; green, the color of money), gotovo pa bo kakšna korist.
Meni se pa zdi številka zaposlenih za ta projekt nizka. To je sramota za google. Morali bi imeti vsaj 100 ali 1000 zaposlenih za ta namen, da bi izgledalo resno. 1000 proti celemu internetu ni nobena številka, 10 je pa še manjša.
mislim da nima smisla zaposlovati velikega števila ljudi za to, imaš 10 res dobrih in itak ne rabiš da iščejo v vseh zadevah luknje, greš čez najbol uporabljane itd. že tako je treba vedet, da jim tega ni treba, pa ne mislim, da so zaradi tega pa dobrotniki in prinašalci svetovnega miru, vem da delajo na koncu to v svojo korist a kljub temu je to dobro in so že ocenili da se jim toliko pač za to splača zapravit.
Resda tale sumljivo prijazni striček google še vedno izgleda boljša alternativa neznancem, ki se v temnih ulicah srečujejo z Vupenaši, ampak... to je taisti Google, ki bo kasneje v svoji kleti delal na pametni kopalnici, ki se bo financirala z zbiranjem podatkov o kosmatosti uporabnikove riti. Seveda je prispevek h krpanju varnostnih lukenj (absolutno) dobra stvar, ne glede na razloge, ampak nekoč bomo deležni tudi izravnave (in potem tistega neprijetnega občutka, ko ugotoviš, da si je nekdo dobesedno kupil pravico, da te nmau'...). Ne me rauzmet narobe, korporacije je treba imet rad kot svojo lastno žlahto: izkoristiti ugodnosti, zaupati pa jim ne gre preveč.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!
Juhej, vse aktualne ranljivosti lepo zbrane in dokumentirane pri ameriški korporaciji... NSA sploh ne bo potrebno iskati ranljivosti ampak samo Googlu dostavi še en National Security Letter (če ga že niso in ga prikrivajo z altruizmom).
Točno to sem hotel napisat, pa vidim da si me prehitel :)
