Google Project Zero nie ma dobrej prasy. Zespół odnajdujący luki w popularnym oprogramowaniu i sprzęcie często krytykowany jest za prowadzenie bezkompromisowej polityki, w rezultacie której kilkukrotnie ujawnione zostały podatności (między innymi w Windowsie), choć producent nie wydał jeszcze łatki. Zespół podzielił się jednak statystykami, które jasno wskazują, że takie sytuacje są incydentalne.
Aż 95,8% z 1585 odnalezionych przez Google Project Zero luk udało się załatać w terminie. Google Project Zero został uruchomiony w lipcu 2014 roku. Z okazji piątego jubileuszu działalności możemy dowiedzieć się więcej o skali i kulisach jego działalności. Dość powiedzieć, że przez ostatnie pół dekady udało się odnaleźć 1585 podatności zarówno w sprzęcie, jak i oprogramowaniu różnych producentów. To jednak nie z własnymi sukcesami najczęściej kojarzone jest GPZ, lecz z porażkami tychże producentów.
Gwoli przypomnienia – Google Project Zero przyjął zasadę, że producenci mają na wydawanie łatek 90 dni od momentu zgłoszenia podatności. Jest to standardowy harmonogram realizowany przez białe kapelusze, niemniej wielu uważa, że Project Zero – jako zespół działający przy Google, a nie grupa niezależnych ekspertów – to tak naprawdę narzędzie, by szkodzić konkurencji korporacji z Mountain View.
Jeśli jednak weźmiemy pod uwagę statystyki, to szkodzenie to wypada wyjątkowo mało efektywnie. Aż 95,8% ze wspomnianych 1585 podatności udało się bowiem producentom załatać w ciągu 90 dni od zgłoszenia. W całej pięcioletniej historii działalności grupy ujawniono tylko 66 niezałatanych luk bezpieczeństwa. Warto zaznaczyć, że GPZ ujawnia wyłącznie dowody koncepcji, zaś nigdy gotowe expolity podatności.
Dzięki opublikowanym statystykom można sobie także przypomnieć sytuacje, kiedy zespół przymknął oko na nieprzekraczalność terminu 90 dni. Stało się tak dwukrotnie – przy okazji ujawniania podatności w task_t w iOS-ie grupa czekała 145 dni. Drugi przypadek to podatność wręcz historyczna, która będzie nam spędzać sen z oczu latami: z ujawnieniem podatnościach Meltdown/Spectre GPZ czekało 216 dni.
Jak pisaliśmy przy okazji ujawnienia w ostatnim czasie 6 luk w iOS-ie, krytyka grupy może być rezultatem wyłącznie powierzchownego rozumienia problemu. Żadna próba wywarcia presji na korporacjach IT nie byłaby skuteczna, gdyby te wiedziały, że mogą liczyć na pobłażliwe traktowanie. Nic tak skutecznie nie wysyła sygnału „licz się z nami”, jak ujawnienie podatności narażającej na szwank miliony użytkowników.
Zobacz też: Apple obejmie macOS-a programem bug bounty. Maksymalna nagroda to milion dolarów
