Project Zero este un proiect Google care se dedică căutării vulnerabilităților soluțiilor software a diferite companii, oferindu-le acestora, în cazul în care este descoperit vreun bug, 90 de zile pentru a reacționa și publica un patch. În 30 septembrie a descoperit o vulnerabilitate în Windows 8.1 și a informat Microsoft despre aceasta.
Nu se știe cum a fost primită vestea de Microsoft și nici dacă s-au început demersurile pentru soluționarea ei, cert este că cele 90 de zile pe care compania le avea la dispoziție s-au scurs, iar Project Zero a făcut publică informația cu privire la vulnerabilitatea identificată.
Apare ca urmare o foarte mare problemă: persoane rău intenționate ar putea afla și profita de breșa de securitate nestingherite. Comunitatea reacționează dar este împărțită. Unii consideră că Microsoft a avut timp suficient pentru a găsi un remediu, alții sunt de părere că Project Zero ar fi putut face o excepție având în vedere numărul mare de utilizatori ai sistemului de operare, susținând totodată că Microsoft n-ar fi avut timp suficient să dezvolte și publice un patch.
În ceea ce mă privește, sunt de părere că în astfel de cazuri se poate face o excepție de la limita de 90 de zile dacă dezvoltatorul dă semne că face tot posibilul pentru a găsi un remediu, sau la fel de bine se poate respecta termenul cu condiția ca odată cu publicarea informațiilor cu privire la problemă, cel puțin în situații extreme cum este și aceasta, când ar putea fi afectați milioane de utilizatori din întreaga lume, Project Zero să publice și o soluție.
Din fericire, unele soluții antivirus detectează amenințarea și o înlătură, cum e și cazul BTS 2015.
Din nefericire, mulți utilizatori consideră că soluțiile antivirus le aduc doar probleme, bătăi de cap și viruși, așa că nu le folosesc și încredințează securitatea sistemului pe mâna Microsoft și propria intuiție. Ei, imaginați-vă ce s-ar întâmpla cu calculatoarele acestora dacă ar fi infectate prin intermediul unui site pe care ei îl vizitează deoarece îl consideră de încredere, sau prin intermediul unui podcast pe care-l descarcă cu regularitate, dar care sunt găzduite de servere care au căzut pradă crackerilor și nimeni nu și-a dat încă seama.
Credeți că nu e posibil? Ba este! Heartbleed vă spune ceva? Dar recenta vulnerabilitate a WordPress care afecta sute de mii de bloguri motorizate de platforma WordPress? Iar astea sunt doar două din multele exemple care mi-au venit în minte gândindu-mă la repercursiunile pe care le poate avea scoaterea la lumină a unei breșe de securitate precum cea descoperită de Google și dezvăluită înainte ca Microsoft să pregătească și distribuie un patch care să o rezolve.
Am citit pe pagina celor de la Google cu proiectul respectiv apoi alte comentarii de pe net.Au procedat corect.Am inteles ca nu doar celor de la Microsoft le au dat termenul acesta de zile.Plus ca cei de la Windows au comunicat ca se vor ocupa de slabiciunea Windows-ui.Sa nu uitam ca-s bagati pana-n gat in Win.10 sa-l termine.Mie nu mi-au trimis nimic de genul acesta cei de la Microsoft pe e-mail-urile ce le folosesc la logare.Imi trimit multe altele dar nici-o vorba despre ce au descoperit cei de la Project Zero.Si nici de vre-un ”petic”sa ne trimita-n viitorul apropiat.Is curios ce ar fi facut cei de la Apple.
Au luat decizia corecta după regulile jocului, cea incorectă pentru securitatea multor utilizatori. Ține cont că vorbim de milioane de utilizatori, nu de 2 sau 3. Ar fi putut aștepta și ei, s-ar fi putut grăbi și Microsoft…