Wikipedia

Project Zero (Google)

Versione del 4 gen 2018 alle 03:42 di Titore (discussione | contributi) (Creata dalla traduzione della pagina "Project Zero (Google)")
(diff) ← Versione meno recente | Versione attuale (diff) | Versione più recente → (diff)

Project Zero è il nome di un team di analisti della sicurezza di Google con lo scopo di individuare falle zero-day. È stato annunciato il 15 luglio 2014.[1]

Project Zero
sito web
URL googleprojectzero.blogspot.com, http://googleprojectzero.blogspot.com.
Tipo di sito{{{tipo}}}
ProprietarioGoogle
Lancio15 luglio 2014

Storia

Dopo aver trovato vulnerabilità in software usato da diversi utenti finali mentre studiava altre vulnerabilità, come "Heartbleed", Google ha deciso di fondare un team apposito dedicato a individuare tali vulnerabilità, non solo in software Google software ma in qualsiasi software utilizzato dai suoi utenti. Il nuovo progetto è stato annunciato il 15 luglio 2014 sul blog di Google dedicato alla sicurezza. While the idea for Project Zero can be traced back to 2010, its establishment fits into the larger trend of Google's counter-surveillance initiatives in the wake of the 2013 global surveillance disclosures by Edward Snowden. The team was formerly headed by Chris Evans, previously head of Google's Chrome security team, who subsequently joined Tesla Motors.[2] Other notable members include security researchers, such as Ben Hawkes, Ian Beer and Tavis Ormandy.

Individuazione e segnalazione dei bug

I bug trovati dal team Project Zero sono segnalati ai creatori e resi pubblicamente visibili solo dopo che una patch è stata rilasciata o se sono passati 90 giorni senza l'uscita di una patch. Questa scadenza di 90 giorni è la modalità in cui Google attua la responsible disclosure, concedendo alle società di software 90 giorni per sistemare il problema prima di informare il pubblico, in modo date gli utenti prendano i necessari provvedimenti per evitare gli attacchi.

Membri di rilievo

  • Ben Hawkes
  • Tavis Ormandy
  • Ian Beer

Members passati

Scoperte di rilievo

Il 30 settembre 2014, Google ha individuato una falla di sicurezza nella chiamata di sistema di Windows 8.1 chiamata "NtApphelpCacheControl", che permette a un normale utente di ottenere privilegi di amministratore.[6] Microsoft era stata immediatamente notificata del problema, ma, ma non aveva sistemato il bug entro 90 giorni, causandone la pubblicazione il 29 dicembre 2014. La resa nota del bug al pubblico ha suscitato una risposta da Microsoft, che ha dichiarato di stare lavorando alla soluzione del problema.[7]

Il 19 febbraio 2017, Google ha scoperto una falla relativa ai reverse proxy di Cloudflare,[8] che ha causato un buffer overflow ad alcuni loro server, permettendo la divulgazione di aree di memoria contenenti informazioni private quali cookie HTTP, token di autenticazione, HTTP POST bodies, e altri dati sensibili. Alcuni di questi dati sono finiti nella cache dei motori di ricerca.[9] Un membro di Project Zero ha chiamato questa falla Cloudbleed.

Il 27 marzo 2017, Tavis Ormandy di Project Zero ha scoperto una vulnerabilità nel popolare gestore di password LastPass.[10] Il 31 marzo 2017, LastPass ha annunciato di aver risolto il problema.[11]

Voci correlate

  • Proactive cyber defence
  • Row hammer

Note

  1. ^ googleonlinesecurity.blogspot.de, http://googleonlinesecurity.blogspot.de/2014/07/announcing-project-zero.html.
  2. ^ twitter.com, https://twitter.com/scarybeasts/status/628980384471105536.
  3. ^ wired.com, https://www.wired.com/2014/07/google-project-zero/.
  4. ^ lawfareblog.com, https://www.lawfareblog.com/contributors/mtait.
  5. ^ googleprojectzero.blogspot.com, https://googleprojectzero.blogspot.com/2017/12/apacolypse-now-exploiting-windows-10-in_18.html.
  6. ^ code.google.com, https://code.google.com/p/google-security-research/issues/detail?id=118.
  7. ^ engadget.com, https://www.engadget.com/2015/01/02/google-posts-unpatched-microsoft-bug/.
  8. ^ bugs.chromium.org, https://bugs.chromium.org/p/project-zero/issues/detail?id=1139.
  9. ^ blog.cloudflare.com, https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/.
  10. ^ nakedsecurity.sophos.com, https://nakedsecurity.sophos.com/2017/03/29/another-hole-opens-up-in-lastpass-that-could-take-weeks-to-fix/.
  11. ^ blog.lastpass.com, https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/.

Collegamenti esterni

[[Categoria:Sicurezza informatica]] [[Categoria:Google]]

Estratto da "https://it.wikipedia.org/w/index.php?title=Project_Zero_(Google)&oldid=93644573"