Project Zero, un Equipo Creado por Google para Cazar Bugs

Project Zero, un Equipo Creado por Google para Cazar Bugs

Compartir

Google intenta velar por la seguridad de todos, ¿desinteresadamente?

Nadie estaba al tanto de su existencia, ni siquiera se sabía que eran, hasta que ha llegado el momento de que salgan a la luz. El proyecto “Zero” de Google se ha visto publicado en varios sitios antes incluso de conocerse que es y que hace. Incluso Apple llegó a dar las gracias a Project Zero de Google en una de las revisiones de iOS 7. Hasta el momento nadie conocía que es Project Zero ni a qué se dedicaban, al igual que otras cosas de Google, se han mantenido secretas en el sótano más profundo, hasta que llega el momento de darlo a conocer.

Heartbleed es uno de los casos más recientes que hemos tenido en cuanto a problemas de seguridad que hemos vivido en internet. Un simple bug, en una pieza de software fundamental para los servidores de todos los servicios que usamos diariamente, hizo temblar a todo el mercado tecnológico ante la posibilidad de que alguien robase todos sus datos de un servicio que se supone es como un búnker en cuanto a seguridad.

Este fallo estaba presente en una pieza de lo que es un increíble puzzle que hace que internet funcione, solo en una, al menos de momento. Y es que nada ni nadie puede asegurarnos de que no exista en otra de esas piezas un fallo de seguridad de tal calibre, que nuestra seguridad e información más importante quede al descubierto, sería algo catastrófico.

project-zero-google

Project Zero, por lo tanto, es el intento de Google para cazar y eliminar esos bugs. Son los SWAT, el “Equipo A” de internet, un grupo de hackers de élite que se encargan de buscar fallos de seguridad donde nadie piensa que puedan existir, avisar de que existen, arreglar el problema o ayudar a que se arregle y continuar en la búsqueda de más problemas.

Buscar bugs en internet es algo parecido a una misión imposible, es un trabajo arduo, algo muy muy complicado para el programador que no está acostumbrado a hacerlo. Hay que usar técnicas que en ocasiones se pueden considerar como un ataque, pero que tienen un fin bastante importante, como hacer de internet un lugar mucho más seguro. Algo que a todos los que lo usamos nos conviene, ¿no?

Chris Evans es el ingeniero jefe de Project Zero y el encargado de “fichar” a los mejores desarrolladores que encuentre para esta “misión imposible”. Pero su tarea de arreglar internet ¿es para tener un mejor internet, o para conocer mejor la seguridad de sus competidores? Chris insiste en que Project Zero es “primordialmente altruista”.

project-zero-google-2

Project Zero: Un grupo secreto que por fin ve la luz

La razón de que exista este proyecto es por una frustración de los propios programadores, los cuales al intentar crear una aplicación segura, se las tienen que ver con desarrollos de terceros que aparentan ser seguros, pero que realmente no lo son. Así que toca revisar todos y cada uno de ellos para asegurarse de que son realmente.

Este proyecto es tan importante y está ayudando a arreglar bugs de empresas tan grandes que incluso la propia Apple da las gracias a uno de sus “cazadores”, pero las mentes de Google no pueden hacer nada frente a la oleada de software, código y desarrollos de millones de programadores en todo el mundo. Los de Mountain View pueden centrarse en las piezas de software más importantes que hoy en día se usan, ¿pero se centrarán solo en las que usan la mayoría de usuarios?

project-zero-google-3

La seguridad en internet es algo que implica a todo el mundo. Todos deberíamos tener la convicción y la obligación de dar a conocer sistemas seguros, problemas de seguridad e información que pueda hacer la vida de los usuarios algo más sencilla, al mismo tiempo de dar información de lo que está pasando.

Chris Evans dijo lo siguiente:

“Estamos contratando a los investigadores de seguridad con las mentes más prácticas y mejor formados para que utilicen el 100% de su tiempo a mejorar la seguridad en internet”

Evans aclara que la iniciativa no tendrá ningún tipo de restricción y que los hackers contratados tendrán libertad para buscar vulnerabilidades en cualquier tipo de software que sea utilizado por un gran número de personas. Y es que lo principal es hacer que los usuarios se puedan sentir seguros y no estén todo el día pensando que alguien puede hacerse con sus datos privados y usarlos como se les antoje.

La iniciativa de la empresa californiana, también busca crear un poco de presión sobre la industria de software para que las compañías del sector tengan más apertura sobre posibles riesgos en sus programas. Algunas empresas tienden a ver como una amenaza a los investigadores de seguridad que detectan vulnerabilidades en sus programas.

project-zero-google-4

George Hotz es uno de los ejemplos más claros al respecto. En 2007, cuando el joven estadounidense tenía apenas 17 años, logró vulnerar el sistema de bloqueo del software de AT&T en el iPhone. El operador telefónico ignoró su reporte y meses más tarde tomó la decisión de corregir el fallo.

Meses más tarde, Hotz logró hacer ingeniería inversa sobre el sistema operativo de la consola PlayStation 3 de Sony, lo que le permitió ejecutar cualquier tipo de programa o juego (legal o pirata) en el equipo. Al enterarse, la firma nipona lo demando.

Sin embargo y por suerte, empresas como Google, Microsoft y Firefox tienen otra filosofía frente a los actos de hackers como Hotz: pagarles por sus servicios. Estas tres compañías poseen programas de recompensas por vulnerabilidades, mientras más grave sea el error mayor será la recompensa económica.

project-zero-google-5

Tal y como mencionan en wired, cuando los “cazadores” de Project Zero encuentran un bug, estos alertan a la empresa responsable para que busquen una solución y le dan entre 60 y 90 días para emitir un parche antes de revelar públicamente el fallo en el blog de Google Project Zero. Así que por lo menos, podemos estar algo más “seguros” pensando que hay un grupo de personas que se encarga de velar por la seguridad de nuestros datos en la red.

¿Crees que es efectivo un grupo de este tipo frente a las vulnerabilidades de la red? Coméntanos tu opinión, estaremos encantados de saberla.