El pasado 15 de julio de 2014, Google anunciaba el lanzamiento de un nuevo servicio Google Project Zero. Un equipo de especialistas en seguridad informática (hackers), que se encarga desde entonces de hacer cumplir uno de los objetivos: hacer de internet un espacio más seguro.
%2B21.32.01.png)
Figura 1. Imagen Google Project Zero.
El año pasado, ha sido especialmente cruel en cuanto al incremento de ataques a sistemas informáticos; la iniciativa de Google se propone auditar las vulnerabilidades en aplicaciones fabricadas por otras compañías, tanto de software privado, como libre. No es una cuestión secundaria el interés en tomar partido por parte de la empresa 'Mountain View'.
%2B22.09.58.png)
Comparto un párrafo del comunicado oficial del lanzamiento de Project Zero, que viene a resumir las pretensiones citadas anteriormente.
“Deberías ser capaz de usar la web sin temer que un criminal o alguien patrocinado por un gobierno esté explotando bugs en software para infectar tu computadora, robar secretos o monitorear tus comunicaciones. En ataques sofisticados, vemos el uso de vulnerabilidades zero-day para atacar, por ejemplo, activistas de recursos humanos o para ejecutar espionaje industrial. Esto tiene que parar. Creemos que se puede hacer más para detener este problema".
Chris Evans, Director de Investigación de Google
Google reconoció que no es invulnerable a estos tipos de ataques, por lo que han contratado la empresa de 'hacker' George Hots, GeoHot.
%2B21.51.18.png)
Figura 3. Captura de pantalla del sitio GeoHot.
El problema surge a raíz de los 'bugs' encontrados en Windows y OX X.
Los compromisos
iniciales contemplaban la detección de vulnerabilidades, y el reporte inicial
al proveedor correspondiente, nunca a terceras partes. Una vez elaborados los
parches de seguridad y tras 90 días, se harían públicos.
Especial interés
en la declaración inicial de técnicas, personas y entidades objetivos de los
atacantes, e incrementar los esfuerzos en la reducción de los riesgos en
sistemas y dispositivos.
%2B22.33.50.png){kind=small}
Figura 4. Enlace a la noticia en Hipertextual.
%2B22.32.30.png)
Google se ha reservado el de publicar junto a las vulnerabilidades, el de añadir a la publicación del parche una "medida de responsabilidad". Consiste en responsabilizar exclusivamente al fabricante, de los daños producidos en sistemas y dispositivos, derivados de la divulgación pública del hallazgo de esas vulnerabilidades.
Dejamos el tema abierto; al menos de forma personal, creo interesante no sólo los descubrimientos de 'Project Zero', sino también las políticas que nos imponen desde la empresa.
