Los ataques Zero-Day (día cero) son uno de los más peligrosos en cuanto a la seguridad en Internet, ya que se basa en aprovechar vulnerabilidades desconocidas por el fabricante del software y para las cuales aún no se conoce una solución. Los propósitos son varios: desde el robo de claves bancarias hasta el espionaje gubernamental.
Para ayudar en la ciberseguridad, Google acaba de crear Project Zero, una iniciativa que tiene como propósito crear una base de datos pública de vulnerabilidades de día cero que encuentren o le sean reportadas a los expertos del gigante de las búsquedas, quienes ayudaron a encontrar hace unos meses el bug Heartbleed que atacaba a SSL. Pero las vulnerabilidades serán primero informadas sólo al creador del software, para que pueda tomar cartas en el asunto.
“Sólo una vez que el reporte del bug sea público (típicamente, cuando está disponible un parche), podrás monitorear la performance en el tiempo de reparación de la empresa de software, ver alguna discusión sobre el nivel de aprovechamiento del exploit y ver un historial de exploits y seguimiento de incidentes. También nos comprometemos a enviar reportes a las empresas de software tan cerca del tiempo real como sea posible y a trabajar con ellos para encontrar soluciones en un plazo razonable“, indicó Chris Evans (foto), ingeniero de Google, en el blog de seguridad del buscador.
De acuerdo con ese post, no habrá recompensas para quienes reporten fallas y aseguran que estudiarán cualquier software, priorizando el que sea usado por más personas y prestándole especial atención a las técnicas, blancos y motivaciones de los atacantes. “Usaremos enfoques estándar como la ubicación y la presentación de un largo número de vulnerabilidad. En adición, realizaremos nuevas investigaciones sobre mitigaciones, explotación análisis de programas y cualquier otra cosa que nuestros investigadores decidan que será una inversión valiosa“, añadió Evans.
Por otro lado, el ejecutivo señaló que el propósito de Project Zero es ayudar a que la gente pueda “usar la Web sin el miedo de que un criminal o una agencial del estado está explotando vulnerabilidades de software para infectar tu computadora, robar secretos o monitorear tus comunicaciones“. No se trata de la primera iniciativa de estas características, otra de ellas es Zero Day Initiative, que existe desde agosto de 2005 y ha publicado más de 1.700 parches.
Crédito de la imagen: HITB Conference 2011