Projeto Zero (Google)
Projeto Zero (Google) | |
---|---|
Endereço eletrônico | googleprojectzero |
Projeto Zero é uma equipe de analistas de segurança empregada pelo Google encarregada de encontrar vulnerabilidades de dia zero. Foi anunciado em 15 de julho de 2014.[1]
História
[editar | editar código-fonte]Depois de encontrar uma série de falhas no software utilizado por muitos usuários finais ao pesquisar outros problemas, como a vulnerabilidade crítica "Heartbleed" o Google decidiu formar uma equipe de tempo integral dedicada a encontrar essas vulnerabilidades, não apenas no software do Google, mas sim qualquer software usado por seus usuários. O novo projeto foi anunciado em 15 de julho de 2014 no blog de segurança do Google.[1] Embora a ideia do Project Zero possa ser rastreada até 2010, seu estabelecimento enquadra-se na tendência maior das iniciativas de contra-vigilância da Google na sequência das divulgações de supervisão global de 2013 por Edward Snowden. A equipe foi anteriormente liderada por Chris Evans, anteriormente chefe da equipe de segurança do Google no Google Chrome, que participou da Tesla Motors.[2] Outros membros notáveis incluem pesquisadores de segurança, como Ben Hawkes, Ian Beer e Tavis Ormandy.[3]
Pesquisa de erros e relatórios
[editar | editar código-fonte]Os erros encontrados pela equipe do Projeto Zero são relatados ao fabricante e somente tornados publicamente visíveis uma vez que um patch foi liberado[1] ou se 90 dias se passaram sem um patch sendo liberado.[4] O prazo de 90 dias é a forma como o Google é implementar a divulgação responsável, oferecendo às empresas de software 90 dias para corrigir um problema antes de informar o público para que os próprios usuários possam tomar as medidas necessárias para evitar ataques.[4]
Membros anteriores
[editar | editar código-fonte]Descobertas notáveis
[editar | editar código-fonte]Em 30 de setembro de 2014, o Google detectou uma falha de segurança de sistema do Windows 8.1 chamada "NtApphelpCacheControl", que permite que um usuário normal obtenha acesso administrativo.[6] A Microsoft foi notificada do problema imediatamente, mas não corrigiu-o dentro de 90 dias, o que significava que informações sobre o bug foram disponibilizadas publicamente em 29 de dezembro de 2014.[4] Liberar o erro ao público provocou uma resposta da Microsoft que eles estão trabalhando no problema.[4]
Em 19 de fevereiro de 2017, o Google descobriu uma falha dentro dos proxies reversos do Cloudflare,[7] que fez com que seus servidores de ponta passassem ao final de um buffer e retornasse a memória que continha informações privadas, como cookies HTTP, tokens de autenticação, corpos HTTP POST, e outros dados sensíveis. Alguns desses dados foram armazenados em cache pelos motores de busca.[8] Um membro da equipe Projeto Zero se referiu a esta falha como Cloudbleed.[7]
Em 27 de março de 2017, Tavis Ormandy, do Projeto Zero, descobriu uma vulnerabilidade no popular gerenciador de senhas LastPass.[9] Em 31 de março de 2017, o LastPass anunciou que resolveram o problema.[10]
Referências
- ↑ a b c Evans, Chris (15 de julho de 2014). «Announcing Project Zero». Google Online Security Blog. Consultado em 4 de janeiro de 2015
- ↑ «Chris Evans on Twitter». Consultado em 22 de setembro de 2015
- ↑ a b c Greenberg, Andy (15 de julho de 2014). «Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers». Wired.com. Consultado em 4 de janeiro de 2015
- ↑ a b c d Dent, Steven (2 de janeiro de 2015). «Google posts Windows 8.1 vulnerability before Microsoft can patch it». Engadget. Consultado em 4 de janeiro de 2015
- ↑ «Lawfareblog Hard National Security Choices Matt Tait». Consultado em 9 de março de 2017
- ↑ «Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl». google-security-research group on code.google.com. 30 de setembro de 2014. Consultado em 4 de janeiro de 2015
- ↑ a b «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». google-security-research group on code.google.com. 19 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017
- ↑ «Incident report on memory leak caused by Cloudflare parser bug». Cloudflare. 23 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017
- ↑ «Another hole opens up in LastPass that could take weeks to fix». Naked Security. 29 de março de 2017. Consultado em 29 de março de 2017
- ↑ Siegrist, Joe (31 de março de 2017). «Security Update for the LastPass Extension». LastPass Blog. Consultado em 2 de maio de 2017