امنیت و هک

پروژه صفر گوگل: تحلیل جامع سیاست‌های امنیتی و تغییرات مهلت رفع آسیب‌پذیری‌ها

تیم پیشگامیت
تیم پیشگامیت
نویسنده
۱۳۹۶/۰۱/۱۷
6 دقیقه مطالعه
0 نظر
پروژه صفر گوگل: تحلیل جامع سیاست‌های امنیتی و تغییرات مهلت رفع آسیب‌پذیری‌ها

مقدمه‌ای بر پروژه صفر گوگل و اهمیت آن در امنیت سایبری

در دنیای امروز که نرم‌افزارها بخش جدایی‌ناپذیر از زندگی روزمره ما شده‌اند، امنیت سایبری به یکی از بزرگ‌ترین چالش‌های بشریت تبدیل شده است. هر روز هزاران خط جدید کد نوشته می‌شود و با افزایش پیچیدگی نرم‌افزارها، حفره‌های امنیتی جدیدی نیز پدیدار می‌شوند. در این میان، نقش شرکت‌های بزرگ تکنولوژی در حفاظت از کاربران بسیار پررنگ شده است. پروژه صفر گوگل (Google Project Zero) یکی از مهم‌ترین و تخصصی‌ترین ابتکارهای جهان برای مقابله با تهدیدات سایبری است که توسط غول دنیای فناوری، یعنی گوگل، پایه‌گذاری شده است.

این پروژه با هدفی بسیار مشخص و جسورانه آغاز به کار کرد: پیدا کردن، شناسایی و رفع حفره‌های امنیتی روز صفر (Zero-day vulnerabilities) قبل از اینکه توسط هکرها و مجرمان سایبری مورد سوءاستفاده قرار گیرند. اما سوال مهم اینجاست که چرا گوگل هزینه‌های کلانی را صرف تیمی می‌کند که وظیفه‌ی اصلی آن پیدا کردن باگ در نرم‌افزارهای سایر شرکت‌ها است؟ پاسخ این سوال در فلسفه‌ی وجودی وب و اینترنت نهفته است. گوگل معتقد است که امنیت اینترنت به صورت یکپارچه عمل می‌کند و اگر یک حلقه در این زنجیره ضعیف باشد، تمام کاربران در معرض خطر قرار می‌گیرند.

پروژه صفر چیست و چگونه عمل می‌کند؟

پروژه صفر تیمی متشکل از برجسته‌ترین محققان امنیتی و هکرهای کلاه سفید جهان است که وظیفه دارند به طور اختصاصی به کشف آسیب‌پذیری‌های ناشناخته در نرم‌افزارهای پرکاربرد بپردازند. برخلاف تصور عموم، این تیم فقط روی محصولات خودِ گوگل تمرکز ندارد؛ بلکه نرم‌افزارهای وسیعی که مردم در سراسر جهان از آن‌ها استفاده می‌کنند را زیر ذره‌بین قرار می‌دهد. این شامل سیستم‌عامل‌ها، مرورگرها، درایورها و حتی سخت‌افزارها می‌شود.

فلسفه نام‌گذاری: روز صفر

واژه‌ی "صفر" در نام این پروژه به اصطلاح امنیتی "روز صفر" اشاره دارد. یک حفره امنیتی روز صفر به باگی گفته می‌شود که تا آن لحظه توسط سازنده نرم‌افزار کشف نشده و هیچ وصله امنیتی (Patch) برای آن وجود ندارد. این نوع حفره‌ها بسیار خطرناک هستند زیرا هکرها می‌توانند از آن‌ها برای حمله به سیستم‌ها استفاده کنند و قربانی هیچ دفاعی در برابر آن‌ها نداشته باشد. هدف پروژه صفر این است که این حفره‌ها را قبل از مجرمان سایبری پیدا کرده و به سازندگان نرم‌افزار اطلاع دهد تا "روز صفر" به "روز منفی" تبدیل شود؛ یعنی مشکل قبل از بروز حمله حل شده باشد.

سیاست‌های افشای امنیتی و ددلاین ۹۰ روزه

یکی از بحث‌برانگیزترین و در عین حال موثرترین جنبه‌های پروژه صفر، سیاست افشای عمومی (Disclosure Policy) آن است. طبق قوانین این تیم، پس از کشف یک باگ، گوگل آن را محرمانه به شرکت سازنده نرم‌افزار گزارش می‌دهد. سپس یک تایمر شروع به کار می‌کند. سازنده نرم‌افزار ۹۰ روز فرصت دارد تا حفره امنیتی را برطرف کرده و وصله امنیتی آن را منتشر کند.

پس از گذشت ۹۰ روز، اگر شرکت مربوطه اقدام به رفع مشکل نکرده باشد، گوگل جزئیات کامل آن حفره امنیتی را به صورت عمومی منتشر می‌کند. این کار با هدف فشار گذاشتن به شرکت‌ها برای رفع سریع‌تر مشکلات و همچنین اطلاع‌رسانی به کاربران برای گرفتن تدابیر لازم انجام می‌شود.

چرا افشای عمومی؟

انتشار عمومی جزئیات باگ ممکن است خطرناک به نظر برسد، اما گوگل استدلال می‌کند که این کار باعث می‌شود شرکت‌ها در ترمیم مشکلات خود کوتاهی نکنند. در گذشته، بسیاری از شرکت‌ها گزارش‌های امنیتی را نادیده می‌گرفتند و ماه‌ها یا حتی سال‌ها قبل از رفع مشکل، حفره‌ها مخفی باقی می‌ماندند. این وضعیت به "امنیت از طریق پنهان‌کاری" معروف بود که گوگل با آن مخالف است. سیاست سخت‌گیرانه گوگل باعث شده تا سرعت رفع باگ در صنعت نرم‌افزار به شدت افزایش یابد.

malicious-virus-shutterstock

انتقادات از سوی مایکروسافت و اپل و تغییر رویکرد

اگرچه هدف پروژه صفر امنیت جهانی است، اما همواره مورد انتقاد شرکت‌های بزرگ تکنولوژی مانند مایکروسافت و اپل بوده است. این شرکت‌ها معتقد بودند که مهلت ۹۰ روزه برای رفع برخی مشکلات پیچیده نرم‌افزاری کافی نیست. به خصوص در مواردی که آسیب‌پذیری در بخش‌های عمیق و بنیادین سیستم‌عامل یا در تعامل با سخت‌افزار قرار دارد، تست و توزیع وصله امنیتی نیازمند زمان بیشتری است تا از ایجاد مشکلات جدید در سیستم جلوگیری شود.

کارشناسان این شرکت‌ها بیان می‌کردند که گوگل با انتشار عمومی اطلاعات باگ قبل از رفع شدن آن، عملاً "سلاحی" را در اختیار هکرها قرار می‌دهد. زمانی که جزئیات یک آسیب‌پذیری منتشر می‌شود، مجرمان سایبری می‌توانند بلافاصله از آن برای حمله به سیستم‌های کاربرانی که هنوز وصله را دریافت نکرده‌اند، استفاده کنند. این وضعیت کاربران را در فاصله‌ی زمانی بین افشای باگ و نصب آپدیت، بسیار آسیب‌پذیر می‌کند.

تغییرات جدید: افزودن مهلت ۱۴ روزه به پروژه صفر

در پاسخ به این انتقادات و برای افزایش همکاری با سایر شرکت‌ها، گوگل تصمیم به اصلاح سیاست‌های خود گرفت. طبق اطلاعیه جدید، پروژه صفر تغییراتی را در ددلاین‌های خود اعمال کرده است. در حالی که بازه‌ی زمانی اصلی همچنان ۹۰ روز باقی مانده است، یک مکانیزم جدید برای شرایط خاص اضافه شده است.

