رادار تكنولوژي

گوگل قراره مشکلات امنیتی رو خیلی سریع‌تر باهات به اشتراک بذاره!

  • ۹ مرداد ۱۴۰۴

خب بیا یه داستان باحال در مورد امنیت و گوگل رو واست تعریف کنم! شاید اسم Project Zero رو شنیده باشی — این یکی از پروژه‌های جالب گوگله که هدفش پیدا کردن باگ‌ها و ضعف‌های امنیتی توی نرم‌افزارهاست. حالا یه خبر داغ؛ گوگل گفته می‌خواد قانون‌های اطلاع‌رسانی خودش رو عوض کنه و اطلاعات مربوط به مشکلات امنیتی رو سریع‌تر با بقیه به اشتراک بذاره.

بذار بگم تا الان داستان چی بوده: Project Zero معمولاً وقتی یه باگ امنیتی پیدا می‌کرد، به شرکت سازنده (که بهش می‌گن Vendor یعنی همون شرکتی که مثلا نرم‌افزار رو ساخته) ۹۰ روز وقت می‌داد تا بیاد اون رو برطرف کنه. بعدش هم ۳۰ روز دیگه وقت می‌داد تا یوزرها (یعنی کاربرای معمولی ماها) اون به‌روزرسانی رو نصب کنن. یعنی جمعاً چیزی حدود ۱۲۰ روز طول می‌کشید تا داستان از گزارش باگ تا حل شدن و اعمال به‌روزرسانی کامل بشه.

ولی یه مشکلی پیش اومده بود که بهش می‌گن ‘upstream patch gap’. خب بذار توضیح بدم: فرض کن گوگل مشکل رو پیدا می‌کنه و راه‌حل (پچ) رو به شرکت مادر می‌ده (که بهش می‌گن upstream یعنی منبع بالادستی). حالا خود این شرکت باید پچ رو بده شرکت‌های پایین‌دست‌تر یا کاربران نهایی (downstream)، اما این انتقال گاهی زیادی طول می‌کشه. نتیجه‌ش اینه که ممکنه یه آسیب‌پذیری حتی موزی‌تر بمونه و دستگاه‌های ما هنوز امن نشده باشن!

حالا گوگل گفته ما داریم سیستم اطلاع‌رسانی‌مون رو قوی‌تر می‌کنیم. یعنی به‌جای اینکه دیر به مردم بگیم، مثلاً توی آزمایششون قراره اطلاعات بیشتری رو زودتر اعلام کنن. مثلاً این اطلاعات رو زود با مردم به اشتراک میذارن:

  • اسم شرکت یا پروژه متن‌باز (Open Source یعنی پروژه‌هایی که کدشون همه می‌تونن ببینن و تغییر بدن)
  • محصولی که آسیب‌پذیری داره
  • تاریخ گزارش مشکل
  • و اینکه تا کی شرکت مورد نظر وقت داره مشکل رو رفع کنه (یعنی همون Deadline یا ضرب‌العجل ۹۰ روزه)

آقا اینجوری همه بهتر می‌تونن پیگیری کنن که چه زمانی یه رفع مشکل توی مسیرش از شرکت مادر میاد پایین و به دستگاه ما می‌رسه. مسئول پروژه، تیم ویلیس گفته بود: «برای کاربر، یه ضعف امنیتی وقتی حل شده حساب میشه که آپدیت رو نصب کنه، نه فقط اینکه شرکت سازنده پچ رو منتشر کرده باشه.» خیلی هم جمله‌ش قشنگ بود.

ویلیس همینطور گفته: «با اینکه اطلاعات بیشتری زودتر منتشر می‌کنیم، اما هیچ اطلاعات حساس مثل جزییات فنی دقیق یا حتی ‘proof-of-concept code’ (این یعنی کدی که نشون بده چجوری میشه از همون ضعف امنیتی سوء استفاده کرد) رو اعلام نمی‌کنیم، چون نمی‌خوایم هکرها از این داستان سو استفاده کنن.» خلاصه، قراره شفافیت (transparency یعنی همه‌چیز روشن باشه و پنهان‌کاری نباشه) بیشتر باشه، ولی دلیل نمیشه افراد خرابکار راحت‌تر بتونن حمله کنن.

اینجوری گوگل امیدواره که شرکت‌ها و پروژه‌ها مجبور شن جدی‌تر و زودتر پچ‌ها رو به دست کاربرا برسونن و دیگه این فاصله زمانی که بعضی وقتا حتی ماه‌ها طول می‌کشید، کوتاه‌تر بشه. پس اگه آپدیت جدید اومد، سعی کن زودتر نصبش کنی! چون خیلی مهمه که این حلقه آخر هم همیشه زودتر باشه.

راستی اگه به امنیت علاقه‌مندی، باید بدونی که مثلاً نرم‌افرازهای ‘endpoint protection’ (یعنی برنامه‌هایی که از کامپیوتر و موبایل و… مقابل بدافزار و ویروس محافظت می‌کنن)، VPN یا فایروال (Firewall یعنی سدی که جلوی ورود ترافیک مشکوک به سیستم رو می‌گیره) هم فوق‌العاده به درد بخورن و یه سرچ بزنی لیست بهترین‌هاشون رو هم راحت پیدا می‌کنی.

خلاصه همین! منتظر بمون تا ببینی گوگل چه کارای جدید دیگه‌ای برای امنیت اینترنت انجام می‌ده. اگه سوالی داشتی، همینجا بپرس 😊

منبع: +