El programa “Project Zero” de Google ajusta sus políticas de exposición de vulnerabilidades

Google ha cambiado el protocolo para difundir los parches de Project Zero, el equipo de seguridad de Google que se dedica a buscar vulnerabilidades de día cero. A partir de ahora, los investigadores de Google darán a los desarrolladores 90 días para publicar información sobre la vulnerabilidad, sin importar cuándo haya sido descubierta.

Las anteriores políticas del equipo también ponían un límite de 90 días a los vendedores para que desarrollaran los parches. Sin embargo, si el problema se solucionaba antes, la actualización se publicaba de inmediato. Bajo las nuevas reglas, se deberá esperar a que se cumplan los 90 días antes de hacer pública la vulnerabilidad.

Project Zero dice que el 97,7% de sus proyectos se completan antes de los 90 días, por lo que con la incorporación de esta medida se propone concentrarse en la calidad de los parches y quitar la presión de publicarlos en el menor tiempo posible. “Más de una vez ha pasado que los vendedores parchan las vulnerabilidades ‘por encima’, sin considerar las variantes ni tomar en consideración la raíz del problema”, dijo Tim Willis, de Project Zero. “Nos preocupa que nuestras políticas que exigen un ‘desarrollo de parches más rápido’ puedan aportar a este problema, haciendo que sea más fácil para los atacantes revivir sus exploits y continuar atacando a los usuarios”.

Asimismo, esto daría más tiempo para que los usuarios instalen las actualizaciones que solucionan el problema antes de que se hagan públicos sus detalles. “La seguridad del usuario no mejora cuando se descubre una falla ni cuando se desarrolla un parche. Mejora cuando el usuario está consciente del problema y parcha su dispositivo”, dijo Willis.

Los investigadores de Project Zero también creen que esto facilitará la comunicación con los desarrolladores. “A algunos vendedores les parecía impredecible cuándo considerábamos una vulnerabilidad parchada, en especial cuando trabajaban con más de un investigador a la vez. (…) Lo consideraban una barrera para trabajar con nosotros en proyectos más grandes, así que vamos a quitar la barrera y ver si las cosas mejoran”.

Se manejará el límite de 90 días por defecto, pero podría reducirse si algún caso específico así lo requiere o ampliarse hasta 14 días más.

La medida es temporal, se pondrá a prueba durante todo 2020 para evaluar los resultados. De ser positivos, podría convertirse en una política permanente.

Fuentes
Google’s Project Zero highlights patch quality with policy tweak • Naked Security
Google’s Project Zero is now being more considerate with how it discloses security vulnerabilities • The Verge
Google Project Zero shifts to full 90-day disclosures to improve patch uptake • ZDNet