Projeto Zero (Google)

Projeto Zero (Google)
Endereço eletrônico	googleprojectzero.blogspot.com

Projeto Zero é uma equipe de analistas de segurança empregada pelo Google encarregada de encontrar vulnerabilidades de dia zero. Foi anunciado em 15 de julho de 2014.^[1]

História

Depois de encontrar uma série de falhas no software utilizado por muitos usuários finais ao pesquisar outros problemas, como a vulnerabilidade crítica "Heartbleed" o Google decidiu formar uma equipe de tempo integral dedicada a encontrar essas vulnerabilidades, não apenas no software do Google, mas sim qualquer software usado por seus usuários. O novo projeto foi anunciado em 15 de julho de 2014 no blog de segurança do Google.^[1] Embora a ideia do Project Zero possa ser rastreada até 2010, seu estabelecimento enquadra-se na tendência maior das iniciativas de contra-vigilância da Google na sequência das divulgações de supervisão global de 2013 por Edward Snowden. A equipe foi anteriormente liderada por Chris Evans, anteriormente chefe da equipe de segurança do Google no Google Chrome, que participou da Tesla Motors.^[2] Outros membros notáveis incluem pesquisadores de segurança, como Ben Hawkes, Ian Beer e Tavis Ormandy.^[3]

Pesquisa de erros e relatórios

Os erros encontrados pela equipe do Projeto Zero são relatados ao fabricante e somente tornados publicamente visíveis uma vez que um patch foi liberado^[1] ou se 90 dias se passaram sem um patch sendo liberado.^[4] O prazo de 90 dias é a forma como o Google é implementar a divulgação responsável, oferecendo às empresas de software 90 dias para corrigir um problema antes de informar o público para que os próprios usuários possam tomar as medidas necessárias para evitar ataques.^[4]

Membros anteriores

Descobertas notáveis

Em 30 de setembro de 2014, o Google detectou uma falha de segurança de sistema do Windows 8.1 chamada "NtApphelpCacheControl", que permite que um usuário normal obtenha acesso administrativo.^[6] A Microsoft foi notificada do problema imediatamente, mas não corrigiu-o dentro de 90 dias, o que significava que informações sobre o bug foram disponibilizadas publicamente em 29 de dezembro de 2014.^[4] Liberar o erro ao público provocou uma resposta da Microsoft que eles estão trabalhando no problema.^[4]

Em 19 de fevereiro de 2017, o Google descobriu uma falha dentro dos proxies reversos do Cloudflare,^[7] que fez com que seus servidores de ponta passassem ao final de um buffer e retornasse a memória que continha informações privadas, como cookies HTTP, tokens de autenticação, corpos HTTP POST, e outros dados sensíveis. Alguns desses dados foram armazenados em cache pelos motores de busca.^[8] Um membro da equipe Projeto Zero se referiu a esta falha como Cloudbleed.^[7]

Em 27 de março de 2017, Tavis Ormandy, do Projeto Zero, descobriu uma vulnerabilidade no popular gerenciador de senhas LastPass.^[9] Em 31 de março de 2017, o LastPass anunciou que resolveram o problema.^[10]

Referências

↑ ^a ^b ^c Evans, Chris (15 de julho de 2014). «Announcing Project Zero». Google Online Security Blog. Consultado em 4 de janeiro de 2015
↑ «Chris Evans on Twitter». Consultado em 22 de setembro de 2015
↑ ^a ^b ^c Greenberg, Andy (15 de julho de 2014). «Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers». Wired.com. Consultado em 4 de janeiro de 2015
↑ ^a ^b ^c ^d Dent, Steven (2 de janeiro de 2015). «Google posts Windows 8.1 vulnerability before Microsoft can patch it». Engadget. Consultado em 4 de janeiro de 2015
↑ «Lawfareblog Hard National Security Choices Matt Tait». Consultado em 9 de março de 2017
↑ «Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl». google-security-research group on code.google.com. 30 de setembro de 2014. Consultado em 4 de janeiro de 2015
↑ ^a ^b «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». google-security-research group on code.google.com. 19 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017
↑ «Incident report on memory leak caused by Cloudflare parser bug». Cloudflare. 23 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017
↑ «Another hole opens up in LastPass that could take weeks to fix». Naked Security. 29 de março de 2017. Consultado em 29 de março de 2017
↑ Siegrist, Joe (31 de março de 2017). «Security Update for the LastPass Extension». LastPass Blog. Consultado em 2 de maio de 2017

Ligações externas

[announcement-1] Evans, Chris (15 de julho de 2014). «Announcing Project Zero». Google Online Security Blog. Consultado em 4 de janeiro de 2015

[2] «Chris Evans on Twitter». Consultado em 22 de setembro de 2015

[wired-3] Greenberg, Andy (15 de julho de 2014). «Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers». Wired.com. Consultado em 4 de janeiro de 2015

[engadget-4] Dent, Steven (2 de janeiro de 2015). «Google posts Windows 8.1 vulnerability before Microsoft can patch it». Engadget. Consultado em 4 de janeiro de 2015

[lawfareblog-5] «Lawfareblog Hard National Security Choices Matt Tait». Consultado em 9 de março de 2017

[6] «Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl». google-security-research group on code.google.com. 30 de setembro de 2014. Consultado em 4 de janeiro de 2015

[:0-7] «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». google-security-research group on code.google.com. 19 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017

[8] «Incident report on memory leak caused by Cloudflare parser bug». Cloudflare. 23 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017

[9] «Another hole opens up in LastPass that could take weeks to fix». Naked Security. 29 de março de 2017. Consultado em 29 de março de 2017

[10] Siegrist, Joe (31 de março de 2017). «Security Update for the LastPass Extension». LastPass Blog. Consultado em 2 de maio de 2017

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]