Projeto Zero (Google) Índice História | Pesquisa de erros e relatórios | Membros anteriores |...
Googlevulnerabilidades de dia zeroHeartbleeddivulgações de supervisão global de 2013Edward SnowdenTesla MotorsBen HawkesIan BeerTavis Ormandydivulgação responsávelWindows 8.1MicrosoftfalhaCloudflareCloudbleedLastPass
Projeto Zero (Google) | |
|---|---|
| Endereço eletrónico | googleprojectzero.blogspot.com |
Projeto Zero é o nome de uma equipe de analistas de segurança empregada pelo Google encarregada de encontrar vulnerabilidades de dia zero. Foi anunciado em 15 de julho de 2014.[1]
Índice
1 História
2 Pesquisa de erros e relatórios
3 Membros anteriores
4 Descobertas notáveis
5 Referências
6 Ligações externas
História |
Depois de encontrar uma série de falhas no software utilizado por muitos usuários finais ao pesquisar outros problemas, como a vulnerabilidade crítica "Heartbleed" o Google decidiu formar uma equipe de tempo integral dedicada a encontrar essas vulnerabilidades, não apenas no software do Google, mas sim qualquer software usado por seus usuários. O novo projeto foi anunciado em 15 de julho de 2014 no blog de segurança do Google.[1] Embora a idéia do Project Zero possa ser rastreada até 2010, seu estabelecimento enquadra-se na tendência maior das iniciativas de contra-vigilância da Google na sequência das divulgações de supervisão global de 2013 por Edward Snowden. A equipe foi anteriormente liderada por Chris Evans, anteriormente chefe da equipe de segurança do Google no Google Chrome, que participou da Tesla Motors.[2] Outros membros notáveis incluem pesquisadores de segurança, como Ben Hawkes, Ian Beer e Tavis Ormandy.[3]
Pesquisa de erros e relatórios |
Os erros encontrados pela equipe do Projeto Zero são relatados ao fabricante e somente tornados publicamente visíveis uma vez que um patch foi liberado[1] ou se 90 dias se passaram sem um patch sendo liberado.[4] O prazo de 90 dias é a forma como o Google é implementar a divulgação responsável, oferecendo às empresas de software 90 dias para corrigir um problema antes de informar o público para que os próprios usuários possam tomar as medidas necessárias para evitar ataques.[4]
Membros anteriores |
George Hotz[3]
Chris Evans[3]
Matt Tait[5]
Descobertas notáveis |
Em 30 de setembro de 2014, o Google detectou uma falha de segurança de sistema do Windows 8.1 chamada "NtApphelpCacheControl", que permite que um usuário normal obtenha acesso administrativo.[6] A Microsoft foi notificada do problema imediatamente, mas não corrigiu-o dentro de 90 dias, o que significava que informações sobre o bug foram disponibilizadas publicamente em 29 de dezembro de 2014.[4] Liberar o erro ao público provocou uma resposta da Microsoft que eles estão trabalhando no problema.[4]
Em 19 de fevereiro de 2017, o Google descobriu uma falha dentro dos proxies reversos do Cloudflare,[7] que fez com que seus servidores de ponta passassem ao final de um buffer e retornasse a memória que continha informações privadas, como cookies HTTP, tokens de autenticação, corpos HTTP POST, e outros dados sensíveis. Alguns desses dados foram armazenados em cache pelos motores de busca.[8] Um membro da equipe Projeto Zero se referiu a esta falha como Cloudbleed.[7]
Em 27 de março de 2017, Tavis Ormandy, do Projeto Zero, descobriu uma vulnerabilidade no popular gerenciador de senhas LastPass.[9] Em 31 de março de 2017, o LastPass anunciou que resolveram o problema.[10]
Referências
↑ abc Evans, Chris (15 de julho de 2014). «Announcing Project Zero». Google Online Security Blog. Consultado em 4 de janeiro de 2015
↑ «Chris Evans on Twitter». Consultado em 22 de setembro de 2015
↑ abc Greenberg, Andy (15 de julho de 2014). «Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers». Wired.com. Consultado em 4 de janeiro de 2015
↑ abcd Dent, Steven (2 de janeiro de 2015). «Google posts Windows 8.1 vulnerability before Microsoft can patch it». Engadget. Consultado em 4 de janeiro de 2015
↑ «Lawfareblog Hard National Security Choices Matt Tait». Consultado em 9 de março de 2017
↑ «Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl». google-security-research group on code.google.com. 30 de setembro de 2014. Consultado em 4 de janeiro de 2015
↑ ab «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». google-security-research group on code.google.com. 19 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017
↑ «Incident report on memory leak caused by Cloudflare parser bug». Cloudflare. 23 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017
↑ «Another hole opens up in LastPass that could take weeks to fix». Naked Security. 29 de março de 2017. Consultado em 29 de março de 2017
↑ Siegrist, Joe (31 de março de 2017). «Security Update for the LastPass Extension». LastPass Blog. Consultado em 2 de maio de 2017
Ligações externas |
- Official blog
- Database of detected vulnerabilities
- List of vulnerabilities found by Google before starting "Project Zero"
