Google Project Zero: Mit Hackern gegen Zero-Day-Exploits
Google ist stehts um die Datensicherheit seiner Nutzer bemüht und greift dazu auch mal zu eher unkonventionellen Mitteln wie Project Zero zeigt. Denn anstatt sich nur auf die Fähigkeiten der eigenen Entwickler zu verlassen, setzt der Konzern in Zukunft ein spezialisiertes Team aus zahlreichen namhaften Hackern für die Jagd nach Sicherheitslücken ein.
Das Google-Imperium kann mittlerweile auf eine riesige Anzahl an Cloud-basierten Diensten blicken, welche allesamt ein potentielles Einfallstor für kriminelle Machenschaften darstellen. Aber auch andere populäre Software-Produkte bieten mitunter den Entwicklern unbekannte Schlupflöcher, über welche ein Angreifer in ein ansonsten geschlossenes System eindringen kann. Vor allem durch den Spionage-Skandal rund um NSA und GCHQ hat das Thema Sicherheit einen stetig wachsenden Stellenwert und mit Project Zero will Google seinen Teil für ein sichereres Internet beitragen.
Die Elite in Project Zero
Ziel des Teams von Project Zero ist es, Sicherheitslücken in Software-Produkten möglichst schnell aufzuspüren und den jeweiligen Entwicklern zu melden, damit diese die entdeckten Lücken möglichst schnell schließen können. Das Google durchaus fähiges „Fachpersonal“ anwerben konnte zeigt ein kurzer Blick auf die Liste der Team-Mitglieder: George Hotz (Geohot), Ben Hawkes oder Tavis Ormandy von Sophos werden zusammen mit anderen fähigen Hackern im Dienste Googles in Vollzeit auf die Jagd nach Zero-Day-Exploits gehen.
Mit dem Team Project Zero will Google letztlich gefährdete Internetnutzer besser schützen vor politischer Verfolgung, dem Ausspionieren durch staatliche Organe oder einfachen Internet-Kriminellen. Zum Auffinden der Lücken in den Systemen sollen sich die Mitglieder von Project Zero mit Techniken und den Motivationen der Angreifer an eben diesen orientieren
Sobald das Team von Project Zero auf einen Zero-Day-Exploit stößt der noch nicht aktiv ausgenutzt wird, sollen die hinter der Software stehenden Entwickler über die Lücke informiert und ein Zeitraum von 60 bis 90 Tagen eingeräumt werden, in welchem die betreffenden Lücken geschlossen werden können. Nach dieser Schonfrist wird der Fehler auf einer eigens eingerichteten Unterseite von Google Code veröffentlicht. Wird eine von Project Zero gefundene Lücke bereits aktiv ausgenutzt, sinkt der Zeitraum gar auf nur 7 Tage. Ziel dieser Maßnahmen ist Druck aufzubauen, damit die Sicherheitslücken schneller geschlossen werden und das ist nun wirklich im Sinne der Nutzer.
Frei nach Googles Motto „Don’t be evil“.