Project Zero: Los hackers de Google mejorando la seguridad de Internet

Hace poco tiempo que fuimos testigos con heartbleed de lo realmente vulnerables que somos frente a un agujero de seguridad. Por este motivo, muchos expertos en seguridad reportan de manera altruista los errores que encuentran para que puedan ser corregidos. Sin embargo, no todo es bonito.

Los proyectos realmente preocupados por la calidad de sus productos aceptan dichos reportes e incluso premian a los expertos, con dinero en metálico o con algún tipo de regalo, sin embargo, otros lo toman como una amenaza llegando incluso a denunciar al hacker; que solo pretendía ayudar.

Esta situación propicia que cuando se descubre un fallo de seguridad se tienda a venderla en el mercado negro, donde se les dará más dinero y no se arriesgarán a enfrentarse a una denuncia. Esto es lo que se quiere evitar con Project Zero, que se sigan cometiendo estas injusticias a la hora de reportar errores y evitar que acaben en el mercado negro.

Project Zero estará formado por un grupo de hackers mundialmente conocidos y respetados, que estarán pagados por Google para que se dediquen únicamente a encontrar agujeros de seguridad en cualquier producto ampliamente utilizado en la red.

Dicho grupo reportará las vulnerabilidades únicamente al desarrollador del mismo. Cuando éste corrija el error se añadirá en una base de datos pública, donde se mantendrá constancia de todos los errores encontrados. De modo que se puedan obtener datos estadísticos de los proyectos más/menos seguros.

Actualmente cuentan con 5 hackers: Ben Hawkes, Tavis Ormandy, George Hotz, Brit Ian Beer y dirigidos por Chris Evans, aunque esperan poder llegar a tener 10 expertos a jornada completa. Según Evans, Google no saca nada de todo esto, lo hace de manera totalmente altruista.

Sin lugar a dudas es una gran noticia, que sumada a iniciativas como la de la Linux Fundation ayudan a hacer una red más segura. Es cierto que Google no gana nada directamente, pero siendo realistas, si ayuda a mejorar la seguridad de software como el ya mencionado OpenSSL también se estarán beneficiando ellos.

Por otro lado, espero y deseo que las empresas cambien su forma de ver los reportes de los expertos. Más de una vez he leído historias de hackers que cuentan cómo han despreciado su altruismo y se les ha amenazado por avisar de un error, cuando se les debería de estar agradecidos por invertir su tiempo en mejorar un proyecto en el que no participan.

Ante esta situación me gustaría transmitiros una pregunta: Si encontraseis una vulnerabilidad en un sitio web ¿avisaríais a los desarrolladores?.

Vía | Project Zero
En Genbeta | Project Zero: el equipo de hackers de Google para mejorar la seguridad en Internet
Fotografía camiseta | Alexandre Dulaunoy

Ver todos los comentarios en https://www.xatakamovil.com

VER 0 Comentario

Portada de Xataka Móvil