Компания Google собирает команду хакеров

18 Июль 2014

В Google всерьез решили вывести работу над устранением критических уязвимостей на принципиально новый уровень. Для этого даже формируется новая команда хакеров и специалистов по системам безопасности Project Zero. В блоге компании этот проект преподносится в качестве решения, которое позволит людям не беспокоиться за свою сетевую безопасность, например, за конфиденциальность личных данных от преступников и спецслужб, использующих для кражи личных данных ошибки в программном обеспечении.

Как отмечает сотрудник Google Крис Эванс, безопасность всегда оставалась для корпорации важнейшим приоритетом. Поисковый гигант очень много работает над выпуском максимально защищенных продуктов. Например, поисковая машина Google уже поддерживает криптографический протокол SSL, обеспечивающего максимально защищенное соединение клиента с сервером. По умолчанию этот протокол используется в почтовом сервисе Gmail и облачном хранилище Drive, а также во всех дата-центрах Google.

Специалисты Google постоянно работают над исследованием корпоративных продуктов на предмет наличия уязвимостей. Благодаря этому удалось найти множество ошибок, например Heartbleed (дает возможность злоумышленникам несанкционированно читать память на сервере или на клиентской машине). Печальным последствием атаки с использованием Heartbleed стало появление в открытом доступе данных о кредитных картах пользователей РЖД, заплативших в интернете за билеты в апреле 2014 года.

Постоянно работая над ошибками, компания Google собрала новую и хорошо укомплектованную команду Project Zero. Главная цель нового подразделения сводится к сокращению возможных вариантов целенаправленных атак на пользователей. В Project Zero набираются лучшие эксперты по вопросам безопасности в мире.

Сегодня кибератаки стали намного более изощреными. Как считает Эванс, все больше атак основано на использовании уязвимостей нулевого дня. Другими словами, злоумышленники оперируют такими вредоносными программами, против которых еще не существует защиты. Подобным образом совершаются атаки на правозащитные организации и в целях промышленного шпионажа. Эту проблему необходимо искоренять всеми силами, поэтому и создается Project Zero.

Новая команда Google будет работать абсолютно прозрачно. Находя ошибки в разных продуктах, Project Zero будет сообщать их разработчикам о найденных проблемах, чтобы они смогли скорей устранить неполадки. Google не собирается сообщать информацию о найденных уязвимостях третьим лицам. Каждую обнаруженную ошибку Project Zero будет заносить в открытую базу данных, но только после фактической ликвидации проблемы.

Как именно можно стать участником команды Project Zero, в Google не сообщают, но указывают, что им нужны лучшие специалисты по онлайн-безопасности в мире. Американскую корпорацию интересуют люди, которые по-настоящему преданы своему делу и готовы заняться им на полностью легальных основаниях, не беспокоясь о последствиях.

Журнал Wires раздобыл некоторые данные об участниках нового проекта Google: по его данным, в Project Zero уже взяли британцев Тэвиса Орманди и Йена Бира. Первый обнаружил критические уязвимости в Windows 7 и 8, а второй – устранил слабину в браузере Safari на OS X. Потенциальными кандидатами в команду Project Zero рассматривается новозеландец Бен Хоукс, устранивший существенную проблему в безопасности Linux. Также Google предложила работу Джорджу Хотцу, взломавшего в 2007 году блокировку iPhone. Джордж уже получил от Google денежное вознаграждение в размере 15 000 долл. за устранение уязвимости в браузере Chrome.

Кроме хакеров в команду Project Zero могут попасть и другие специалисты. Сорвать куш есть возможность и у обычных пользователей: Google обещает щедрые вознаграждения за информацию о всех уязвимостях.