13/04/1403  
 
سازمان نظام صنفی رایانه ای خراسان رضوی
سازمان نظام صنفی رایانه ای خراسان رضویاخباراخبار رسانه ها
شنبه, ۱۳ دی ۱۳۹۹ ۰۹:۳۹ ۴۰
طبقه بندی: اخبار رسانه ها
چچ
شکارچیان باگ در «پروژه زیرو»

شکارچیان باگ در «پروژه زیرو»

هکرهای نابغه در گوگل چه می‌کنند؟

در دنیای فناوری آسیب‌پذیری‌های زیادی وجود دارند که هکرها با سوءاستفاده از آن‌ها می‌توانند امنیت کاربران و داده‌های آن‌ها را در معرض خطر قرار دهند. در این میان گوگل با «پروژه زیرو» (Project Zero) به دنبال کشف آسیب‌پذیری‌ها در محصولات خود و کمپانی‌های دیگر است.
گوگل چندین سال پیش تصمیم گرفت تیمی برای کشف این باگ‌ها تشکیل دهد.
سال ۲۰۰۷ بود که یک نوجوان ۱۷ ساله به نام «جرج هاتز» تبدیل به اولین هکری شد که توانست قفل AT&T روی آیفون را بشکند. کمپانی‌ها توجه چندانی به هاتز نداشتند و تنها به دنبال رفع باگ‌هایی بودند که او کشف می‌کرد. هاتز حتی توانست با مهندسی معکوس، پلی استیشن ۳ را هک کند و با شکایت سونی مواجه شود، اما این پرونده با موافقت هاتز مبنی بر عدم هک محصولات سونی به پایان رسید.
با وجود چنین موضوعی، هاتز همچنان به فعالیت‌های خود در زمینه امنیت ادامه داد و توانست در سال ۲۰۱۴ سیستم دفاعی سیستم عامل کروم را دور بزند. گوگل در مواجه با هاتز، عملکرد متفاوتی نسبت به سونی داشت و بجای شکایت، به این هکر برای کمک به رفع این نقص امنیتی ۱۵۰ هزار دلار جایزه پرداخت کرد.
دو ماه پس از پرداخت این جایزه، یکی از مهندسان امنیتی گوگل به نام «کریس ایوانز» یک ایمیل به همراه پیشنهادی برای هاتز ارسال کرد. ایوانز به هاتز پیشنهاد کرده بود که به یک تیم نخبه از هکرها با حقوق کامل ملحق شود و آسیب‌پذیری‌های امنیتی در تمام نرم افزارهای محبوب که با اینترنت در ارتباط هستند را کشف کند.
گوگل در اواسط ۲۰۱۴ وجود چنین تیمی را عمومی کرد که گروهی متشکل از محققان امنیتی برتر گوگل می‌شود. این تیم تنها یک هدف دارد: ردیابی و خنثی‌سازی مهم‌ترین و خطرناکترین نقص‌های امنیتی در دنیای فناوری. در حقیقت گوگل این آسیب‌پذیری‌ را شناسایی و اعلام می‌کند تا شرکت‌ها از وجود آن‌ها اطلاع داشته باشند و پیش از اینکه هکرها بتوانند از آن‌ها سوءاستفاده کنند، رفع شوند.
در تیم پروژه زیرو گوگل محققان امنیتی برتر زیادی حضور دارند که البته برخی از آن‌ها در گذر زمان از تیم جدا شده‌اند. تا به امروز این گروه توانسته باگ‌ها و آسیب‌پذیری‌های زیادی را کشف کند.
تیم Project Zero گوگل پس از کشف یک باگ، آن را بدون سر و صدا به شرکت سازنده اطلاع می‌دهد و آن‌ها باید تا ۹۰ روز این مشکل را برطرف کنند. در صورتی که این کمپانی نتواند آسیب‌پذیری را در مدت ۹۰ روز رفع کند، تیم پروژه زیرو به صورت خودکار اطلاعات مربوط به آن را در اختیار عموم قرار می‌دهد.
این تیم در کنار انتشار اطلاعات درباره این آسیب‌پذیری، یک کد حمله نمونه را هم منتشر می‌کند. در حالی که شاید در ابتدا این مدت زمان کوتاه به نظر برسد، اما باعث می‌شود شرکت‌ها پیش از اینکه هکرها از یک باگ اطلاع پیدا کنند و با سوءاستفاده از آن امنیت کاربران زیادی به خطر بیندازند، آن را برطرف می‌کنند.

آدرس کوتاه شده: