Google ootab natuke kauem, enne kui avaldab nullpäeva haavatavuse üksikasjad
Project Zero on Google’i meeskond, kelle ülesandeks on haavatavuste leidmine ja nendest tootjatele teatamine. See pole vastuoluline, kuna aeg-ajalt avaldatakse haavatavuste üksikasjad enne plaastrit. Selleks lisab Project Zero oma avalikustamisperioodile veidi aega .
Vanade reeglite kohaselt oli tarkvaramüüjatel aega 90 päeva paiga vabastamiseks alates hetkest, mil Google avaldas müüjale haavatavuse. Olenemata sellest, kas see juhtus või mitte, paljastaks see avalikkusele nullpäeva haavatavuse, sageli piisavalt üksikasjalikult, et halb näitleja saaks seda teavet kasutada ärakasutamiseks. Lõpuks lisas Google valikulise ajapikendusperioodi, mida tarkvaramüüjad said taotleda, kui plaaster oli peaaegu valmimas.
Kurjategijad väidavad, et karm tähtaeg seab avalikkuse ohtu, kui ettevõte tegeleb aktiivselt lahenduse leidmisega, kuid probleem on piisavalt keeruline ja seda ei saa 90 päevaga lahendada. Teised juhivad tähelepanu sellele, et mõned ettevõtted ei pruugi plaastrit ilma kõva aknata üldse luua. Avalikkuse surve aitab veenda tarkvaramüüjat tegutsema seal, kus ta muidu ei pruugi.
Selle kesktee leidmine on keeruline osa ja Google ütleb, et teeb muudatusi, et lahendada laiema turvakogukonna muresid. Aastal 2021 ootab see haavatavuse üksikasjade avalikustamiseks veel 30 päeva, kui müüja vabastab paiga enne 90. akna lõppemist. Idee on anda kasutajatele aega värskenduste installimiseks ja nende kaitsmiseks. Kui aga müüja taotleb ajapikendusakent, sööb see 30-päevase värskendusakna sisse.
Seda juhul, kui Google ei ole avastanud haavatavust, mida juba aktiivselt kuritarvitatakse. Enne seda, kui see juhtus, avaldas Google kõik üksikasjad seitsme päeva jooksul pärast teatamist. Edaspidi avalikustab see haavatavuse seitsme päeva pärast, kuid oodake tehniliste üksikasjade avaldamist veel 30 päeva.
Kõik see kehtib ainult 2021. aasta kohta, sest järgmisel aastal kavatseb Google kõiki oma aknaid veidi lühendada. Alates 2022. aastast läheb Project Zero üle mudelile „84 + 28" – avalikustamiseni 84 päeva, millele lisandub veel 28 päeva täielike üksikasjade ilmumiseks. Project Zero loodab, et akende lühendamine soodustab paiga kiiremat väljatöötamist. See viitab ka sellele, et üleminek päevadele jagatav seitsmega vähendab võimalust, et tähtaeg langeb nädalavahetusele – kui tarkvaramüüjatel on tavaliselt puhkepäevad.
Allikas: Project Zero