Project Zero (Google)

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search
Project Zero
sito web
URL
ProprietarioGoogle
Lancio15 luglio 2014

Project Zero è il nome di un team all'interno di Google, formato da analisti di sicurezza informatica, che si occupa dell'individuazione di vulnerabilità zero-day. È stato annunciato il 15 luglio 2014.[1]

Storia[modifica | modifica wikitesto]

Dopo aver trovato diverse vulnerabilità in software usato da molti utenti finali mentre studiava altre vulnerabilità come "Heartbleed", Google ha deciso di fondare un team apposito dedicato a individuare tali vulnerabilità, non solo in software Google, ma in qualsiasi software utilizzato dai suoi utenti. Il nuovo progetto è stato annunciato il 15 luglio 2014 sul blog di Google dedicato alla sicurezza. Sebbene l'idea di Project Zero potrebbe risalire al 2010, la sua istituzione si inserisce nella più ampia tendenza di Google di contrastare iniziative di sorveglianza a seguito delle divulgazioni sulla sorveglianza di massa del 2013 di Edward Snowden. Il team era precedentemente guidato da Chris Evans, responsabile del team di sicurezza di Google Chrome, poi passato a Tesla.[2] Altri membri degni di nota sono Ben Hawkes, Ian Beer e Tavis Ormandy.[3]

Individuazione e segnalazione dei bug[modifica | modifica wikitesto]

I bug trovati da Project Zero vengono inizialmente segnalati privatamente ai creatori e resi pubblicamente visibili solo dopo che la patch viene pubblicata o dopo 90 giorni senza risoluzione. Questa scadenza è scelta in ottemperanza della responsible disclosure, nella quale Google si impegna a concedere il tempo necessario alle società di software per sistemare il problema prima di informare il pubblico, in modo tale che gli utenti prendano i necessari provvedimenti per evitare gli attacchi.

Scoperte di rilievo[modifica | modifica wikitesto]

Il 30 settembre 2014, Google ha individuato una falla di sicurezza in una chiamata di sistema di Windows 8.1 chiamata "NtApphelpCacheControl", che permetteva a un normale utente di ottenere privilegi di amministratore.[4] Microsoft fu immediatamente notificata del problema ma, non avendo sistemato il bug entro 90 giorni, lo stesso fu reso noto pubblicamente il 29 dicembre 2014. Ciò suscitò una risposta da Microsoft, che dichiarò di stare lavorando a una soluzione.[5]

Il 19 febbraio 2017, Google ha scoperto una falla relativa ai reverse proxy di Cloudflare[6] che causava un buffer overflow ad alcuni loro server, rendendo pubbliche aree di memoria contenenti informazioni private quali cookie HTTP, token di autenticazione, HTTP POST body e altri dati sensibili. Alcuni di questi dati sono finiti nella cache dei motori di ricerca.[7] Un membro di Project Zero ha chiamato questa falla Cloudbleed.

Il 27 marzo 2017, Tavis Ormandy di Project Zero ha scoperto una vulnerabilità nel popolare gestore di password LastPass.[8] Il 31 marzo 2017, LastPass ha annunciato di aver risolto il problema.[9]

Il 3 gennaio 2018 è stata pubblicata la scoperta di Spectre e Meltdown, vulnerabilità che colpiscono processori Intel, ARM e AMD.[10]

Il 18 giugno 2019, Samuel Groß di Project Zero ha scoperto una vulnerabilità in Mozilla Firefox, definita critica dagli sviluppatori di Firefox stesso, con la seguente descrizione: "A type confusion vulnerability can occur when manipulating JavaScript objects due to issues in Array.pop. This can allow for an exploitable crash. We are aware of targeted attacks in the wild abusing this flaw." ovvero "Una vulnerabilità di tipo confusion che può verificarsi quando si manipolano oggetti JavaScript a causa di problemi in Array.pop. Questo può consentire un crash sfruttabile. Siamo consapevoli di attacchi mirati di questa natura che abusano di questo difetto." In particolare questa vulnerabilità può essere usata per il furto di criptovalute. Il team Mozilla ha rilasciato subito un bugfix nelle versioni di Firefox 67.0.3 e di Firefox ESR 60.7.1.

Membri di rilievo[modifica | modifica wikitesto]

Membri passati[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

  1. ^ (EN) Announcing Project Zero, in Google Online Security Blog. URL consultato il 4 gennaio 2018.
  2. ^ (EN) Chris Evans, I'm very excited to soon be joining @TeslaMotors to lead security., su @scarybeasts, 10:26 AM - 5 Aug 2015. URL consultato il 4 gennaio 2018.
  3. ^ a b c d e f (EN) Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers, in WIRED. URL consultato il 4 gennaio 2018.
  4. ^ (EN) 118 - Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail, su code.google.com. URL consultato il 4 gennaio 2018.
  5. ^ (EN) Google posts Windows 8.1 vulnerability before Microsoft can patch it, in Engadget. URL consultato il 4 gennaio 2018.
  6. ^ (EN) 1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - project-zero - Monorail, su bugs.chromium.org. URL consultato il 4 gennaio 2018.
  7. ^ Incident report on memory leak caused by Cloudflare parser bug, in Cloudflare Blog, 23 febbraio 2017. URL consultato il 4 gennaio 2018.
  8. ^ (EN) Another hole opens up in LastPass that could take weeks to fix, in Naked Security, 29 marzo 2017. URL consultato il 4 gennaio 2018.
  9. ^ (EN) Security Update for the LastPass Extension - The LastPass Blog, in The LastPass Blog, 27 marzo 2017. URL consultato il 4 gennaio 2018.
  10. ^ Reading privileged memory with a side-channel, su googleprojectzero.blogspot.it. URL consultato il 4 gennaio 2018.
  11. ^ (EN) mtait, su Lawfare. URL consultato il 4 gennaio 2018.
  12. ^ Ben, Project Zero: aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript, su Project Zero, 18 dicembre 2017. URL consultato il 4 gennaio 2018.

Collegamenti esterni[modifica | modifica wikitesto]