Крис Эванс, глава исследовательского отдела
Безопасность продуктов - один из главных приоритетов Google. Мы по умолчанию используем
надежное шифрование на базе SSL для таких сервисов, как Поиск, Gmail и Google Диск. Все данные, которыми обмениваются наши дата-центры, также зашифрованы. Но кроме безопасности наших собственных продуктов нас волнует безопасность Интернета в целом. Именно поэтому сотрудники компании уделяют большое внимание поиску уязвимостей в Сети и даже объединяют информацию о них в
отчеты. В первую очередь это касается поиска ошибок типа
Heartbleed.
Результаты этого небольшого и, в общем-то, стороннего проекта показались нам настолько интересными, что мы решили собрать новую команду специалистов под общим названием «Проект Ноль».
Пользуясь Интернетом, вы должны быть уверены, что никто не смог воспользоваться ошибками в коде, чтобы запустить вирус в ваш компьютер, получить доступ к закрытой информации или отследить ваши контакты. К сожалению, в мире существует немало сложных вредоносных программ, например программы под общим названием «
Уязвимость нулевого дня», которые уже были использованы против
борцов за права человека или в целях
промышленного шпионажа. Мы считаем, что такой практике нужно положить конец, и готовы работать над решением этой проблемы.
«Проект Ноль» – это первый шаг, который станет нашим вкладом в общее дело. Наша цель – значительно сократить количество людей, пострадавших от целевых атак. Мы приглашаем на работу лучших специалистов-практиков в области исследований проблем сетевой безопасности, а они, в свою очередь, посвящают 100% своего рабочего времени повышению уровня безопасности в Интернете.
У этого проекта нет строго установленных границ: мы будем работать над повышением уровня безопасности любого ПО, если им пользуется много людей, и уделим особое внимание технике, целям и мотивам хакеров. Мы будем использовать стандартные подходы (выявление уязвимых мест и сообщение об этом поставщикам ПО), а также проводить новые исследования в области снижения негативных последствий, разработки и программного анализа. В общем, делать все, что наши исследователи сочтут достойным внимания.
Мы намерены сделать нашу работу полностью прозрачной. Каждая обнаруженная ошибка будет внесена в
независимую базу данных. Мы будем сообщать об ошибках поставщику рассматриваемого ПО. Никому другому эти сведения передаваться не будут. После публикации отчета об ошибке (обычно после ее устранения), вы сможете узнать, что было сделано поставщиком ПО для ее исправления, просматривать обсуждения пользователей, а также ознакомиться с историей использования и следами поломок. Мы также обязуемся отправлять отчеты об обнаруженных ошибках поставщикам ПО в сжатые сроки (фактически – в режиме реального времени) и способствовать их оперативному устранению.
Нашей команде нужны новые сотрудники. Мы убеждены, что лучшие исследователи безопасности ПО занимаются этим потому, что любят свое дело. Таким специалистам мы предлагаем заниматься любимым делом в новом месте, но открыто и не отвлекаясь ни на что другое. Мы также будем рады расширению нашего сообщества, распространению сведений о наших новых проектах и появлению новых постов о нас. А если мы находим что-то интересное, то обязательно обсуждаем это в
нашем блоге. Присоединяйтесь!