Projeto Zero (Google)

Origem: Wikipédia, a enciclopédia livre.
Saltar para a navegação Saltar para a pesquisa
Projeto Zero (Google)
Endereço eletrônico googleprojectzero.blogspot.com

Projeto Zero é uma equipe de analistas de segurança empregada pelo Google encarregada de encontrar vulnerabilidades de dia zero. Foi anunciado em 15 de julho de 2014.[1]

História[editar | editar código-fonte]

Depois de encontrar uma série de falhas no software utilizado por muitos usuários finais ao pesquisar outros problemas, como a vulnerabilidade crítica "Heartbleed" o Google decidiu formar uma equipe de tempo integral dedicada a encontrar essas vulnerabilidades, não apenas no software do Google, mas sim qualquer software usado por seus usuários. O novo projeto foi anunciado em 15 de julho de 2014 no blog de segurança do Google.[1] Embora a ideia do Project Zero possa ser rastreada até 2010, seu estabelecimento enquadra-se na tendência maior das iniciativas de contra-vigilância da Google na sequência das divulgações de supervisão global de 2013 por Edward Snowden. A equipe foi anteriormente liderada por Chris Evans, anteriormente chefe da equipe de segurança do Google no Google Chrome, que participou da Tesla Motors.[2] Outros membros notáveis ​​incluem pesquisadores de segurança, como Ben Hawkes, Ian Beer e Tavis Ormandy.[3]

Pesquisa de erros e relatórios[editar | editar código-fonte]

Os erros encontrados pela equipe do Projeto Zero são relatados ao fabricante e somente tornados publicamente visíveis uma vez que um patch foi liberado[1] ou se 90 dias se passaram sem um patch sendo liberado.[4] O prazo de 90 dias é a forma como o Google é implementar a divulgação responsável, oferecendo às empresas de software 90 dias para corrigir um problema antes de informar o público para que os próprios usuários possam tomar as medidas necessárias para evitar ataques.[4]

Membros anteriores[editar | editar código-fonte]

Descobertas notáveis[editar | editar código-fonte]

Em 30 de setembro de 2014, o Google detectou uma falha de segurança de sistema do Windows 8.1 chamada "NtApphelpCacheControl", que permite que um usuário normal obtenha acesso administrativo.[6] A Microsoft foi notificada do problema imediatamente, mas não corrigiu-o dentro de 90 dias, o que significava que informações sobre o bug foram disponibilizadas publicamente em 29 de dezembro de 2014.[4] Liberar o erro ao público provocou uma resposta da Microsoft que eles estão trabalhando no problema.[4]

Em 19 de fevereiro de 2017, o Google descobriu uma falha dentro dos proxies reversos do Cloudflare,[7] que fez com que seus servidores de ponta passassem ao final de um buffer e retornasse a memória que continha informações privadas, como cookies HTTP, tokens de autenticação, corpos HTTP POST, e outros dados sensíveis. Alguns desses dados foram armazenados em cache pelos motores de busca.[8] Um membro da equipe Projeto Zero se referiu a esta falha como Cloudbleed.[7]

Em 27 de março de 2017, Tavis Ormandy, do Projeto Zero, descobriu uma vulnerabilidade no popular gerenciador de senhas LastPass.[9] Em 31 de março de 2017, o LastPass anunciou que resolveram o problema.[10]

Referências

  1. a b c Evans, Chris (15 de julho de 2014). «Announcing Project Zero». Google Online Security Blog. Consultado em 4 de janeiro de 2015 
  2. «Chris Evans on Twitter». Consultado em 22 de setembro de 2015 
  3. a b c Greenberg, Andy (15 de julho de 2014). «Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers». Wired.com. Consultado em 4 de janeiro de 2015 
  4. a b c d Dent, Steven (2 de janeiro de 2015). «Google posts Windows 8.1 vulnerability before Microsoft can patch it». Engadget. Consultado em 4 de janeiro de 2015 
  5. «Lawfareblog Hard National Security Choices Matt Tait». Consultado em 9 de março de 2017 
  6. «Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl». google-security-research group on code.google.com. 30 de setembro de 2014. Consultado em 4 de janeiro de 2015 
  7. a b «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». google-security-research group on code.google.com. 19 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017 
  8. «Incident report on memory leak caused by Cloudflare parser bug». Cloudflare. 23 de fevereiro de 2017. Consultado em 24 de fevereiro de 2017 
  9. «Another hole opens up in LastPass that could take weeks to fix». Naked Security. 29 de março de 2017. Consultado em 29 de março de 2017 
  10. Siegrist, Joe (31 de março de 2017). «Security Update for the LastPass Extension». LastPass Blog. Consultado em 2 de maio de 2017 

Ligações externas[editar | editar código-fonte]