Proyecto Cero

Equipo de análisis de seguridad empleado por Google

Project Zero es un equipo de analistas de seguridad contratado por Google y cuya misión es encontrar vulnerabilidades de día cero . ^[1] Se anunció el 15 de julio de 2014. ^[2]

Historia

Después de encontrar una serie de fallos en el software utilizado por muchos usuarios finales mientras investigaba otros problemas, como la vulnerabilidad crítica " Heartbleed ", Google decidió formar un equipo a tiempo completo dedicado a encontrar dichas vulnerabilidades, no solo en el software de Google sino en cualquier software utilizado por sus usuarios. El nuevo proyecto se anunció el 15 de julio de 2014 en el blog de seguridad de Google. ^[2] Cuando se lanzó, una de las principales innovaciones que proporcionó Project Zero fue un plazo estricto de divulgación de 90 días junto con un rastreador de errores visible públicamente donde se documenta el proceso de divulgación de vulnerabilidades. ^[3]

Si bien la idea de Project Zero se remonta a 2010, su creación se enmarca en la tendencia más amplia de las iniciativas de contravigilancia de Google a raíz de las revelaciones de vigilancia global de 2013 por parte de Edward Snowden . El equipo estaba dirigido anteriormente por Chris Evans, ex jefe del equipo de seguridad de Chrome de Google , quien posteriormente se unió a Tesla Motors . ^[4] Otros miembros notables incluyen a los investigadores de seguridad Ben Hawkes , Ian Beer y Tavis Ormandy . ^[5] Hawkes finalmente se convirtió en el gerente del equipo y luego renunció el 4 de mayo de 2022.

El equipo no se centra únicamente en encontrar errores y ataques novedosos, sino también en investigar y documentar públicamente cómo se pueden explotar esas fallas en la práctica. Esto se hace para garantizar que los defensores tengan un conocimiento suficiente de los ataques; el equipo mantiene un extenso blog de investigación con artículos que describen ataques individuales en detalle. ^[6]

Detección y notificación de errores

Los errores encontrados por el equipo de Project Zero se informan al fabricante y solo se hacen visibles públicamente una vez que se ha lanzado un parche ^[2] o si han pasado 90 días sin que se haya lanzado un parche. ^[7] El plazo de 90 días es la forma de Google de implementar la divulgación responsable , dando a las empresas de software 90 días para solucionar un problema antes de informar al público para que los propios usuarios puedan tomar las medidas necesarias para evitar ataques. ^[7] Ha habido casos en los que el proveedor no produce ninguna solución para las fallas descubiertas dentro de los 90 días, antes de la divulgación pública por parte del equipo, lo que aumenta el riesgo para los usuarios ya vulnerables. ^[8]

Miembros notables

• Cerveza Ian ^[5]
• Jann Horn ^[9]
• Natalie Silvanovich ^[10]
• James Forshaw ^[11]
• Piedra de Maddie ^[12]

Miembros anteriores

• Ben Hawkes ^[5]
• Tavis Ormandy ^[5]
• Gal Beniamini ^[13]
• Thomas Dullien ^[14]
• Chris Evans ^[5]
• George Hotz ^[5]
• Matt Tait ^[15]
• Steven Vittitoe ^[11]

