Proyecto Cero

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda
Proyecto Cero
Información general
Dominio http://googleprojectzero.blogspot.com
Tipo Equipo
Gestión
Propietario Google
Lanzamiento 15 de julio de 2014

Proyecto Cero es el nombre de un equipo de analistas de seguridad empleados por Google encargado de encontrar ataques de día cero. Su presentación tuvo lugar el 15 de julio de 2014.[1]

Historia[editar]

Después de encontrar una serie de fallos en el software utilizado por muchos usuarios finales mientras investigaban otros problemas, como la vulnerabilidad crítica Heartbleed, Google decidió formar un equipo dedicado a tiempo completo a encontrar dichas vulnerabilidades, no solo en el software de Google, sino también en cualquier software utilizado por sus usuarios.

El nuevo grupo de Google se anunció el 15 de julio de 2014 en el blog de seguridad de Google.[1]​ Si bien la idea del Proyecto Cero se remonta a 2010, su creación se motiva por la tendencia más amplia de las iniciativas de contravigilancia de Google tras los resultados de las revelaciones sobre la red de vigilancia mundial hechas por Edward Snowden. El equipo estaba anteriormente encabezado por Chris Evans, anteriormente director del equipo de seguridad del navegador Chrome, que posteriormente se unió a Tesla Motors.[2]​ Otros miembros notables incluyen investigadores de seguridad como Ben Hawkes, Ian Beer y Tavis Ormandy.

Búsqueda y reporte de errores[editar]

Los errores encontrados por el equipo del Proyecto Cero son reportados al fabricante y sólo se hacen públicamente visibles una vez que un parche ha sido liberado. O si han pasado 90 días sin que un parche haya sido liberado.  La fecha límite de 90 días es la forma en que Google implementa la revelación responsable, dando a las empresas de software 90 días para solucionar un problema antes de informar al público para que los propios usuarios puedan tomar las medidas necesarias para evitar ataques.

Miembros notables[editar]

  • Ben Hawkes
  • Tavis Ormandy
  • Ian Beer
  • Jann Horn

Miembros anteriores[editar]

Descubrimientos notables[editar]

El 30 de septiembre de 2014 Google detectó un fallo de seguridad en el sistema de Windows 8.1 llamado NtApphelpCacheControl, que permite a un usuario normal obtener acceso de administrador.[6]Microsoft fue notificada del problema inmediatamente, pero no lo solucionó en un plazo de 90 días, lo que implicó que la información sobre el fallo se pusiera a disposición del público el 29 de diciembre de 2014. La liberación del fallo al público provocó la respuesta de Microsoft asegurando que ya estaban trabajando en el problema.[7]

El 19 de febrero de 2017 Google descubrió una falla dentro de los proxies inversos de Cloudflare,[8]​ lo que provocó que los servidores en la frontera de su red —los que enlazan con internet— ejecutaran código más allá del final de un búfer y devolvieran contenido de memoria con información privada como cookies HTTP, tókenes de autenticación, cuerpos POST de HTTP y otros datos sensibles. Algunos de estos datos fueron almacenados en caché por los motores de búsqueda.[9]​ Un miembro del equipo de Proyecto Cero se refirió a esta falla como Cloudbleed.

El 27 de marzo de 2017 Tavis Ormandy del Proyecto Cero descubrió una vulnerabilidad en el popular gestor de contraseñas LastPass.[10]​ El 31 de marzo de 2017, LastPass anunció que habían solucionado el problema.[11]

El Proyecto Cero estuvo involucrado en el descubrimiento de las vulnerabilidades Meltdown y Spectre que afectan a la inmensa mayoría de las CPU modernas, las cuales fueron descubiertas a mediados de 2017 de manera confidencial, y hechas públicas a principios de enero de 2018.[12]​ Fueron descubiertas por Jann Horn, de Proyecto Cero, de manera independiente a los otros investigadores que informaron sobre estas fallas de seguridad. Estaba previsto inicialmente que se hicieran públicas el 9 de enero de 2018 distribuyendo en ese momento los parches de seguridad, pero tuvieron que adelantar el anuncio debido a las crecientes especulaciones e hipótesis sobre su alcance y severidad.[13]

Referencias[editar]

  1. a b Evans, Chris (15 de julio de 2014). «Announcing Project Zero». Google Online Security Blog. Consultado el 4 de enero de 2015. 
  2. «Chris Evans on Twitter». Consultado el 22 de septiembre de 2015. 
  3. Greenberg, Andy (15 de julio de 2014). «Meet ‘Project Zero,’ Google's Secret Team of Bug-Hunting Hackers». Wired.com. Consultado el 4 de enero de 2015. 
  4. «Lawfareblog Hard National Security Choices Matt Tait». Consultado el 9 de marzo de 2017. 
  5. «aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript». Consultado el 18 de diciembre de 2017. 
  6. «Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl». google-security-research group on code.google.com. 30 de septiembre de 2014. Consultado el 4 de enero de 2015. 
  7. Dent, Steven (2 de enero de 2015). «Google posts Windows 8.1 vulnerability before Microsoft can patch it». Engadget. Consultado el 4 de enero de 2015. 
  8. «Issue 1139: cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory». google-security-research group on code.google.com. 19 de febrero de 2017. Consultado el 24 de febrero de 2017. 
  9. «Incident report on memory leak caused by Cloudflare parser bug». Cloudflare. 23 de febrero de 2017. Consultado el 24 de febrero de 2017. 
  10. «Another hole opens up in LastPass that could take weeks to fix». Naked Security. 29 de marzo de 2017. Consultado el 29 de marzo de 2017. 
  11. Siegrist, Joe (31 de marzo de 2017). «Security Update for the LastPass Extension». LastPass Blog. Consultado el 2 de mayo de 2017. 
  12. «A Critical Intel Flaw Breaks Basic Security for Most Computers» (en inglés estadounidense). 3 de enero de 2018. Consultado el 4 de enero de 2018. 
  13. «Google reveals CPU security flaw Meltdown and Spectre details» (en inglés estadounidense). 3 de enero de 2018. Consultado el 4 de enero de 2018. 

Enlaces externos[editar]