Considerando que a indústria da segurança melhorou em diversos aspetos, seja a nível tecnologia como na colaboração, a Google acredita que muitos desafios permanecem, sobretudo ao nível da gestão das vulnerabilidades. Destaca que há uma espécie de ciclo vicioso nas vulnerabilidades de segurança: “uma vulnerabilidade é encontrada, corrigida e pouco tempo depois surge uma outra vulnerabilidade, corrige-se e repete-se o ciclo”, afirma.

A Google quer mudar as regras do “jogo” através da sua equipa Project Zero, que estuda as vulnerabilidades zero day nos sistemas de hardware e software. A equipa é referida como pioneira nas correções de zero day e na respetiva divulgação de cronogramas ao longo dos anos para a segurança dos utilizadores.

Nos seus estudos, a Google diz que os riscos das vulnerabilidades zero day permanecem, mesmo depois de serem conhecidas e corrigidas. Os riscos estão ligados ao tempo de atraso na adoção pelas fabricantes e fornecedores, pelos pontos problemáticos de deste da patch, questões relacionadas com a atualização por parte do utilizador final, entre outros fatores. Destaca ainda que mais de um terço das vulnerabilidades zero day exploradas que foram analisadas em 2022 eram variantes de outras corrigidas. Estas resultaram da aplicação incorreta das correções da vulnerabilidade original por parte dos fornecedores.

É nesse sentido que a gigante tecnológica propõe algumas iniciativas em resposta a esses riscos, nomeadamente a criação de um ecossistema sem patches. Um dos primeiros pontos é a necessidade de maior transparência por parte dos fornecedores e governos na exploração das suas vulnerabilidades e na respetiva adoção de patches, de forma a ajudar a comunidade a diagnosticar se as abordagens atuais estão a funcionar.

É preciso ter mais atenção aos pontos de atrito ao longo do ciclo de vida da vulnerabilidade, de forma a garantir que os riscos para os utilizadores sejam abordados de forma mais abrangente. A Google afirma que é necessário responder à raiz das vulnerabilidades, dando-se prioridade à criação de práticas modernas de software seguro, de forma a fechar por completo todas as vias do ataque.

Um ponto igualmente fulcral na sua estratégia é a intenção de proteger a boa fé dos investigadores de segurança. Estes contribuem significativamente para a segurança, procurando e encontrando vulnerabilidades, mesmo antes que os atacantes possam explorá-las. No entanto, os investigadores podem estar sujeitos a ameaças de processos judiciais quando as suas contribuições não são bem-vindas ou mal interpretadas. Isso poderá levar à inibição da investigação e respetiva divulgação das vulnerabilidades, salienta a Google.

Para melhorar o ecossistema, é necessária a cooperação entre as partes interessadas, desde a própria indústria que desenvolve as plataformas e serviços que são alvos de ataques; os investigadores que descobrem as vulnerabilidades e ajudam a mitigar ou a fechar as vias de ataques; os utilizadores, que são ainda essenciais no ciclo da segurança; e os governos, que criam as estruturas de incentivo que moldam o comportamento de todos os restantes envolvidos.

Para apoiar as melhorias necessárias no ecossistema, a Google revelou algumas iniciativas. A criação do Hacking Policy Council reúne um grupo de organizações e líderes que se vão envolver na defesa de garantias de que as novas políticas e regulamentos ajudem a apoiar as melhores práticas de gestão e divulgação das vulnerabilidades, sem prejudicar a segurança dos seus utilizadores.

Outra iniciativa é a criação de um fundo de financiamento inicial de defesa legal, para proteger a boa fé da investigação de segurança, sobretudo dos investigadores independentes. O chamado Security Research Legal Defense Fund servirá para ajudar no financiamento da representação legal dos investigadores, no caso de ameaças de processos judiciais. A Google realça dessa forma a importância dos investigadores independentes no ecossistema, capazes de fazer avançar a cibersegurança ao nível do interesse público.

Por fim, salienta a importância da transparência da exploração, que ajuda os utilizadores a tomarem medidas para se protegerem. A transparência ajuda também a compreender o comportamento do atacante levando à adoção de melhores proteções. Para a Google, a transparência deveria ser uma política padrão da indústria ao nível da divulgação das vulnerabilidades. “A partir de hoje, iremos tornar este aspeto numa parte explícita da nossa política, comprometendo-nos a divulgar publicamente quando tivermos evidências de que vulnerabilidades em qualquer um dos nossos produtos tenha sido explorado”.