Project Zero

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку
Project Zero
Посиланняgoogleprojectzero.blogspot.com
Комерційнийні
Типкоманда[d]
Мовианглійська
ВласникGoogle
Започатковано15 липня 2014-1">[1]
Станактивний

Project Zero — назва команди аналітиків безпеки, що працюють в Google, завданням яких є пошук вразливостей нульового дня. Про створення команди було оголошено 15 липня 2014 року.[2]

Історія

[ред. | ред. код]

Виявивши ряд недоліків у програмному забезпеченні, що використовується багатьма користувачами під час вивчення інших проблем, таких як критична уразливість «Heartbleed», компанія Google вирішила створити групу zero-day, присвячену пошуку таких вразливостей не тільки в програмному забезпеченні Google, але й у будь-якому програмному забезпеченні, що використовується його користувачами. Новий проєкт був оголошений 15 липня 2014 року в блозі безпеки Google[2]. Незважаючи на те, що ідея про створення «Project Zero» прослідковується з 2010 року, команду Google підштовхнуло до створення команди після викриття масового стеження в 2013 році Едвардом Сноуденом. Спочатку команду очолив Кріс Еванс, колишній керівник команди Google Chrome по безпеці, який згодом приєднався до Tesla Motors[3]. Інші відомі члени включають дослідників з питань безпеки, таких як Бен Хокс[en], Ян Бір[en] та Тавіс Ормандія[en][4].

Виявлення помилок

[ред. | ред. код]

Про баги, знайдені командою Project Zero, повідомляється виробнику і публікується лише після того, як випущено патч або через 90 днів, якщо компанія не виправила помилку[5]. 90-денний термін є способом інформування, який надає компаніям програмного забезпечення 90 днів для вирішення проблеми, перш ніж проінформувати громадськість про це, для того щоб самі користувачі могли вжити необхідні кроки, щоб уникнути нападів[5].

Учасники

[ред. | ред. код]

Відомі

[ред. | ред. код]
  • Бен Хокс[5]
  • Тавіс Орманді[5]
  • Янн Хорн[6]

Колишні

[ред. | ред. код]
  • Кріс Еванс[5]
  • Метт Тайт[7]
  • Стівен Віттіо[8]

Відомі відкриття

[ред. | ред. код]

30 вересня 2014 року Google виявила помилку безпеки під час системного виклику Windows 8.1 «NtApphelpCacheControl», що дозволяє звичайному користувачеві отримати адміністративний доступ[9]. Microsoft був негайно попереджений про проблему, проте компанія не вирішила проблему протягом 90 днів, тому інформація про помилку була оприлюднена 29 грудня 2014 року[5]. Оприлюднення помилки для громадськості викликало відповідь від Microsoft про те, що вони працюють над проблемою[5].

19 лютого 2017 року Google виявив недолік в зворотному проксі Cloudflare[10], що призвело до того, що їхні серверні панелі пройшли повз закінчення буфера та повернули пам'ять, що містила конфіденційну інформацію, таку як HTTP-файли cookie, токени аутентифікації, тіла HTTP POST та інші конфіденційні дані[11]. Деякі з цих даних були кешовані пошуковими системами. Член команди Project Zero назвав цей недолік «Cloudbleed»[10].

27 березня 2017 року член команди Тавіс Орманді виявив вразливість у популярному менеджері паролів LastPass[12]. 31 березня 2017 року LastPass оголосив, що вони вирішили проблему[13].

Проєкт Zero був залучений до виявлення уразливостей Meltdown і Spectre, що зачіпають багато сучасних процесорів, які були виявлені в середині 2017 року та розкриті на початку січня 2018 року[14]. Баги були виявлені Янном Горном, незалежно від інших дослідників, які повідомили про недоліки безпеки. 9 січня 2018 року деталі помилок були розкриті через зростаючу спекуляцію[6].

Примітки

[ред. | ред. код]
_1-0">↑ Announcing Project Zero
  • а б Evans, Chris (15 липня 2014). Announcing Project Zero. Google Online Security Blog. Архів оригіналу за 19 січня 2015. Процитовано 19 квітня 2018.
  • Chris Evans on Twitter. Twitter (укр.). Архів оригіналу за 9 березня 2016. Процитовано 11 квітня 2018.
  • Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers. WIRED (амер.). Архів оригіналу за 5 січня 2015. Процитовано 11 квітня 2018.
  • а б в г д е ж и к Google posts Windows 8.1 vulnerability before Microsoft can patch it. Engadget (амер.). Архів оригіналу за 4 січня 2015. Процитовано 11 квітня 2018.
  • а б Google reveals CPU security flaw Meltdown and Spectre details. SlashGear (амер.). 3 січня 2018. Архів оригіналу за 13 червня 2018. Процитовано 11 квітня 2018.
  • mtait. Lawfare (англ.). Архів оригіналу за 8 квітня 2018. Процитовано 11 квітня 2018.
  • Ben (18 грудня 2017). Project Zero: aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript. Project Zero. Архів оригіналу за 10 квітня 2018. Процитовано 11 квітня 2018.
  • 118 - Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail. bugs.chromium.org (англ.). Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018.
  • а б 1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - project-zero - Monorail. bugs.chromium.org (англ.). Архів оригіналу за 1 квітня 2018. Процитовано 11 квітня 2018.
  • Incident report on memory leak caused by Cloudflare parser bug. Cloudflare Blog. 23 лютого 2017. Архів оригіналу за 2 квітня 2018. Процитовано 11 квітня 2018.
  • Another hole opens up in LastPass that could take weeks to fix. Naked Security (амер.). 29 березня 2017. Архів оригіналу за 10 жовтня 2018. Процитовано 11 квітня 2018.
  • Security Update for the LastPass Extension - The LastPass Blog. The LastPass Blog (амер.). 27 березня 2017. Архів оригіналу за 7 квітня 2018. Процитовано 11 квітня 2018.
  • A Critical Intel Flaw Breaks Basic Security for Most Computers. WIRED (амер.). Архів оригіналу за 3 січня 2018. Процитовано 11 квітня 2018.
  • Посилання

    [ред. | ред. код]