O que é o Project Zero, iniciativa do Google para melhorar a segurança dos softwares que você usa
Vira e mexe nós vemos alguma empresa corrigindo uma falha de segurança encontrada por algum funcionário do Google. O Heartbleed, problema gravíssimo do OpenSSL que permitia o roubo de dados sensíveis em milhões de sites, foi descoberto por Neel Mehta, engenheiro do Google. A recente vulnerabilidade no Flash também foi exposta por um engenheiro da empresa de busca, Michele Spagnuolo. E o Google quer reforçar essas descobertas.
O Project Zero é uma iniciativa do Google para descobrir falhas de segurança em softwares de outras empresas antes que elas se tornem públicas. O objetivo é tornar a web mais segura, evitando ao máximo o surgimento de vulnerabilidades zero-day (ou “dia zero”), aquelas que são exploradas antes que as empresas consigam liberar suas correções de segurança (o nome “Project Zero” agora faz mais sentido, certo?).
Anteriormente, engenheiros do Google usavam parte de seu tempo na empresa para descobrir falhas em softwares de terceiros. O Project Zero é diferente porque será formado por um time totalmente dedicado a isso: os funcionários trabalharão 100% do tempo em descobertas de brechas em qualquer software usado por um grande número de pessoas. O Google, inclusive, está contratando pesquisadores de segurança para fazer parte da equipe.
Mas por que o Google vai gastar dinheiro para procurar falhas em softwares dos outros? Não é apenas bom-mocismo: a empresa usa programas de terceiros — e também pode ser prejudicada caso alguma falha grave afete seus serviços. O próprio Google e outras empresas de tecnologia, incluindo Facebook, Microsoft e Intel, já se juntaram há algumas semanas para criar um fundo milionário que investirá na segurança de projetos open source.
No Project Zero, as brechas encontradas serão relatadas imediatamente, de maneira privada, ao desenvolvedor do software. O Google promete ser transparente e, depois das falhas serem corrigidas, quer disponibilizar informações publicamente para permitir que você acompanhe o desempenho de uma empresa, como o tempo médio para corrigir uma vulnerabilidade e o histórico de falhas encontradas.
O Google criou um blog para anunciar as novidades do Project Zero, e você pode conferir mais informações sobre a iniciativa nesta página.