Projeto Zero do Google dá às empresas de tecnologia mais tempo para consertar vulnerabilidades

O Google Project Zero, uma equipe de especialistas em segurança empregada pelo gigante das buscas com o trabalho de caçar vulnerabilidades de software de dia zero, atualizou suas diretrizes de divulgação de vulnerabilidades.

A política atualizada adiciona uma janela extra de 30 dias para algumas divulgações de bug de segurança. Antes disso, os pesquisadores do Google publicariam detalhes de vulnerabilidades em seu rastreador de bugs online no final de uma janela de 90 dias, ou depois que o bug fosse corrigido.

Longer to Patch

O mês adicional (aproximadamente) dá aos fornecedores e usuários um pouco mais de tempo para desenvolver, compartilhar e instalar os patches necessários para seus softwares antes que os detalhes da vulnerabilidade sejam compartilhados online. Essa é uma boa notícia, pois, no momento em que os detalhes da vulnerabilidade são compartilhados online, eles podem ser transformados em armas pelos invasores.

Embora os patches tenham sido lançados na maioria das vezes até o ponto em que os detalhes da vulnerabilidade são publicados, isso ainda depende de os próprios usuários terem instalado os patches. Em alguns casos, isso pode ser uma tarefa demorada. Os 30 dias extras do Google são, portanto, uma boa notícia.

"O objetivo de nossa atualização de política de 2021 é tornar o cronograma de adoção do patch uma parte explícita de nossa política de divulgação de vulnerabilidade", disse Tim Willis, do Project Zero Vendors, em uma postagem de blog que descreve a mudança. "Os fornecedores agora terão 90 dias para o desenvolvimento do patch e mais 30 dias para a adoção do patch."

Além disso, o Project Zero está estendendo o período de carência extra de 30 dias para vulnerabilidades de dia zero que estão sendo ativamente exploradas contra usuários em liberdade. Embora o prazo de divulgação seja de apenas sete dias para a correção, os detalhes técnicos só serão publicados 30 dias após a correção – contanto que o problema seja corrigido pelos desenvolvedores. Caso contrário, os detalhes técnicos serão publicados imediatamente.

Vulnerabilidades estendidas para dia zero também

Essas novas regras serão aplicadas em 2021, embora as coisas possam mudar novamente no futuro. Como a postagem do blog observa: "Nossa preferência é escolher um ponto de partida que possa ser atendido de forma consistente pela maioria dos fornecedores e, em seguida, reduzir gradualmente os cronogramas de desenvolvimento e adoção de patches."

Conseguir esses tipos de divulgações corretas é uma tarefa difícil, equilibrando os melhores interesses dos usuários com dar aos desenvolvedores tempo suficiente para desenvolver e lançar um patch. Como a equipe do Project Zero está claramente ciente, é uma área que continuará a ser ajustada à medida que a segurança cibernética e as medidas de correção se desenvolvem.

Por enquanto, porém, você teria dificuldade em sugerir que os especialistas em segurança do Google não estão fazendo a coisa certa.

Crédito da imagem: Mitchell Luo / Unsplash CC