Project Zero

Project Zero — назва команди аналітиків безпеки, що працюють в Google, завданням яких є пошук вразливостей нульового дня. Про створення команди було оголошено 15 липня 2014 року.^[2]

Project Zero
Посилання	googleprojectzero.blogspot.com
Комерційний	ні
Тип	команда[d]
Мови	англійська
Власник	Google
Започатковано	15 липня 2014[1]
Стан	активний

Історія

Виявивши ряд недоліків у програмному забезпеченні, що використовується багатьма користувачами під час вивчення інших проблем, таких як критична уразливість «Heartbleed», компанія Google вирішила створити групу zero-day, присвячену пошуку таких вразливостей не тільки в програмному забезпеченні Google, але й у будь-якому програмному забезпеченні, що використовується його користувачами. Новий проєкт був оголошений 15 липня 2014 року в блозі безпеки Google^[2]. Незважаючи на те, що ідея про створення «Project Zero» прослідковується з 2010 року, команду Google підштовхнуло до створення команди після викриття масового стеження в 2013 році Едвардом Сноуденом. Спочатку команду очолив Кріс Еванс, колишній керівник команди Google Chrome по безпеці, який згодом приєднався до Tesla Motors^[3]. Інші відомі члени включають дослідників з питань безпеки, таких як Бен Хокс^[en], Ян Бір^[en] та Тавіс Ормандія^[en][4].

Виявлення помилок

Про баги, знайдені командою Project Zero, повідомляється виробнику і публікується лише після того, як випущено патч або через 90 днів, якщо компанія не виправила помилку^[5]. 90-денний термін є способом інформування, який надає компаніям програмного забезпечення 90 днів для вирішення проблеми, перш ніж проінформувати громадськість про це, для того щоб самі користувачі могли вжити необхідні кроки, щоб уникнути нападів^[5].

Учасники

Відомі

• Бен Хокс^[5]

• Тавіс Орманді^[5]

• Ян Бір^[5]

• Янн Хорн^[6]

Колишні

• Джордж Хоц^[5]

• Кріс Еванс^[5]

• Метт Тайт^[7]

• Стівен Віттіо^[8]

Відомі відкриття

30 вересня 2014 року Google виявила помилку безпеки під час системного виклику Windows 8.1 «NtApphelpCacheControl», що дозволяє звичайному користувачеві отримати адміністративний доступ^[9]. Microsoft був негайно попереджений про проблему, проте компанія не вирішила проблему протягом 90 днів, тому інформація про помилку була оприлюднена 29 грудня 2014 року^[5]. Оприлюднення помилки для громадськості викликало відповідь від Microsoft про те, що вони працюють над проблемою^[5].

19 лютого 2017 року Google виявив недолік в зворотному проксі Cloudflare^[10], що призвело до того, що їхні серверні панелі пройшли повз закінчення буфера та повернули пам'ять, що містила конфіденційну інформацію, таку як HTTP-файли cookie, токени аутентифікації, тіла HTTP POST та інші конфіденційні дані^[11]. Деякі з цих даних були кешовані пошуковими системами. Член команди Project Zero назвав цей недолік «Cloudbleed»^[10].

27 березня 2017 року член команди Тавіс Орманді виявив вразливість у популярному менеджері паролів LastPass^[12]. 31 березня 2017 року LastPass оголосив, що вони вирішили проблему^[13].

Проєкт Zero був залучений до виявлення уразливостей Meltdown і Spectre, що зачіпають багато сучасних процесорів, які були виявлені в середині 2017 року та розкриті на початку січня 2018 року^[14]. Баги були виявлені Янном Горном, незалежно від інших дослідників, які повідомили про недоліки безпеки. 9 січня 2018 року деталі помилок були розкриті через зростаючу спекуляцію^[6].

Примітки

1. Announcing Project Zero
2. Evans, Chris (15 липня 2014). Announcing Project Zero. Google Online Security Blog. Архів оригіналу за 19 січня 2015. Процитовано 19 квітня 2018.
3. Chris Evans on Twitter. Twitter (укр.). Архів оригіналу за 9 березня 2016. Процитовано 11 квітня 2018.
4. Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers. WIRED (амер.). Архів оригіналу за 5 січня 2015. Процитовано 11 квітня 2018.
5. Google posts Windows 8.1 vulnerability before Microsoft can patch it. Engadget (амер.). Архів оригіналу за 4 січня 2015. Процитовано 11 квітня 2018.
6. Google reveals CPU security flaw Meltdown and Spectre details. SlashGear (амер.). 3 січня 2018. Архів оригіналу за 13 червня 2018. Процитовано 11 квітня 2018.
7. mtait. Lawfare (англ.). Архів оригіналу за 8 квітня 2018. Процитовано 11 квітня 2018.
8. Ben (18 грудня 2017). Project Zero: aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript. Project Zero. Архів оригіналу за 10 квітня 2018. Процитовано 11 квітня 2018.
9. 118 - Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail. bugs.chromium.org (англ.). Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018.
10. 1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - project-zero - Monorail. bugs.chromium.org (англ.). Архів оригіналу за 1 квітня 2018. Процитовано 11 квітня 2018.
11. Incident report on memory leak caused by Cloudflare parser bug. Cloudflare Blog. 23 лютого 2017. Архів оригіналу за 2 квітня 2018. Процитовано 11 квітня 2018.
12. Another hole opens up in LastPass that could take weeks to fix. Naked Security (амер.). 29 березня 2017. Архів оригіналу за 10 жовтня 2018. Процитовано 11 квітня 2018.
13. Security Update for the LastPass Extension - The LastPass Blog. The LastPass Blog (амер.). 27 березня 2017. Архів оригіналу за 7 квітня 2018. Процитовано 11 квітня 2018.
14. A Critical Intel Flaw Breaks Basic Security for Most Computers. WIRED (амер.). Архів оригіналу за 3 січня 2018. Процитовано 11 квітня 2018.

Посилання

• Офіційний блог [Архівовано 15 березня 2018 у Wayback Machine.]

• База даних виявлених вразливостей [Архівовано 12 квітня 2018 у Wayback Machine.]

• Перелік вразливостей, знайдених компанією Google перед початком проєкту [Архівовано 31 січня 2015 у Wayback Machine.]