Project Zero (Google)

Project Zero je název týmu bezpečnostních analytiků najatých společností Google, jejichž úkolem je hledat zero-day zranitelnosti.

Historie

Poté, co bylo nalezeno množství závad v softwaru používaného mnoha koncovými uživateli, Google rozhodl, že sestaví tým, který bude podobné zranitelnosti vyhledávat nejen v softwaru společnosti Google, ale i v jakémkoliv jiném softwaru užívaném jeho uživateli. Tento nový projekt byl ohlášen 15. června 2014 na Google's security blog.[1] Tým vede Chris Evans, bývalý šéf bezpečnostního týmu prohlížeče Google Chrome. Dalšími významnými členy jsou například George Hotz, Ben Hawkes, James Forshaw, Ian Beer a Tavis Ormandy.[2]

Hledání a nahlášení chyb v programu

Nalezené chyby v programu jsou nahlášeny výrobci softwaru. Zveřejněny jsou teprve poté, co je dostupný patch[1] nebo po 90 dnech po ohlášení chyby.[3] Ona 90 denní lhůta je způsob, kterým Google implementuje responsible disclosure, což dává společnostem 90 dnů na opravu chyby před informováním veřejnosti, aby ochránili uživatele.[3]

Významné objevy

Dne 30. září 2014 Google odhalil bezpečnostní vadu v systému Windows 8.1, která umožňovala běžnému uživateli získat administrátorská oprávnění.[4] Microsoft byl o problému okamžitě informován, ale opravu během 90 dnů nezveřejnil. Chyba byla zveřejněna 29. prosince 2014.[3]

Reference

  1. a b EVANS, Chris. Announcing Project Zero [online]. Google Online Security Blog, 15 July 2014 [cit. 2015-01-04]. Dostupné online. (anglicky) 
  2. http://www.wired.com/2014/07/google-project-zero/
  3. a b c DENT, Steven. Google posts Windows 8.1 vulnerability before Microsoft can patch it [online]. Engadget, 2 January 2015 [cit. 2015-01-04]. Dostupné online. (anglicky) 
  4. Issue 118: Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl [online]. google-security-research group on code.google.com, 30 September 2014 [cit. 2015-01-04]. Dostupné online. (anglicky) 

Externí odkazy