Projeto Zero (Google) Índice História | Pesquisa de erros e relatórios | Membros anteriores |...


Google


Googlevulnerabilidades de dia zeroHeartbleeddivulgações de supervisão global de 2013Edward SnowdenTesla MotorsBen HawkesIan BeerTavis Ormandydivulgação responsávelWindows 8.1MicrosoftfalhaCloudflareCloudbleedLastPass
































































































































































































































































































































































































































































































































































































































































































































































































































































































Projeto Zero (Google)
Endereço eletrónico

googleprojectzero.blogspot.com

Projeto Zero é o nome de uma equipe de analistas de segurança empregada pelo Google encarregada de encontrar vulnerabilidades de dia zero. Foi anunciado em 15 de julho de 2014.[1]




Índice






  • 1 História


  • 2 Pesquisa de erros e relatórios


  • 3 Membros anteriores


  • 4 Descobertas notáveis


  • 5 Referências


  • 6 Ligações externas





História |


Depois de encontrar uma série de falhas no software utilizado por muitos usuários finais ao pesquisar outros problemas, como a vulnerabilidade crítica "Heartbleed" o Google decidiu formar uma equipe de tempo integral dedicada a encontrar essas vulnerabilidades, não apenas no software do Google, mas sim qualquer software usado por seus usuários. O novo projeto foi anunciado em 15 de julho de 2014 no blog de segurança do Google.[1] Embora a idéia do Project Zero possa ser rastreada até 2010, seu estabelecimento enquadra-se na tendência maior das iniciativas de contra-vigilância da Google na sequência das divulgações de supervisão global de 2013 por Edward Snowden. A equipe foi anteriormente liderada por Chris Evans, anteriormente chefe da equipe de segurança do Google no Google Chrome, que participou da Tesla Motors.[2] Outros membros notáveis ​​incluem pesquisadores de segurança, como Ben Hawkes, Ian Beer e Tavis Ormandy.[3]



Pesquisa de erros e relatórios |


Os erros encontrados pela equipe do Projeto Zero são relatados ao fabricante e somente tornados publicamente visíveis uma vez que um patch foi liberado[1] ou se 90 dias se passaram sem um patch sendo liberado.[4] O prazo de 90 dias é a forma como o Google é implementar a divulgação responsável, oferecendo às empresas de software 90 dias para corrigir um problema antes de informar o público para que os próprios usuários possam tomar as medidas necessárias para evitar ataques.[4]



Membros anteriores |




  • George Hotz[3]


  • Chris Evans[3]


  • Matt Tait[5]



Descobertas notáveis |


Em 30 de setembro de 2014, o Google detectou uma falha de segurança de sistema do Windows 8.1 chamada "NtApphelpCacheControl", que permite que um usuário normal obtenha acesso administrativo.[6] A Microsoft foi notificada do problema imediatamente, mas não corrigiu-o dentro de 90 dias, o que significava que informações sobre o bug foram disponibilizadas publicamente em 29 de dezembro de 2014.[4] Liberar o erro ao público provocou uma resposta da Microsoft que eles estão trabalhando no problema.[4]


Em 19 de fevereiro de 2017, o Google descobriu uma falha dentro dos proxies reversos do Cloudflare,[7] que fez com que seus servidores de ponta passassem ao final de um buffer e retornasse a memória que continha informações privadas, como cookies HTTP, tokens de autenticação, corpos HTTP POST, e outros dados sensíveis. Alguns desses dados foram armazenados em cache pelos motores de busca.[8] Um membro da equipe Projeto Zero se referiu a esta falha como Cloudbleed.[7]


Em 27 de março de 2017, Tavis Ormandy, do Projeto Zero, descobriu uma vulnerabilidade no popular gerenciador de senhas LastPass.[9] Em 31 de março de 2017, o LastPass anunciou que resolveram o problema.[10]



Referências




  1. abc Evans, Chris (15 de julho de 2014). «Announcing Project Zero». Google Online Security Blog. Consultado em 4 de janeiro de 2015 


  2. «Chris Evans on Twitter». Consultado em 22 de setembro de 2015 


  3. abc Greenberg, Andy (15 de julho de 2014). «Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers». Wired.com. Consultado em 4 de janeiro de 2015 


  4. abcd Dent, Steven (2 de janeiro de 2015). «Google posts Windows 8.1 vulnerability before Microsoft can patch it». Engadget. Consultado em 4 de janeiro de 2015 


  5. «Lawfareblog Hard National Security Choices Matt Tait». Consultado em 9 de março de 2017 


  6. «Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl». google-security-research group on code.google.com. 30 de setembro de 2014. Consultado em 4 de janeiro de 2015 


  7. ab «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». google-security-research group on code.google.com. 19 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017 


  8. «Incident report on memory leak caused by Cloudflare parser bug». Cloudflare. 23 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017 


  9. «Another hole opens up in LastPass that could take weeks to fix». Naked Security. 29 de março de 2017. Consultado em 29 de março de 2017 


  10. Siegrist, Joe (31 de março de 2017). «Security Update for the LastPass Extension». LastPass Blog. Consultado em 2 de maio de 2017 



Ligações externas |



  • Official blog

  • Database of detected vulnerabilities

  • List of vulnerabilities found by Google before starting "Project Zero"




Popular posts from this blog

Why not use the yoke to control yaw, as well as pitch and roll? Announcing the arrival of...

Couldn't open a raw socket. Error: Permission denied (13) (nmap)Is it possible to run networking commands...

VNC viewer RFB protocol error: bad desktop size 0x0I Cannot Type the Key 'd' (lowercase) in VNC Viewer...