Łowcy błędów Google na Security PWNing Conference

Google przykłada dużą wagę do bezpieczeństwa swoich produktów. To jedna z pierwszych firm, które organizowały bug bounty - program nagród przyznawanych za zgłaszanie błędów w oprogramowaniu. Jej pracownicy sami bardzo aktywnie uczestniczyli w podobnych konkursach, a efektem ich pracy są setki odkrytych podatności. W tym roku na Security PWNing Conference będziemy mieli okazję posłuchać kilku z nich.

Kontynuując swój wkład w poprawianie bezpieczeństwa, Google dwa lata temu ogłosił powstanie zespołu Project Zero. Tworzą go wybitni specjaliści, których zadaniem jest szukanie błędów w oprogramowaniu.

Reklama

Nazwa pochodzi od terminu zero-day, określającego lukę, o której istnieniu twórcy aplikacji nie mają świadomości. Ponieważ nie istnieją zabezpieczenia przed atakiem, który wykorzystuje taką podatność, użytkownicy narażeni są na poważne niebezpieczeństwa.

W przeszłości tego typu błędy były wykorzystywane również przeciwko aktywistom lub w celu inwigilacji. Inspiracją dla stworzenia Project Zero miało być uczynienie Internetu bezpieczniejszym dla użytkowników poprzez eliminację podobnych zagrożeń, zanim zostaną odkryte i wykorzystane przez przestępców. 

Jednym z  ważniejszych aspektów projektu jest to, że Google nie ogranicza się jedynie do swoich produktów - członkowie zespołu mogą szukać błędów praktycznie wszędzie. Na liście wielokrotnie pojawiały się pozycje, dotyczące oprogramowania firmy Apple czy Microsoft.

Więcej informacji do znalezienia pod tym adresem

Proces informowania o istnieniu podatności opiera się na wyznaczeniu terminu, w czasie którego podatność powinna zostać naprawiona. Błąd zgłaszany jest twórcy oprogramowania,  termin zazwyczaj wynosi od 60 do 90 dni (mniej w poważnych przypadkach), a po tym czasie wszystkie szczegóły zostają ujawnione i opublikowane w publicznej bazie danych.

Ważnym powodem, dla którego podatności powinny być upubliczniane i opisywane, jest potrzeba poinformowania o nich zainteresowanych użytkowników, aby w razie czego mogli podjąć dodatkowe kroki w celu lepszej ochrony swoich systemów. Drugim argumentem jest niechęć twórców oprogramowania do poprawiania błędów. Jeśli nie istnieje możliwość, żeby informacja o lukach w ogóle się pojawiła, zdarza się, że kwestia ich naprawy jest ignorowana, ponieważ wpływa na zły wizerunek firmy oraz jest kosztowna i czasochłonna. Utrzymywanie tego w sekrecie jest łatwiejsze dla twórców, ale bezpieczeństwo użytkowników oprogramowania pozostaje zagrożone, ponieważ brak jest motywacji do tworzenia lepszych produktów.

Oprócz bug-bounty, inną formą, która zachęca do szukania podatności, są konkursy. 13 września tego roku Project Zero ogłosił jeden z nich, polegający na znalezieniu błędów, które pozwolą na zdalne wykonanie dowolnego kodu na urządzeniach z Androidem. Warunkiem jest znajomość jedynie numeru telefonu i adresu email, a główną nagrodą 200 000 dolarów. 

W tym roku na Security PWNing Conference w Warszawie, która odbędzie się w terminie 7-8 listopada, pojawią się członkowie Project Zero. Jednym z nich jest James Forshaw, który od wielu lat zajmuje się tematem bezpieczeństwa IT. Skupia się głównie na szukaniu błędów w systemie Windows, ale przedmiotem jego zainteresowania było także oprogramowanie Adobe Flash Player, Adobe Reader czy TrueCrypt.

Drugim prelegentem jest Mateusz "j00ru" Jurczyk, trzykrotny laureat Pwnie Awards, wicekapitan i współzałożyciel Dragon Sector - jednej z najlepszych drużyn CTF na świecie. Lista błędów znalezionych przez niego liczy kilkaset pozycji i koncentruje się na oprogramowaniu firmy Microsoft i Adobe Systems.

Oprócz tego podczas konferencji uczestnicy będą mogli posłuchać prelekcji wielu innych ekspertów w dziedzinie bezpieczeństwa IT, a także wymienić się wartościowymi informacjami.

 

Reklama

Reklama

Reklama

Strona główna INTERIA.PL

Polecamy

Rekomendacje