Nakon što su hakeri navodno povezani s kineskom vladom 2009. godine uspjeli hakirati Google, ukrasti im dokumente i pokušali špijunirati njihove korisnike (osim Googleovaca napali su i brojne druge kompanije) – pri čemu je iskorišten nepatchirani propust u Internet Exploreru 6, suosnivač Googlea Sergei Brin odlučio je kako se stvari moraju promijeniti jer sigurnost njihovih proizvoda ne može ovisiti o drugim kompanijama i propustima u njihovom softveru. Tada su postavljeni temelji Projecta Zero, elitne ekipe Googleovih hakera i sigurnosnih istraživača koji, kako bi zaštitili Googleove proizvode i korisnike, pronalaze propuste u softveru drugih kompanija.


Nedugo nakon toga, Googleov sigurnosni istraživač Tavis Ormandy pronašao je i opasan propust u Windowsima putem kojeg bi hakeri mogli preuzeti kontrolu nad osobnim računalima, no nakon što Microsoft nije objavio zakrpu za njegu, odlučio je objaviti informacije o ovom propustu kako bi upozorio na veliku potencijalnu opasnost. Ormandy je sličnu stvar napravio i s informacijama o propustu u Oracleovom Java softveru, kao i s još jednim propustom u Windowsima – samo pet dana nakon što ga je prijavo Microsoftu. Ormandy se zbog toga našao na udaru kritika tehnoloških kompanija koje su smatrale da će objavom informacija o sigurnosnim propustima dodatnu ugroziti njihovu sigurnost, no on je vjerovao kako na ovaj način vrši pritisak na Microsoft, Oracle i druge kompanije kako bi što prije popravili te propuste jer bi inače na patcheve mogli čekati mjesecima.


Google je Project Zero službeno pokrenuo 2014. godine postavivši na čelu odjela Chrisa Evansa, a dio tima bio je, naravno, i Tavis Ormandy. U razgovoru za Fortune Evans je rekao kako je Project Zero nastao "kroz godine razgovora tijekom pauza za ručak " i dugogodišnjeg proučavanja evolucije hakerskih napada te su htjeli okupiti najbolje od najboljih istraživača koji će im pomoći u pronalaženju najopasnijih propusta.


S vremenom je ova, kako su ih mediji prozvali, "elitna hakerska jedinica" (podsjetimo, razlikujemo tzv. black hat i white hat hakere – white hat hakeri traže sigurnosne propuste i o njima obavještavaju kompanije kako bi ih mogle popraviti prije nego ih hakeri iskoriste), postala jedna od najpoznatijih i najučinkovitijih grupa sigurnosnih istraživača na svijetu te su zaslužni za otkrivanje i patchiranje brojnih propusta. Tijekom godina, Ormandy i ekipa postali su fleksibilniji što se tiče pritisaka na kompanije te danas kompanijama daju 90 dana vremena da isprave pronađene propuste, odnosno sedam dana u slučaju propusta koji se aktivno iskorištavaju, prije nego objave informacije o tim propustima.


No, upravo je taj pritisak na kompanije razlog zbog kojeg je Project Zero često na udaru kritika – npr. u slučaju opasnog propusta u Cloudflareu, nisu se mogli dogovoriti oko vremena objave informacija o sigurnosnom propustu te ovoj kompaniji nisu dali dodatno vrijeme koje su tražili da u potpunosti riješe problem prije nego su te informacije objavljene.


Usprkos tim kritikama, sigurnosni analitičari podsjećaju da je za sve puno korisnije da Googlevci i njihov Project Zero imaju te informacije, a ne neki hakeri koji bi ih mogli iskoristiti ili prodati za veliki novac.

Izvor: Fortune