Descubrimientos notables

• Uno de los primeros informes del Proyecto Cero que atrajo la atención involucraba una falla que permitía a los hackers tomar el control del software que ejecutaba el navegador Safari . ^[16] Por sus esfuerzos, el equipo, específicamente Beer, fue citado en la breve nota de agradecimiento de Apple.
• El 30 de septiembre de 2014, Google detectó una falla de seguridad en la llamada al sistema "NtApphelpCacheControl" de Windows 8.1 , que permite a un usuario normal obtener acceso administrativo. ^[17] Microsoft fue notificado del problema inmediatamente, pero no lo solucionó en 90 días, lo que significó que la información sobre el error se hizo pública el 29 de diciembre de 2014. ^[7] La ​​publicación del error al público provocó una respuesta de Microsoft de que estaban trabajando en el problema. ^[7]
• El 9 de marzo de 2015, el blog de Google Project Zero publicó una publicación invitada que revelaba cómo una falla de hardware previamente conocida en DRAM comúnmente implementada llamada Row Hammer podría ser explotada para escalar privilegios para usuarios locales. ^[18] Esta publicación generó una gran cantidad de investigaciones de seguimiento tanto en la comunidad académica como en la de hardware.
• El 19 de febrero de 2017, Google descubrió una falla en los servidores proxy inversos de Cloudflare ^[19] que hacía que sus servidores perimetrales se ejecutaran más allá del final de un búfer y devolvieran memoria que contenía información privada, como cookies HTTP, tokens de autenticación, cuerpos de HTTP POST y otros datos confidenciales. Algunos de estos datos fueron almacenados en caché por los motores de búsqueda ^[20] . Un miembro del equipo de Project Zero se refirió a esta falla como Cloudbleed ^[19] .
• El 27 de marzo de 2017, Tavis Ormandy de Project Zero descubrió una vulnerabilidad en el popular administrador de contraseñas LastPass . ^[21] El 31 de marzo de 2017, LastPass anunció que había solucionado el problema. ^[22]
• Project Zero participó en el descubrimiento de las vulnerabilidades Meltdown y Spectre que afectan a muchas CPU modernas , que se descubrieron a mediados de 2017 y se divulgaron a principios de enero de 2018. ^[23] El problema fue descubierto por Jann Horn independientemente de los otros investigadores que informaron sobre la falla de seguridad y estaba programado para ser publicado el 9 de enero de 2018 antes de adelantar la fecha debido a la creciente especulación. ^[9] El 1 de febrero de 2019, Project Zero informó a Apple que habían detectado un conjunto de cinco cadenas de explotación de iPhone separadas y completas que afectaban a iOS 10 a través de todas las versiones de iOS 12, sin apuntar a usuarios específicos, pero con la capacidad de infectar a cualquier usuario que visitara un sitio infectado. Una serie de sitios pirateados se estaban utilizando en ataques indiscriminados de abrevadero contra sus visitantes, que Project Zero estimó que reciben miles de visitantes por semana. Project Zero sintió que los ataques indicaban que un grupo estaba haciendo un esfuerzo sostenido para piratear a los usuarios de iPhones en ciertas comunidades durante un período de al menos dos años. ^[24] Apple corrigió los exploits en el lanzamiento de iOS 12.1.4 el 7 de febrero de 2019, ^[25] y dijo que las correcciones ya estaban en marcha cuando Project Zero lo informó. ^[26]
• El 18 de abril de 2019, Project Zero descubrió un error en Apple iMessage en el que un determinado mensaje malformado podía hacer que Springboard "... se bloqueara y reapareciera repetidamente, lo que hacía que la interfaz de usuario no se mostrara y el teléfono dejara de responder a la entrada". ^[27] Esto bloquearía por completo la interfaz de usuario del iPhone y lo dejaría inoperable. Este error persistiría incluso después de un reinicio completo . La falla también afectó a iMessage en Mac con diferentes resultados. Apple solucionó el error dentro del período de 90 días antes de que Project Zero lo lanzara.
• En diciembre de 2021, el equipo publicó un desglose técnico del exploit FORCEDENTRY basado en su colaboración con el grupo de Ingeniería y Arquitectura de Seguridad (SEAR) de Apple. ^[28]

