Project Zero
Project Zero | |
---|---|
Посилання | googleprojectzero.blogspot.com |
Комерційний | ні |
Тип | команда[d] |
Мови | англійська |
Власник | |
Започатковано | 15 липня 2014 |
Стан | активний |
Project Zero — назва команди аналітиків безпеки, що працюють в Google, завданням яких є пошук вразливостей нульового дня. Про створення команди було оголошено 15 липня 2014 року.[2]
Виявивши ряд недоліків у програмному забезпеченні, що використовується багатьма користувачами під час вивчення інших проблем, таких як критична уразливість «Heartbleed», компанія Google вирішила створити групу zero-day, присвячену пошуку таких вразливостей не тільки в програмному забезпеченні Google, але й у будь-якому програмному забезпеченні, що використовується його користувачами. Новий проєкт був оголошений 15 липня 2014 року в блозі безпеки Google[2]. Незважаючи на те, що ідея про створення «Project Zero» прослідковується з 2010 року, команду Google підштовхнуло до створення команди після викриття масового стеження в 2013 році Едвардом Сноуденом. Спочатку команду очолив Кріс Еванс, колишній керівник команди Google Chrome по безпеці, який згодом приєднався до Tesla Motors[3]. Інші відомі члени включають дослідників з питань безпеки, таких як Бен Хокс[en], Ян Бір[en] та Тавіс Ормандія[en][4].
Про баги, знайдені командою Project Zero, повідомляється виробнику і публікується лише після того, як випущено патч або через 90 днів, якщо компанія не виправила помилку[5]. 90-денний термін є способом інформування, який надає компаніям програмного забезпечення 90 днів для вирішення проблеми, перш ніж проінформувати громадськість про це, для того щоб самі користувачі могли вжити необхідні кроки, щоб уникнути нападів[5].
- Бен Хокс[5]
- Тавіс Орманді[5]
- Ян Бір[5]
- Янн Хорн[6]
- Кріс Еванс[5]
- Метт Тайт[7]
- Стівен Віттіо[8]
30 вересня 2014 року Google виявила помилку безпеки під час системного виклику Windows 8.1 «NtApphelpCacheControl», що дозволяє звичайному користувачеві отримати адміністративний доступ[9]. Microsoft був негайно попереджений про проблему, проте компанія не вирішила проблему протягом 90 днів, тому інформація про помилку була оприлюднена 29 грудня 2014 року[5]. Оприлюднення помилки для громадськості викликало відповідь від Microsoft про те, що вони працюють над проблемою[5].
19 лютого 2017 року Google виявив недолік в зворотному проксі Cloudflare[10], що призвело до того, що їхні серверні панелі пройшли повз закінчення буфера та повернули пам'ять, що містила конфіденційну інформацію, таку як HTTP-файли cookie, токени аутентифікації, тіла HTTP POST та інші конфіденційні дані[11]. Деякі з цих даних були кешовані пошуковими системами. Член команди Project Zero назвав цей недолік «Cloudbleed»[10].
27 березня 2017 року член команди Тавіс Орманді виявив вразливість у популярному менеджері паролів LastPass[12]. 31 березня 2017 року LastPass оголосив, що вони вирішили проблему[13].
Проєкт Zero був залучений до виявлення уразливостей Meltdown і Spectre, що зачіпають багато сучасних процесорів, які були виявлені в середині 2017 року та розкриті на початку січня 2018 року[14]. Баги були виявлені Янном Горном, незалежно від інших дослідників, які повідомили про недоліки безпеки. 9 січня 2018 року деталі помилок були розкриті через зростаючу спекуляцію[6].
_1-0">↑ Announcing Project Zero- Офіційний блог [Архівовано 15 березня 2018 у Wayback Machine.]
- База даних виявлених вразливостей [Архівовано 12 квітня 2018 у Wayback Machine.]