Wikipedia

Project Zero (Google)

Versione del 4 gen 2018 alle 04:35 di Titore (discussione | contributi) (Scoperte di rilievo: aggiungo Spectre e Meltdown di Intel)

Project Zero è il nome di un team di analisti della sicurezza informatica di Google, con lo scopo di individuare falle zero-day. È stato annunciato il 15 luglio 2014.[1]

Project Zero
sito web
URLgoogleprojectzero.blogspot.com
ProprietarioGoogle
Lancio15 luglio 2014

Storia

Dopo aver trovato diverse vulnerabilità in software usato da molti utenti finali mentre studiava altre vulnerabilità come "Heartbleed", Google ha deciso di fondare un team apposito dedicato a individuare tali vulnerabilità, non solo in software Google, ma in qualsiasi software utilizzato dai suoi utenti. Il nuovo progetto è stato annunciato il 15 luglio 2014 sul blog di Google dedicato alla sicurezza. Sebbene l'idea di Project Zero potrebbe risalire al 2010, la sua istituzione si inserisce nella più ampia tendenza di Google di contrastare iniziative di sorveglianza a seguito delle divulgazioni sulla sorveglianza di massa del 2013 di Edward Snowden. Il team era precedentemente guidato da Chris Evans, responsabile del team di sicurezza di Google Chrome, poi passato a Tesla.[2] Altri membri degni di nota sono Ben Hawkes, Ian Beer e Tavis Ormandy.[3]

Individuazione e segnalazione dei bug

I bug trovati Project Zero vengono inizialmente segnalati privatamente ai creatori e resi pubblicamente visibili solo dopo che la patch viene pubblicata o dopo 90 giorni senza risoluzione. Questa scadenza è scelta in ottemperanza della responsible disclosure, nella quale Google si impegna a concedere il tempo necessario alle società di software per sistemare il problema prima di informare il pubblico, in modo date gli utenti prendano i necessari provvedimenti per evitare gli attacchi.

Membri di rilievo

Members passati

Scoperte di rilievo

Il 30 settembre 2014, Google individuò una falla di sicurezza in una chiamata di sistema di Windows 8.1 chiamata "NtApphelpCacheControl", che permetteva a un normale utente di ottenere privilegi di amministratore.[6] Microsoft fu immediatamente notificata del problema, ma, non avendo sistemato il bug entro 90 giorni, fu reso noto pubblicamente il 29 dicembre 2014. Ciò suscitò una risposta da Microsoft, che dichiarò di stare lavorando a una soluzione.[7]

Il 19 febbraio 2017, Google ha scoperto una falla relativa ai reverse proxy di Cloudflare,[8] che causava un buffer overflow ad alcuni loro server, rendendo pubbliche aree di memoria contenenti informazioni private quali cookie HTTP, token di autenticazione, HTTP POST body e altri dati sensibili. Alcuni di questi dati sono finiti nella cache dei motori di ricerca.[9] Un membro di Project Zero ha chiamato questa falla Cloudbleed.

Il 27 marzo 2017, Tavis Ormandy di Project Zero ha scoperto una vulnerabilità nel popolare gestore di password LastPass.[10] Il 31 marzo 2017, LastPass ha annunciato di aver risolto il problema.[11]

Il 3 gennaio 2018 è stata pubblicata la scoperta di Spectre e Meltdown, bug che colpiscono processori Intel.[12]

Note

  1. ^ (EN) Announcing Project Zero, in Google Online Security Blog. URL consultato il 4 gennaio 2018.
  2. ^ (EN) Chris Evans, I'm very excited to soon be joining @TeslaMotors to lead security., su @scarybeasts, 10:26 AM - 5 Aug 2015. URL consultato il 4 gennaio 2018.
  3. ^ a b c d e f (EN) Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers, in WIRED. URL consultato il 4 gennaio 2018.
  4. ^ (EN) mtait, su Lawfare. URL consultato il 4 gennaio 2018.
  5. ^ Ben, Project Zero: aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript, su Project Zero, 18 dicembre 2017. URL consultato il 4 gennaio 2018.
  6. ^ (EN) 118 - Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail, su code.google.com. URL consultato il 4 gennaio 2018.
  7. ^ (EN) Google posts Windows 8.1 vulnerability before Microsoft can patch it, in Engadget. URL consultato il 4 gennaio 2018.
  8. ^ (EN) 1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - project-zero - Monorail, su bugs.chromium.org. URL consultato il 4 gennaio 2018.
  9. ^ Incident report on memory leak caused by Cloudflare parser bug, in Cloudflare Blog, 23 febbraio 2017. URL consultato il 4 gennaio 2018.
  10. ^ (EN) Another hole opens up in LastPass that could take weeks to fix, in Naked Security, 29 marzo 2017. URL consultato il 4 gennaio 2018.
  11. ^ (EN) Security Update for the LastPass Extension - The LastPass Blog, in The LastPass Blog, 27 marzo 2017. URL consultato il 4 gennaio 2018.
  12. ^ Reading privileged memory with a side-channel, su googleprojectzero.blogspot.it. URL consultato il 4 gennaio 2018.

Collegamenti esterni

  Portale Google
Estratto da "https://it.wikipedia.org/w/index.php?title=Project_Zero_(Google)&oldid=93644840"