Project Zero

Project Zero — назва команди аналітиків безпеки, що працюють в Google, завданням яких є пошук вразливостей нульового дня. Про створення команди було оголошено 15 липня 2014 року.[2]

Project Zero
Посилання googleprojectzero.blogspot.com
Комерційний ні
Тип команда
Мови англійська
Власник Google
Започатковано 15 липня 2014[1]
Стан активний

Історія

Виявивши ряд недоліків у програмному забезпеченні, що використовується багатьма користувачами під час вивчення інших проблем, таких як критична уразливість «Heartbleed», компанія Google вирішила створити групу zero-day, присвячену пошуку таких вразливостей не тільки в програмному забезпеченні Google, але й у будь-якому програмному забезпеченні, що використовується його користувачами. Новий проєкт був оголошений 15 липня 2014 року в блозі безпеки Google[2]. Незважаючи на те, що ідея про створення «Project Zero» прослідковується з 2010 року, команду Google підштовхнуло до створення команди після викриття масового стеження в 2013 році Едвардом Сноуденом. Спочатку команду очолив Кріс Еванс, колишній керівник команди Google Chrome по безпеці, який згодом приєднався до Tesla Motors[3]. Інші відомі члени включають дослідників з питань безпеки, таких як Бен Хокс, Ян Бір та Тавіс Ормандія[4].

Виявлення помилок

Про баги, знайдені командою Project Zero, повідомляється виробнику і публікується лише після того, як випущено патч або через 90 днів, якщо компанія не виправила помилку[5]. 90-денний термін є способом інформування, який надає компаніям програмного забезпечення 90 днів для вирішення проблеми, перш ніж проінформувати громадськість про це, для того щоб самі користувачі могли вжити необхідні кроки, щоб уникнути нападів[5].

Учасники

Відомі

  • Бен Хокс[5]
  • Тавіс Орманді[5]
  • Янн Хорн[6]

Колишні

  • Кріс Еванс[5]
  • Метт Тайт[7]
  • Стівен Віттіо[8]

Відомі відкриття

30 вересня 2014 року Google виявила помилку безпеки під час системного виклику Windows 8.1 «NtApphelpCacheControl», що дозволяє звичайному користувачеві отримати адміністративний доступ[9]. Microsoft був негайно попереджений про проблему, проте компанія не вирішила проблему протягом 90 днів, тому інформація про помилку була оприлюднена 29 грудня 2014 року[5]. Оприлюднення помилки для громадськості викликало відповідь від Microsoft про те, що вони працюють над проблемою[5].

19 лютого 2017 року Google виявив недолік в зворотному проксі Cloudflare[10], що призвело до того, що їхні серверні панелі пройшли повз закінчення буфера та повернули пам'ять, що містила конфіденційну інформацію, таку як HTTP-файли cookie, токени аутентифікації, тіла HTTP POST та інші конфіденційні дані[11]. Деякі з цих даних були кешовані пошуковими системами. Член команди Project Zero назвав цей недолік «Cloudbleed»[10].

27 березня 2017 року член команди Тавіс Орманді виявив вразливість у популярному менеджері паролів LastPass[12]. 31 березня 2017 року LastPass оголосив, що вони вирішили проблему[13].

Проєкт Zero був залучений до виявлення уразливостей Meltdown і Spectre, що зачіпають багато сучасних процесорів, які були виявлені в середині 2017 року та розкриті на початку січня 2018 року[14]. Баги були виявлені Янном Горном, незалежно від інших дослідників, які повідомили про недоліки безпеки. 9 січня 2018 року деталі помилок були розкриті через зростаючу спекуляцію[6].

Примітки

  1. Announcing Project Zero
  2. Evans, Chris (15 липня 2014). Announcing Project Zero. Google Online Security Blog. Процитовано 19 квітня 2018.
  3. Chris Evans on Twitter. Twitter (укр.). Процитовано 11 квітня 2018.
  4. Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers. WIRED (амер.). Процитовано 11 квітня 2018.
  5. Google posts Windows 8.1 vulnerability before Microsoft can patch it. Engadget (амер.). Процитовано 11 квітня 2018.
  6. Google reveals CPU security flaw Meltdown and Spectre details. SlashGear (амер.). 3 січня 2018. Процитовано 11 квітня 2018.
  7. mtait. Lawfare (англ.). Процитовано 11 квітня 2018.
  8. Ben (18 грудня 2017). Project Zero: aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript. Project Zero. Процитовано 11 квітня 2018.
  9. 118 - Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail. bugs.chromium.org (англ.). Процитовано 11 квітня 2018.
  10. 1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - project-zero - Monorail. bugs.chromium.org (англ.). Процитовано 11 квітня 2018.
  11. Incident report on memory leak caused by Cloudflare parser bug. Cloudflare Blog. 23 лютого 2017. Процитовано 11 квітня 2018.
  12. Another hole opens up in LastPass that could take weeks to fix. Naked Security (амер.). 29 березня 2017. Процитовано 11 квітня 2018.
  13. Security Update for the LastPass Extension - The LastPass Blog. The LastPass Blog (амер.). 27 березня 2017. Процитовано 11 квітня 2018.
  14. A Critical Intel Flaw Breaks Basic Security for Most Computers. WIRED (амер.). Процитовано 11 квітня 2018.

Посилання

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.