Véase también

• Defensa cibernética proactiva

Referencias

1. Greenberg, Andy (15 de julio de 2014). «Conoce a 'Project Zero', el equipo secreto de hackers de Google que buscan errores». Wired . ISSN  1059-1028 . Consultado el 6 de marzo de 2019 .
2. Evans, Chris (15 de julio de 2014). «Anuncio del Proyecto Zero». Blog de seguridad en línea de Google . Consultado el 4 de enero de 2015 .
3. "Project Zero Bug Tracker" . Consultado el 11 de abril de 2019 .
4. "Chris Evans en Twitter" . Consultado el 22 de septiembre de 2015 .
5. Greenberg, Andy (15 de julio de 2014). «Conoce a 'Project Zero', el equipo secreto de hackers de Google que buscan errores». Wired.com . Consultado el 4 de enero de 2015 .
6. "Blog de investigación del Proyecto Cero" . Consultado el 11 de abril de 2019 .
7. Dent, Steven (2 de enero de 2015). "Google publica una vulnerabilidad en Windows 8.1 antes de que Microsoft pueda aplicarle un parche". Engadget . Consultado el 4 de enero de 2015 .
8. Fingas, John (4 de marzo de 2019). "Google revela una falla de seguridad de Mac de 'alta gravedad' antes del parche". Engadget . Consultado el 6 de marzo de 2019 .
9. Davies, Chris (3 de enero de 2018). "Google revela detalles de la falla de seguridad de CPU Meltdown y Spectre". SlashGear . Consultado el 4 de enero de 2018 .
10. "Google dice que es demasiado fácil para los piratas informáticos encontrar nuevos fallos de seguridad" . Consultado el 3 de febrero de 2021 .
11. "aPAColypse ahora: Explotación de Windows 10 en una red local con WPAD/PAC y JScript". 18 de diciembre de 2017. Consultado el 18 de diciembre de 2017 .
12. "El día cero de iOS permitió a los piratas informáticos de SolarWinds comprometer iPhones completamente actualizados". 14 de julio de 2021. Consultado el 14 de julio de 2021 .
13. "Over The Air: Exploiting Broadcom's Wi-Fi Stack (Parte 1)" (Por aire: aprovechando la pila Wi-Fi de Broadcom (parte 1)). 4 de abril de 2017. Consultado el 12 de abril de 2019 .
14. "Búsqueda de funciones de biblioteca vulnerables enlazadas estáticamente en código ejecutable". 18 de diciembre de 2018. Consultado el 12 de abril de 2019 .
15. "Lawfareblog: decisiones difíciles en materia de seguridad nacional, Matt Tait" . Consultado el 9 de marzo de 2017 .
16. TIME Ciberseguridad: piratería, la Dark Web y usted. Time Inc. Books. 19 de enero de 2018. ISBN 9781547842414.
17. "Problema 118: Windows: Elevación de privilegios en ahcache.sys/NtApphelpCacheControl". 30 de septiembre de 2014. Consultado el 4 de enero de 2015 .
18. "Explotación del error Rowhammer de la DRAM para obtener privilegios de kernel". 9 de marzo de 2015. Consultado el 11 de abril de 2019 .
19. "Problema 1139: Cloudflare: los servidores proxy inversos de Cloudflare están volcando memoria no inicializada". 19 de febrero de 2017. Consultado el 24 de febrero de 2017 .
20. "Informe de incidente sobre pérdida de memoria causada por un error del analizador de Cloudflare". Cloudflare. 23 de febrero de 2017. Consultado el 24 de febrero de 2017 .
21. "Se abre otro agujero en LastPass que podría llevar semanas arreglar". Naked Security . 29 de marzo de 2017 . Consultado el 29 de marzo de 2017 .
22. Siegrist, Joe (31 de marzo de 2017). «Actualización de seguridad para la extensión LastPass». Blog de LastPass . Archivado desde el original el 7 de abril de 2018. Consultado el 2 de mayo de 2017 .
23. Greenberg, Andy (3 de enero de 2018). "Una falla crítica de Intel rompe la seguridad básica de la mayoría de las computadoras". WIRED . Consultado el 4 de enero de 2018 .
24. Tim (29 de agosto de 2019). "Project Zero: Un análisis profundo de las cadenas de exploits de iOS que se encuentran en la red". Project Zero . Consultado el 30 de agosto de 2019 .
25. Cox, Joseph (30 de agosto de 2019). «Google dice que sitios web maliciosos han estado pirateando iPhones silenciosamente durante años». Vice . Consultado el 30 de agosto de 2019 .
26. Goodin, Dan (7 de septiembre de 2019). "Apple recibe críticas por cuestionar la bomba de seguridad de iOS lanzada por Google". Ars Technica .
27. "Problema 1826: iMessage: un mensaje malformado bloquea el iPhone". bugs.chromium.org. 18 de abril de 2019. Consultado el 9 de septiembre de 2019 .
28. Beer, Ian; Groß, Samuel (15 de diciembre de 2021). "Project Zero: Un análisis profundo de un exploit de iMessage sin clic de NSO: ejecución remota de código". Google Project Zero . Consultado el 16 de diciembre de 2021 .

Enlaces externos

• Sitio web oficial