This post is also available in: Português
Google adiciona 30 dias ao prazo das publicações de detalhes de bugs.
Em meio à imensa estrutura do Google, existe uma equipe chamada Project Zero. É formada por profissionais dedicados a encontrar falhas de segurança tanto em seus softwares quanto em programas utilizados por usuários do Google.
Por padrão, as vulnerabilidades descobertas pelo Project Zero são relatadas ao fabricante, e se tornam públicas apenas quando um patch é lançado – ou quando se passam 90 dias sem a publicação de correções.
Contudo, agora o Google adicionou um período extra de 30 dias a esse ciclo de divulgação. A ideia é que exista mais tempo para corrigir os problemas antes que os detalhes técnicos sejam divulgados.
Na prática, não haverá uma mudança extremamente significativa nos cronogramas de desenvolvimento de patches. “Continuamos a receber feedback de fornecedores de que eles estavam preocupados em divulgar publicamente detalhes técnicos sobre vulnerabilidades e explorações antes que a maioria dos usuários instalasse o patch. Em outras palavras, o cronograma implícito para a adoção do patch não era claramente compreendido”, explicou Tim Willis, gerente do Project Zero.
O período de carência extra de 30 dias antes que os detalhes sejam liberados se aplicará apenas a bugs corrigidos dentro do período inicial de 90 dias. Se um problema permanecer sem correção após 90 dias, os detalhes técnicos serão publicados imediatamente.
O Google também adicionou o período de 30 dias aos patches para bugs que estão sendo explorados ativamente contra os usuários. Se um problema permanecer sem correção após sete dias, os detalhes técnicos serão publicados imediatamente, mas se for corrigido em uma semana, esses dados serão divulgados 1 mês após o patch.
Mais proteção
Willis afirmou que a liberação antecipada dos detalhes em torno de cada bug beneficia, essencialmente, aqueles que se dedicam à segurança digital – ajudando a proteger os usuários. Entretanto, ele também reconheceu que existe o risco de que as novas medidas atraiam ataques oportunistas.
“Mudar para um modelo ’90 +30 ‘nos permite desacoplar o tempo de correção do tempo de adoção do patch, reduzir o debate contencioso em torno de trade-offs de atacante e defensor e o compartilhamento de detalhes técnicos”, complementa.
O prazo de 90 dias surgiu ainda no primeiro ano de atividades do Project Zero. Foi em 30 de setembro de 2014, quando o Google detectou uma falha de segurança no Windows 8.1 chamada “NtApphelpCacheControl”. Tal vulnerabilidade permitia que um usuário convencional conseguisse um acesso limitado a administradores.
Naquela ocasião, a Microsoft foi notificada imediatamente, mas não corrigiu o problema. Perto do fim do ano, em 29 de dezembro, a equipe do Project Zero decidiu publicar informações sobre o bug, o que levou a Microsoft a publicar uma nota oficial informando que estava trabalhando na resolução do problema. Especula-se que tal atitude pressionou a Microsoft a agir mais rapidamente na correção da falha, algo que se estendeu a milhares de outros desenvolvedores – mais uma prova de que o Google pode, e deve, usar o poder que conquistou para estimular práticas em prol da segurança digital.
This post is also available in: Português
