Инициатива Google — Project Zero призвана объединить под знаменами «Империи добра» первоклассных специалистов по безопасности и исследователей, которые будут изучать программный код и искать в нем уязвимости.
Project Zero был представлен Крисом Эвансом, главой исследовательского отдела Google. Он же и будет курировать новый проект.
Необычность этой инициативы в том, что в рамках проекта будет изучаться программный код сторонних компаний на предмет выявления уязвимостей.
Затем результаты работы на безвозмездной основе передадут поставщикам программных продуктов, чтобы те могли исправить найденные ошибки. Результаты деятельности Project Zero будут публиковаться в открытых источниках.
Как пишет сам Крис Эванс: «Мы займемся техникой, целями и мотивам хакеров, а также проведем новые исследования в области снижения негативных последствий кибервзломов, разработки ПО и программного анализа. В общем, мы сделаем все, что наши исследователи сочтут достойным внимания».
Наибольшее внимание в Project Zero уделят так называемым уязвимостям нулевого дня (под этим термином подразумеваются вредоносные программы, против которых еще не разработаны защитные механизмы, или уязвимости, которые не устранены) — таким, как недавно обнаруженная Heartbleed. Эта ошибка считается одним из самых серьезных из когда-либо найденных. Воспользовавшись ей, злоумышленники смогли использовать уязвимые версии программного обеспечения OpenSSL (а на нем работают миллионы веб-серверов) для кражи паролей, данных кредитных карт, ключей шифрования и других конфиденциальных данных, не оставляя при этом никаких следов. Возможно, история с Heartbleed во многом и послужила мотивом для создания Project Zero.
Однако на рынке добрых дел Google ждет нешуточная конкуренция.
Руководитель группы исследования уязвимостей «Лаборатории Касперского» Вячеслав Закоржевский считает, что на данный момент такой работой уже занимаются десятки тысяч исследователей в мире и сотни, если не тысячи, ИБ-компаний (ИБ — интернет-безопасность), не говоря уже о злоумышленниках. Крупные компании также практикуют различные программы поощрения, когда за найденную уязвимость выплачивается вознаграждение. Сегодня благодаря усилиям всего сообщества уровень безопасности приложений и сервисов вырос до достаточно высокого уровня, поэтому 0-day-уязвимости находятся значительно реже.
Чтобы делать действительно качественные исследования, компании придется нанять большое количество высококвалифицированных специалистов.
В самой Google утверждают, что их проект находится вне политики и направлен как против хакеров-злоумышленников, занимающихся промышленным шпионажем или взломом аккаунтов пользователей, так и против хакеров, финансируемых некоторыми правительствами и атакующих правозащитные, политические и общественные организации.
Все опрошенные «Газетой.Ru» эксперты в области интернет-безопасности отнеслись к Project Zero в целом положительно. При этом генеральный директор ESET Russia Денис Матеев считает, что хорошим стартом могло бы стать обеспечение безопасности приложений, размещенных в магазине Google Play.
«Вспомним, к примеру, историю с появлением на этой площадке фальшивого антивируса Virus Shield, который успешно продавался вместе с легальными приложениями», — говорит он.
Руководитель направления интернет-безопасности Symantec в России и странах СНГ Олег Шабуров считает, что Project Zero — это одновременно и вынужденная необходимость, и хороший имиджевый ход, и неплохой бизнес.
«Весь бизнес интернет-гигантов (Google явно среди них) основан на том, что пользователи имеют возможность удобного пользования интернетом. Чем больше у пользователя ограничений и страхов, тем меньше прибыль интернет-компаний. Быть спасителем мира (читай: «свободы перемещения по сети») крайне престижно. К тому же это увеличивает у людей доверие к бренду, соответственно, и подталкивает на использование безопасных сервисов от Google. При этом нельзя забывать, что в настоящее время рынок безопасности растет быстрее, чем многие другие направления IT-индустрии. Поэтому на этом можно заработать», — считает Шабуров.
Однако если говорить о потенциальной бизнес-составляющей проекта, то речь идет скорее об улучшении безопасности cервисов самой Google, а не о выходе на рынок антивирусного ПО.
«Возможно, Google хочет «прокачать» свое ИБ-направление. Уже сейчас в продуктах Google встроена интеллектуальная система, позволяющая отсеивать из результатов поиска вредоносные сайты. Вполне возможно, что компания хочет пойти дальше и отсекать вредоносные сайты по наличию эксплойтов или открытых уязвимостей. Но едва ли это может составить конкуренцию обычным антивирусам и специализированным секьюрити-решениям», — говорит Вячеслав Закоржевский .
С ним соглашается и Денис Матеев: «Если брать антивирусный бизнес, то, по нашему опыту, в последние годы расстановка сил в индустрии не изменилась. Наряду со многими рынками в сфере ИБ, это достаточно технологичный и специфический сегмент. Поэтому выход на него — задача не из простых. Безусловно, попытки выйти на этот рынок со стороны как новых, так и глобальных ИТ-компаний предпринимались, но успешными их назвать нельзя».