Project Zero
| Project Zero | |
|---|---|
| Посилання | googleprojectzero.blogspot.com |
| Комерційний | ні |
| Тип | команда[d] |
| Мови | англійська |
| Власник | |
| Започатковано | 15 липня 2014[1] |
| Стан | активний |
Project Zero — назва команди аналітиків безпеки, що працюють в Google, завданням яких є пошук вразливостей нульового дня. Про створення команди було оголошено 15 липня 2014 року.[2]
Виявивши ряд недоліків у програмному забезпеченні, що використовується багатьма користувачами під час вивчення інших проблем, таких як критична уразливість «Heartbleed», компанія Google вирішила створити групу zero-day, присвячену пошуку таких вразливостей не тільки в програмному забезпеченні Google, але й у будь-якому програмному забезпеченні, що використовується його користувачами. Новий проєкт був оголошений 15 липня 2014 року в блозі безпеки Google[2]. Незважаючи на те, що ідея про створення «Project Zero» прослідковується з 2010 року, команду Google підштовхнуло до створення команди після викриття масового стеження в 2013 році Едвардом Сноуденом. Спочатку команду очолив Кріс Еванс, колишній керівник команди Google Chrome по безпеці, який згодом приєднався до Tesla Motors[3]. Інші відомі члени включають дослідників з питань безпеки, таких як Бен Хокс[en], Ян Бір[en] та Тавіс Ормандія[en][4].
Про баги, знайдені командою Project Zero, повідомляється виробнику і публікується лише після того, як випущено патч або через 90 днів, якщо компанія не виправила помилку[5]. 90-денний термін є способом інформування, який надає компаніям програмного забезпечення 90 днів для вирішення проблеми, перш ніж проінформувати громадськість про це, для того щоб самі користувачі могли вжити необхідні кроки, щоб уникнути нападів[5].
- Бен Хокс[5]
- Тавіс Орманді[5]
- Ян Бір[5]
- Янн Хорн[6]
- Кріс Еванс[5]
- Метт Тайт[7]
- Стівен Віттіо[8]
30 вересня 2014 року Google виявила помилку безпеки під час системного виклику Windows 8.1 «NtApphelpCacheControl», що дозволяє звичайному користувачеві отримати адміністративний доступ[9]. Microsoft був негайно попереджений про проблему, проте компанія не вирішила проблему протягом 90 днів, тому інформація про помилку була оприлюднена 29 грудня 2014 року[5]. Оприлюднення помилки для громадськості викликало відповідь від Microsoft про те, що вони працюють над проблемою[5].
19 лютого 2017 року Google виявив недолік в зворотному проксі Cloudflare[10], що призвело до того, що їхні серверні панелі пройшли повз закінчення буфера та повернули пам'ять, що містила конфіденційну інформацію, таку як HTTP-файли cookie, токени аутентифікації, тіла HTTP POST та інші конфіденційні дані[11]. Деякі з цих даних були кешовані пошуковими системами. Член команди Project Zero назвав цей недолік «Cloudbleed»[10].
27 березня 2017 року член команди Тавіс Орманді виявив вразливість у популярному менеджері паролів LastPass[12]. 31 березня 2017 року LastPass оголосив, що вони вирішили проблему[13].
Проєкт Zero був залучений до виявлення уразливостей Meltdown і Spectre, що зачіпають багато сучасних процесорів, які були виявлені в середині 2017 року та розкриті на початку січня 2018 року[14]. Баги були виявлені Янном Горном, незалежно від інших дослідників, які повідомили про недоліки безпеки. 9 січня 2018 року деталі помилок були розкриті через зростаючу спекуляцію[6].
- ↑ Announcing Project Zero
- ↑ а б Evans, Chris (15 липня 2014). Announcing Project Zero. Google Online Security Blog. Архів оригіналу за 19 січня 2015. Процитовано 19 квітня 2018.
- ↑ Chris Evans on Twitter. Twitter (укр.). Архів оригіналу за 9 березня 2016. Процитовано 11 квітня 2018.
- ↑ Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers. WIRED (амер.). Архів оригіналу за 5 січня 2015. Процитовано 11 квітня 2018.
- ↑ а б в г д е ж и к Google posts Windows 8.1 vulnerability before Microsoft can patch it. Engadget (амер.). Архів оригіналу за 4 січня 2015. Процитовано 11 квітня 2018.
- ↑ а б Google reveals CPU security flaw Meltdown and Spectre details. SlashGear (амер.). 3 січня 2018. Архів оригіналу за 13 червня 2018. Процитовано 11 квітня 2018.
- ↑ mtait. Lawfare (англ.). Архів оригіналу за 8 квітня 2018. Процитовано 11 квітня 2018.
- ↑ Ben (18 грудня 2017). Project Zero: aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript. Project Zero. Архів оригіналу за 10 квітня 2018. Процитовано 11 квітня 2018.
- ↑ 118 - Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail. bugs.chromium.org (англ.). Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018.
- ↑ а б 1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - project-zero - Monorail. bugs.chromium.org (англ.). Архів оригіналу за 1 квітня 2018. Процитовано 11 квітня 2018.
- ↑ Incident report on memory leak caused by Cloudflare parser bug. Cloudflare Blog. 23 лютого 2017. Архів оригіналу за 2 квітня 2018. Процитовано 11 квітня 2018.
- ↑ Another hole opens up in LastPass that could take weeks to fix. Naked Security (амер.). 29 березня 2017. Архів оригіналу за 10 жовтня 2018. Процитовано 11 квітня 2018.
- ↑ Security Update for the LastPass Extension - The LastPass Blog. The LastPass Blog (амер.). 27 березня 2017. Архів оригіналу за 7 квітня 2018. Процитовано 11 квітня 2018.
- ↑ A Critical Intel Flaw Breaks Basic Security for Most Computers. WIRED (амер.). Архів оригіналу за 3 січня 2018. Процитовано 11 квітня 2018.
- Офіційний блог [Архівовано 15 березня 2018 у Wayback Machine.]
- База даних виявлених вразливостей [Архівовано 12 квітня 2018 у Wayback Machine.]