Automatização do ciclo de vida integrado: HP ProLiant Gen8
+ Comentário Google vai expandir seus esforços de investigação de segurança de computadores através da formação de uma equipe em tempo integral bem cuidada chamado Projeto Zero.
O corretor de anúncios web quer contratar o melhor do melhor que pode encontrar Heartbleed vulnerabilidades de nível, ou pior erros, em software. Ele também está olhando para estender seu programa de recompensas para relatar buracos.
Project Zero foi definido o objectivo ambicioso de vasculhando o mundo em busca de vulnerabilidades de dia zero e divulgando-os aos vendedores antes de serem exploradas por criminosos e meliantes.
Chris Evans, que se descreve como "pastor pesquisador" no Google, descreve objetivos nobres do grupo para garantir a internet em um post no blog :
Você deve ser capaz de usar a web sem medo de que um criminoso ou ator patrocinada pelo Estado é exploram bugs de software para infectar o seu computador, roubar segredos ou monitorar suas comunicações. No entanto, em ataques sofisticados, vemos o uso de vulnerabilidades "zero-day" para atingir, por exemplo, ativistas de direitos humanos ou de realizar espionagem industrial. Isso precisa parar. Achamos que mais pode ser feito para resolver este problema.Project Zero é a nossa contribuição, para começar a bola rolar. Nosso objetivo é reduzir significativamente o número de pessoas prejudicadas por ataques direcionados. Estamos contratando os melhores investigadores de segurança praticamente de espírito e contribuindo a 100 por cento do seu tempo para melhorar a segurança em toda a Internet.
O foco imediato do projeto será código invocado por um grande número de pessoas, com atenção para as "técnicas, metas e motivações dos agressores."
"Localizando e relatando um grande número de vulnerabilidades" será acompanhado por "novas pesquisas sobre atenuações, a exploração, a análise do programa", e outras coisas, de acordo com Evans.
Project Zero irá reportar bugs para os fornecedores relevantes - e não terceiros. "Também nos comprometemos a enviar relatórios de erros para os fornecedores em mais próximo do tempo real quanto possível, e para trabalhar com eles para obter correções para os usuários em um tempo razoável", Evans concluiu.
Comentário
Manifesto do grupo é tão difícil discordar quanto a torta de maçã da mamãe e chuveiros regulares, mas mesmo assim Project Zero enfrentar um grande número de obstáculos formidáveis. Para começar, no entanto, bem poucos recursos esta equipa é que é inevitável que isso aí não vai ser assim recursos como espiões e hackers apoiadas pelo Estado, e aqueles que lhes fornecem exploits. E isso antes mesmo de considerar os ciber-Crims e hacktivistas.
Encontrar todas ou a maioria das vulnerabilidades de software lá fora é uma missão hercúlea, enquanto que encontrar um buraco sem correção para comprometer a vítima é uma tarefa muito mais fácil, que requer habilidade, sorte e, talvez, um pouco de difusão de luz - tentando cada entrada possível - combinado com paciência e uma certa mentalidade.
E deixando de lado tudo isso, há o problema que os caras mais ruins estão explorando os erros conhecidos que os usuários não se preocuparam em remendo, em vez de segmentação vulnerabilidades exóticas de dia zero. Project Zero não pode enfrentar que a menos que ele também começa a incentivar patching regular.
Melhorar internet higiene é um objetivo nobre, e realmente esperamos nosso cinismo típico é provado errado aqui. Infelizmente, porém, nós tememos que vulns navegador não corrigidas, erros de Java e abas de segurança Adobe Flash são problemas que estão aqui para ficar. ®
Bootnote
Google Chris Evans não tem relação com o ator de mesmo nome, que interpreta o Capitão América em Os Vingadores franquia de filmes da Marvel. O que é um pouco de vergonha: o equivalente infosec de um escudo feito de vibranium viria em muito útil para sistemas de defesa.
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário