Миллиарды людей, не говоря уже о солидной доли мировой экономики, зависят от Интернета так сильно, что это и восхищает и ужасает одновременно. Мы полагаемся на Сеть так, как не полагались никогда и ни на что в человеческой истории. Интернет — чудесный ресурс, но он также хрупкий и уязвимый, и, в отличие от многих других жизненно важных ресурсов, задача его защиты не возложена ни на кого.

Google занимает весьма непростое место в интернет-сообществе. Компания держит большое количество ценных сервисов, включая Gmail, Google Earth, Google Maps и т.д., большинство из них бесплатны. Конечно, пользователи платят за эти сервисы иными способами, предоставляя свои персональные данные и позволяя компании показывать рекламу, основанную на их онлайн-поведении и других факторах. Эта бизнес-модель беспокоит многих, и компания, конечно, не имеет идеальной репутации в отношении неприкосновенности частной жизни, что показали проблемы с записью данных Wi-Fi и другие инциденты.

С другой стороны, Google потратила несколько последних лет на работу над серией важных улучшений безопасности в своих продуктах, что, учитывая масштаб деятельности компании, может оказать большое влияние на защищенность данных миллионов пользователей. Gmail, например, теперь применяет только SSL для веб-соединений. Сервис также рассылает предупреждения пользователям о возможных продвинутых атаках против их учетных записей. И компания наладила шифрование соединений между своими центрами обработки данных во всем мире, что сильно осложнило жизнь таким высокоуровневым источникам угроз, как АНБ и другие разведывательные агентства. Это важные шаги, обеспечившие ощутимые перемены для большей части населения Интернета.

За последние годы Google также аккумулировала большое число талантов в области информационной безопасности, и компания сфокусировала часть своих самых острых умов на новой инициативе, известной как Project Zero. Новая команда под лидерством Криса Эванса, долгое время работавшего инженером-безопасником в проекте Chrome, копается в критически важном программном обеспечении, от которого зависят Интернет и его пользователи, в расчете найти новые уязвимости. Они не просто будут исследовать продукты и веб-сервисы Google, тем более что это уже делают другие. Исследователи Project Zero также будут разбираться в программах сторонних поставщиков, пытаясь обнаружить опасные уязвимости, которые могут быть использованы хакерами на госслужбе, разведывательными агентствами и прочими крупными хищниками. Исследователи будут отчитываться о найденных багах производителям ПО и помогать им в изготовлении патчей, причем все это будет делаться в открытую, с публичными сообщениями.

Команда безопасников Google приняла многие из разоблачений деятельности АНБ довольно близко к сердцу. Пользователи компании — постоянная цель не только для заурядных злоумышленников, но также и для тех, кто находится на вершине пищевой цепочки, что многократно осложняет жизнь тем, кто пытается защитить пользователей. Инициативу Project Zero можно рассматривать как ответную реакцию не только на события последних 18 месяцев, но и на широкую проблему багов и атак масштаба всего Интернета.

«Вы должны иметь возможность использовать Сеть без боязни того, что преступник или хакер на госслужбе использует программные ошибки, чтобы заразить ваш компьютер, украдет секреты или проследит за вашим общением. Кроме того, мы наблюдаем хитроумные атаки, использующие уязвимости «нулевого дня», которые нацелены, например, на активистов защиты прав человека или для ведения промышленного шпионажа. Это нужно остановить. Мы думаем, что можно еще многое сделать для того, чтобы решить эту проблему», — написал Эванс в сообщении, анонсирующем новый проект.

«Project Zero — это наш вклад в то, чтобы ситуация сдвинулась с мертвой точки. Нашей задачей является значительное сокращение числа людей, страдающих от целевых атак. Мы нанимаем лучших исследователей-практиков в области безопасности и вкладываем 100% их времени в улучшение безопасности во всем Интернете», — пишет Эванс.

Четыре года назад я написал, что Google владеет Интернетом и что эта позиция сопровождается ответственностью за защиту не только пользователей компании, но и самой Сети. Теперь мы знаем, что на самом деле Интернетом владеет АНБ, но это лишь придает еще большее значение таким инициативам, как Project Zero. Большинство значительных софтверных и интернет-компаний фокусируют свои ресурсы в области информационной безопасности для выявления уязвимостей в своих собственных продуктах, и это к лучшему, особенно для крупнейших компаний, таких как Microsoft или Apple.

Но при этом Интернет является общим глобальным ресурсом, и он и его пользователи нуждаются в защите. Project Zero в сочетании с немалыми финансовыми и интеллектуальными ресурсами Googlе — важный шаг к этой защите.

Категории: Главное, Уязвимости