Hackerii Google avertizează Microsoft și Apple să își rezolve vulnerabilitățile software sau le vor face publice

Google susține că producătorii de software trebuie să acționeze rapid întrucât infractorii cibernetici acționează cu viteza fulgerului atunci când identifică un defect, transmite Bloomberg.

Microsoft și Apple au refuzat să comenteze pe tema acestui subiect sensibil, în timp ce alți membri ai industriei spun că echipa Google uzurpă un rol care revine cel mai bine autorităților guvernamentale.

„Nu sunt sigur cine a desemnat Google drept arbitrul oficial al pieței, pentru anunțarea vulnerabilităților. Presiunea asupra companiilor pentru eliminarea deficiențelor este o idee bună, dar care este motivul nobil de a dezvălui problemele înregistrate de doi mari competitori?”, a afirmat John Dickson, director la compania Denim Group, din San Antonio, specializată în securitate informatică.

Google a înființat echipa în iulie anul trecut și a numit-o „Project Zero”, după mult-temuta „zi zero”, în care deficiențele de securitate pot fi exploatate de răuvoitori înainte ca dezvoltatorii să le cunoască.

Unii experți în securitate informatică susțin că astfel de activități sunt mai potrivite unei agenții guvernamentale.

Rolul sectoarelor publice și private este unul dintre subiectele care vor fi discutate la un summit pe tema securității cibernetice care va avea loc vineri, la Palo Alto, California, la care președintele american Barack Obama va cere liderilor din sectorul tehnologiei să îmbunătățească relațiile de colaborare și să face mai multe schimburi de informații.

Unii analiști se întreabă însă cum poate avea loc colaborarea dacă cele mai mari companii din industria Interneatului nu se pot înțelege între ele.

Reprezentanții Apple au refuzat să comenteze, iar cei ai Microsoft au făcut referire la o declarație anterioară, potrivit căreia practica Google seamănă cu „jocul de-a prinselea”, ilustrând neînțelegerile pe această temă.

Oponenții Google susțin că practicile Google pun în pericol securitatea online, prin dezvăluirea breșelor de securitate înainte ca acestea să poată fi eliminate.

Hackerii lucrează rapid pentru a exploata problemele, odată ce sunt cunoscute. Astfel, hackeri din China s-au folosit anul trecut de un bug de securitate numit „Heartbleed”, pentru a ataca sistemul Community Health Systems Inc.

În ianuarie, Apple a cerut Google să aștepte o săptămână înainte de a face publice trei deficiențe din sistemul de operare Mac OS X. Google știa că se lucrează la eliminarea problemei și avea în posesie o versiune actualizată a softului, întrucât lucrează ca dezvoltator pentru Apple, dar cu toate acestea a refuzat și a publicat informația, a spus o persoană apropiată situației.

Microsoft la rândul său a solicitat încă două zile pentru a elimina o problemă a Windows, dar Google a refuzat și a anunțat-o public.

Susținătorii Google spun pe de altă parte că această abordare fermă poate modifica fundamental practicile din industrie, în care rezolvarea breșelor de securitate poate dura luni de zile sau chiar ani.

Potrivit unei analize efectuate de Risk Based Security, Project Zero a identificat 39 de vulnerabilități în produsele Apple și 20 în cazul celor ale Microsoft. De asemenea, au fost descoperite 37 de probleme la softul Adobe Systems și 22 în cazul softului FreeType.

Project Zero a publicat detalii referitoare la breșe de securitate înainte să existe remedii pentru acestea de circa 16 ori în cazul produselor Apple, de trei ori în cazul Microsoft și o dată în cazul Adobe.

Google a creat Project Zero după descoperirea bug-ului Heartbleed și a activităților de spionaj ale Agenției Naționale de Securitate și ale altor guverne.

Google contribuie la dezvoltarea pieței serviciilor de administrare și eliminare a vulnerabilităților software, care ar putea crește la 1 miliard de dolari până în 2018, de la circa 600 de milioane de dolari în 2014, a declarat Christopher Kissel, analist la compania de cercetare a pieței Frost & Sullivan.

Kissel consideră că furnizorii de servicii în domeniul managementului vulnerabilităților, precum Hewlett-Packard, Tenable Network Security și Qualys, ar putea profita de fondurile mai mari alocate rezolvării acestor probleme.