Il Project Zero team di Google, che porta allo scoperto le vulnerabilità software di Google e delle altre aziende tecnologiche, dando un ultimatum alle imprese monitorate (le falle vanno riparate in 90 giorni o verranno rese pubbliche) rischia di diventare nuovo terreno di scontro tra Big G e le sue rivali, Microsoft in primis. Ma che cosa ci guadagna Google a pagare un pool di super-esperti per mettere a nudo e rimediare alle vulnerabilità software altrui?
CHE COSA CI GUADAGNA BIG G
Project Zero ha una natura “principalmente altruistica”, ha dichiarato il britannico Chris Evans, ingegnere della sicurezza di Google e capo del team. Ma certo c’è anche un tornaconto per Google. Intanto Big G si serve del progetto per selezionare talenti, da trasferire magari verso altri team in un secondo momento. Inoltre, se in via generale Google riesce a rendere Internet più sicuro, gli utenti del web navigheranno di più, cliccando su più pubblicità – e quindi Google aumenta i suoi introiti. “Se facciamo crescere la fiducia degli utenti in Internet, indirettamente questo aiuta Google”, ha riconosciuto Evans.
Google è particolarmente attenta alle esigenze della sicurezza su Internet dopo che Edward Snowden ha svelato che la Nsa spiava anche le informazioni degli utenti di Google. Project Zero viene considerato dunque un passo logico da parte di Google per evitare che gli utenti di Internet (e dei prodotti di Google) siano spiati nella loro navigazione e quindi usino meno il web, spiega Chris Soghoian, esperto di tecnologie e privacy della American Civil Liberties Union (Aclu). Google vuole assicurarsi che ad essere a prova di hacker e spie siano non solo i propri prodotti ma anche quelli degli altri perché la sicurezza di programmi di Google come Chrome spesso dipende da codici di terze parti, come Adobe Flash o elementi dei sistemi operativi Windows, Mac o Linux.
IL TEAM DEL PROJECT ZERO
Project Zero si occupa proprio di questo: scoprire e neutralizzare le più insidiose falle di sicurezza in qualunque software giri su Internet. Il primo obiettivo è scovare i cosiddetti bug “zero-day“, molto sfruttati dai criminali perché non sono noti alle aziende e non hanno quindi alcuna patch. “Le persone devono poter usare Internet senza timore che le vulnerabilità del software minaccino la loro privacy solo perché hanno visitato un certo sito Internet”, ha detto Evans, che ha guidato il security team di Google Chrome prima di prendere le redini del Project Zero.
Per il Project Zero, lanciato a luglio 2014, Google ha messo insieme una sorta di “dream team” di hacker e esperti di sicurezza (alcuni già parte di Google) tra cui il neo-zelandese Ben Hawkes, che ha scoperto decine di bug in software come Adobe Flash e Microsoft Office; Tavis Ormandy, ricercatore inglese, anch’egli uno dei più prolifici “bug hunter” e esperto nelle falle zero-day; il giovane hacker americano George Hotz; lo svizzero Ian Beer, noto per aver trovato bachi in Apple iOs, OsX e Safari.
COME GOOGLE ASSOLDA GLI HACKER
Per capire come Google ha formato il team del Project Zero, basterà ricordare la storia di uno dei suoi componenti, George Hotz. A 17 anni Hotz divenne il primo hacker in assoluto ad aggirare le protezioni di At&t sull’iPhone nel 2007. Allora Apple e At&t lo ignorarono, pur se con difficoltà ripararono il bug da lui portato allo scoperto. Poi Hotz attaccò la Playstation 3 e Sony gli fece causa ottenendo con un patteggiamento che Hotz si impegnasse a non prendere più di mira un prodotto Sony. Ma quando Hotz smantellò le difese del sistema operativo di Chrome, a inizio 2014, Google reagì diversamente: gli propose una ricompensa di 150.000 dollari se avesse aiutato a riparare la falla portata alla luce. Due mesi dopo, Chris Evans mandò a Hotz un’e-mail offrendogli di entrare nel team del Project Zero.
Di Project Zero fa parte anche il ricercatore James Forshaw che aveva vinto un premio di Microsoft da 100.000 dollari a ottobre 2013 per aver dimostrato un nuovo modo per aggirare le tecnologie di difesa di Windows. Ora lavora al servizio di Google per mettere a nudo quelle stesse vulnerabilità.
LO SCONTRO CON MICROSOFT
Microsoft e Google si scontrano da sempre sulle strategie legate alla cyber-sicurezza. Per Google è essenziale la velocità: rilevare i problemi e risolverli in tempi rapidi, oppure renderli pubblici. Microsoft è di tutt’altro avviso. La sua visione, già delineata nel 2010, è quella della pubblicazione delle vulnerabilità “coordinata” o “responsabile”; in poche parole, per Microsoft i ricercatori della sicurezza devono accordarsi e aspettare che la patch sia pronta prima di rendere pubblico un baco. Google allora proponeva invece di riparare le falle in un massimo di 60 giorni.
“Il dibattito dura da anni, ma oggi torna a scaldarsi“, commenta Chet Wisniewski della società di security Sophos. “Nascondere un baco non è mai opportuno, ma nemmeno svelarlo a tutti i costi lo è sempre. E’ meglio per tutti se la pubblicazione è coordinata”. In particolare, Wisniewski obietta alla pratica di Google di rivelare le informazioni in modo automatico e di includere in queste informazioni del codice proof-of-concept che dimostra lo sfruttamento della falla, fornendo potenzialmente un’arma ai cyber-criminali. Con l’ultimatum dei 90 giorni Google “vuole mettere pressione ai produttori di tecnologie”, continua Wisniewski. “Ma riparare una falla in un sistema complicato come Windows potrebbe richiedere più tempo. Google vuole solo mettersi in mostra”.
Di avviso opposto John Pescatore del Sans Institute, che appoggia l’approccio dei 90 giorni. “Google fa bene a spingere. Il mondo sta cambiando, le norme della disclosure vanno riviste”. Pescatore pensa che l’aggiornamento mensile di Microsoft con le patch ai problemi del software non sia più in sincrono con la realtà delle minacce. Per l’esperto del Sans Institute, insomma, il succo del dibattito è che Microsoft non è più la forza guida nel mondo del software: iOs e Android lo sono e introducono nuove applicazioni in continuazione; Windows deve abituarsi a questa nuova velocità.