اگر شرکتی که نرم‌افزار آسیب‌دیده را تولید کرده، به گوگل اطلاع دهد که برای رفع مشکل به زمان بیشتری نیاز دارد و دلایل موجهی برای این تاخیر ارائه دهد، گوگل یک مهلت اضافی ۱۴ روزه به آن‌ها اعطا خواهد کرد. این تغییر مهم نشان‌دهنده‌ی انعطاف‌پذیری گوگل در برخورد با مسائل پیچیده نرم‌افزاری است.

جزئیات مهلت تمدیدی

  • شرایط درخواست: شرکت سازنده باید قبل از پایان مهلت ۹۰ روزه، درخواست خود را ثبت کند.
  • شفافیت: درخواست تمدید باید شامل دلایل فنی و نقشه راه مشخص برای رفع مشکل باشد.
  • محدودیت: این تمدید معمولاً فقط یک بار قابل اعمال است تا از تاخیرهای طولانی‌مدت جلوگیری شود.

اهداف اصلی پروژه صفر گوگل

گوگل با راه‌اندازی این تیم، اهداف فراتر از یک ابتکار تجاری را دنبال می‌کند. اهداف اصلی این پروژه را می‌توان در موارد زیر خلاصه کرد:

  • حفاظت از کاربران: اولویت اول، جلوگیری از سوءاستفاده هکرها از نرم‌افزارهای پرکاربرد است.
  • فشار برای شفافیت: وادار کردن شرکت‌ها به پذیرش مسئولیت و رفع سریع مشکلات امنیتی.
  • بهبود اکوسیستم نرم‌افزاری: ارتقای استانداردهای امنیتی در سطح جهان.
  • تحقیق و توسعه: ایجاد دانش جدید در زمینه امنیت که در اختیار عموم قرار می‌گیرد.

دستاوردها و کشفیات برجسته

از زمان تأسیس، پروژه صفر صدها آسیب‌پذیری بحرانی را کشف کرده است. این تیم توانسته حفره‌های امنیتی خطرناکی را در محصولات مایکروسافت (مانند ویندوز)، اپل (مانند iOS و macOS)، ادوبی و سایر شرکت‌های بزرگ شناسایی کند. بسیاری از این باگ‌ها از نوع "حافظه در معرض خطر" (Memory Corruption) بودند که می‌توانستند به مهاجمان اجازه دهند کنترل کامل سیستم قربانی را به دست بگیرند.

تمام این گزارش‌ها در یک پایگاه داده عمومی ثبت می‌شوند که به محققان امنیتی در سراسر جهان کمک می‌کند تا الگوهای حمله را بهتر درک کنند. این رویکرد باز و اشتراک دانش، اثرگذاری این پروژه را چندین برابر کرده است.

جمع‌بندی و نتیجه‌گیری

پروژه صفر گوگل نمونه‌ای از مسئولیت‌پذیری اجتماعی در عصر دیجیتال است. با وجود انتقاداتی که بر سر سیاست‌های افشای عمومی وارد شده، هیچ‌کس نمی‌تواند نقش این پروژه را در ایمن‌سازی اینترنت انکار کند. افزایش مهلت ۱۴ روزه، نشان‌دهنده‌ی بلوغ بیشتر این پروژه و گوش دادن به نیازهای عملیاتی شرکت‌های دیگر است. در نهایت، برنده اصلی این تلاش‌ها، کاربران نهایی هستند که می‌توانند با خیالی آسوده‌تر از نرم‌افزارها استفاده کنند.

آینده‌ی امنیت سایبری نیازمند همکاری بیشتر میان غول‌های تکنولوژی است و پروژه صفر گام مهمی در این مسیر برداشته است تا استانداردهای جدیدی را برای شفافیت و سرعت واکنش در برابر تهدیدات تعریف کند.

نظرات

0