O Google oficializou nesta terça-feira a criação de uma nova iniciativa voltada para a proteção da internet.
Chamado de Project Zero, ele envolverá o recrutamento dos melhores especialistas em segurança, que unirão suas forças apenas para localizar e neutralizar brechas em aplicações populares espalhadas pela web, mesmo que longe da empresa.
A ideia é focar nas possíveis vulnerabilidades zero-day, aquelas que, quando são descobertas, ainda não contam com nenhum tipo de correção – e, consequentemente, podem ser exploradas por quaisquer invasores.
O estrago provocado por essas brechas pode ser estrondoso, como aconteceu no Heartbleed, e elas não são aproveitadas apenas por cibercriminosos ou empresas interessadas em espiar a concorrência. Como mostraram os documentos vazados por Edward Snowden, agências de segurança como a NSA também parecem se aproveitar delas (ou mesmo criá-las) para espionar.
O grupo de “super-hackers” do Google, portanto, quer basicamente encontrar os buracos antes que os “malvados” façam o mesmo – ou ao menos dificultar o trabalho de criminosos e agências, tampando os já existentes que ainda são desconhecidos pelo público.
E o mais interessante de tudo é que a iniciativa, ao menos por agora, tem “fins apenas altruísticos”, como explicou à Wired Chris Evans, engenheiro de segurança da empresa e responsável por recrutar especialistas da equipe.
Segundo a matéria e o texto de Evans em um blog da companhia, o Project Zero não estará “amarrado” a nenhuma aplicação, e “trabalhará para melhorar a segurança de qualquer software do qual dependam um grande número de pessosas”.
As buscas por brechas seguirão os procedimentos padrão de localizar e reportar, e o grupo ainda “conduzirá estudos em mitigação, exploração, análise de programas e qualquer outra coisa que nossos pesquisadores acharem digna de investimentos”, escreveu o engenheiro.
Ou seja, pelo jeito, o engenheiro está falando sério ao afirmar que segurança “é uma prioridade para o Google”. Tanto que, para reforçar seu ponto, ele ainda cita na publicação todas as outras iniciativas da empresa na parte de proteção, que envolvem a adoção de protocolos SSL por padrão nas próprias aplicações (algo acelerado após os escândalos de espionagem norte-americanos), o Projeto Shield anunciado no ano passado e até o costume de alguns funcionários de passar um tempo caçando bugs web afora – hábito que já levou um dos pesquisadores da companhia a encontrar o tão falado Heartbleed, para citar apenas um caso.
Os membros
A equipe de “Vingadores do Google” ainda está em formação, mas já tem alguns nomes conhecidos. George “geohot” Hotz, Ben Hawkes, Tavis Ormandy e Ian Beer, por exemplo, estão confirmados. O primeiro é talvez o mais “popular”: em 2007, com 17 anos, ele foi o primeiro a desbloquear um iPhone, e posteriormente ainda conseguiu quebrar a segurança do então “invulnerável” PlayStation 3 – e ser processado pela Sony. E Hotz ficou ainda mais popular no Google depois de achar uma falha de 150 mil dólares no Chrome OS.
Hawkes, por sua vez, encontrou dezenas de brechas no Office e em programas da Adobe só em 2013, enquanto Ormandy, engenheiro do Google, ficou conhecido por criticar a forma como a Microsoft lida com segurança. (depois, claro, de encontrar uma brecha nos Windows 7 e 8). Por fim, Beer é um dos que já estava trabalhando na iniciativa antes de seu anúncio oficial (ver o CVE-1300 aqui), nesta terça-feira – e foi responsável por achar falhas críticas no navegador Safari, da Apple.
Método de trabalho – De acordo com Chris Evans, o trabalho de todos eles será feito de forma transparente, e todas as brechas encontradas “serão publicadas em um banco de dados externo”, acessível por aqui. Mas, claro, não antes de as falhas serem passadas aos responsáveis pelas aplicações, algo que deverá ser feito quase que imediatamente.
Como explica o engenheiro do Google, quando as próprias empresas começarem a falar das vulnerabilidades (ou seja, quando as correções estiverem disponíveis), qualquer um poderá ver o quão rápido elas são consertadas. Além disso, usuários poderão discutir outros problemas eventuais e acompanhar o histórico de brechas e problemas.
