Project Zero (Google): differenze tra le versioni

| url = {{URL|http://googleprojectzero.blogspot.com}}

Dopo aver trovato diverse [[vulnerabilità]] in [[software]] usato da diversimolti utenti finali mentre studiava altre vulnerabilità, come "[[Heartbleed]]", Google ha deciso di fondare un team apposito dedicato a individuare tali vulnerabilità, non solo in software Google software, ma in qualsiasi software utilizzato dai suoi utenti. Il nuovo progetto è stato annunciato il 15 luglio 2014 sul blog di Google dedicato alla sicurezza. While theSebbene l'idea fordi Project Zero canpotrebbe berisalire traced back toal 2010, itsla establishmentsua fitsistituzione intosi theinserisce largernella trendpiù ofampia tendenza di Google's counter-surveillancedi initiativescontrastare ininiziative thedi wakesorveglianza ofa theseguito delle [[Divulgazionidivulgazioni sulla sorveglianza di massa del 2013|2013 global surveillance disclosures]] bydi [[Edward Snowden]]. TheIl team wasera formerlyprecedentemente headedguidato byda Chris Evans, previouslyresponsabile headdel ofteam Google'sdi Chromesicurezza securitydi teamGoogle Chrome, whopoi subsequentlypassato joineda [[Tesla (azienda)|Tesla Motors]].<ref>{{Cita web|url=https://twitter.com/scarybeasts/status/628980384471105536|titolo=I'm very excited to soon be joining @TeslaMotors to lead security.|autore=Chris Evans|sito=@scarybeasts|data=10:26 AM - 5 Aug 2015|lingua=en|accesso=2018-01-04}}</ref> OtherAltri notablemembri membersdegni includedi securitynota researchers, such assono Ben Hawkes, Ian Beer ande Tavis Ormandy.<ref name=":0">{{Cita news|lingua=en-US|url=https://www.wired.com/2014/07/google-project-zero/|titolo=Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers|pubblicazione=WIRED|accesso=2018-01-04}}</ref>

I [[bug]] trovati dal team Project Zero sonovengono inizialmente segnalati privatamente ai creatori e resi pubblicamente visibili solo dopo che unala patch èviene stata rilasciatapubblicata o se sono passatidopo 90 giorni senza l'uscita di una patchrisoluzione. Questa scadenza di 90 giorni è la modalitàscelta in cuiottemperanza Google attua ladella ''[[responsible disclosure]]'', concedendonella quale Google si impegna a concedere il tempo necessario alle società di software 90 giorni per sistemare il problema prima di informare il pubblico, in modo date gli utenti prendano i necessari provvedimenti per evitare gli attacchi.

* [[Ben Hawkes]]<ref name=":0" />

* [[Tavis Ormandy]]<ref name=":0" />

* [[Ian Beer]]<ref name=":0" />

* [[George Hotz]]<ref name="wired:0">{{Cita web|url=https://www.wired.com/2014/07/google-project-zero/}}</ref>

* Chris Evans<ref name=":0" />

* Matt Tait<ref name="lawfareblog">{{Cita web|url=https://www.lawfareblog.com/contributors/mtait|titolo=mtait|sito=Lawfare|lingua=en|accesso=2018-01-04}}</ref>

* Steven Vittitoe<ref name="googleprojectzeroblog">{{Cita web|url=https://googleprojectzero.blogspot.com/2017/12/apacolypse-now-exploiting-windows-10-in_18.html|titolo=Project Zero: aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript|autore=Ben|sito=Project Zero|data=2017-12-18|accesso=2018-01-04}}</ref>

Il 30 settembre 2014, Google ha individuatoindividuò una falla di sicurezza nellain una [[chiamata di sistema]] di [[Windows 8.1]] chiamata "NtApphelpCacheControl", che permettepermetteva a un normale utente di ottenere privilegi di amministratore.<ref>{{Cita web|url=https://code.google.com/p/google-security-research/issues/detail?id=118}}</ref> [[Microsoft]] era stata immediatamente notificata del problema, ma, ma non aveva sistemato il bug entro 90 giorni, causandone la pubblicazione il 29 dicembre 2014. La resa nota del bug al pubblico ha suscitato una risposta da Microsoft, che ha dichiarato di stare lavorando alla soluzione del problema.<ref name|titolo="engadget">{{Cita118 web|url=https://www.engadget.com/2015/01/02/google-posts-unpatched-microsoft-bug/}}</ref>

Il 19 febbraio 2017, Google ha scoperto una falla relativa ai [[reverse proxy]] di [[Cloudflare]],<ref name=":0">{{Cita web|url=https://bugs.chromium.org/p/project-zero/issues/detail?id=1139|titolo=1139 -
cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory -

project-zero -


Monorail|sito=bugs.chromium.org|lingua=en|accesso=2018-01-04}}</ref> che ha causatocausava un [[buffer overflow]] ad alcuni loro server, permettendorendendo la divulgazione dipubbliche aree di memoria contenenti informazioni private quali [[cookie HTTP]], token di autenticazione, HTTP POST bodies,body e altri dati sensibili. Alcuni di questi dati sono finiti nella cache dei motori di ricerca.<ref>{{Cita webnews|url=https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/|titolo=Incident report on memory leak caused by Cloudflare parser bug|pubblicazione=Cloudflare Blog|data=2017-02-23|accesso=2018-01-04}}</ref> Un membro di Project Zero ha chiamato questa falla [[Cloudbleed]].

Il 27 marzo 2017, Tavis Ormandy di Project Zero ha scoperto una vulnerabilità nel popolare gestore di password [[Lastpass|LastPass]].<ref>{{Cita webnews|lingua=en-US|url=https://nakedsecurity.sophos.com/2017/03/29/another-hole-opens-up-in-lastpass-that-could-take-weeks-to-fix/|titolo=Another hole opens up in LastPass that could take weeks to fix|pubblicazione=Naked Security|data=2017-03-29|accesso=2018-01-04}}</ref> Il 31 marzo 2017, LastPass ha annunciato di aver risolto il problema.<ref>{{Cita webnews|lingua=en-US|url=https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/|titolo=Security Update for the LastPass Extension - The LastPass Blog|pubblicazione=The LastPass Blog|data=2017-03-27|accesso=2018-01-04}}</ref>

* [https://code.google.com/p/google-security-research/issues/list?can=1 Database ofdelle detectedvulnerabilità vulnerabilitiesscoperte]

* [https://www.google.com/about/appsecurity/research/ ListLista ofdelle vulnerabilitiesvulnerabilità foundscoperte byda Google beforeprima startingdi "Project Zero"]

[[Categoria:Google]]</nowiki>