Project Zero: el equipo de élite de Google para cazar exploits

por | 15 julio, 2014

google-security

Google acaba de anunciar una nueva iniciativa llamada Project Zero que tiene como objetivo hacer de internet un lugar más seguro, de tal manera que cualquier persona pueda navegar por la red sin temor a que un delincuente o los servicios de inteligencia de algún estado hostil, pueda interceptar sus comunicaciones o comprometer sus equipos, utilizando debilidades o fallos de software.

En particular se centraran en el estudio de los exploits conocidos como 0-day (ataques de día cero), que utilizan vulnerabilidades desconocidas por el público y los creadores de software, y que han podido ser aprovechadas, hasta que se descubren y son finalmente parcheadas.

En la mayoría de los casos, el periodo de tiempo que se ha estado expuesto a esa vulnerabilidad o el grado de explotación que haya podido tener por parte de unos posibles atacantes, suele ser bastante incierto

Uno de los ejemplos más significativo y del que ya os he hablado repetidas veces en el blog lo tuvimos hace poco con Heartbleed, una vulnerabilidad en las librerías openSSL que casualmente también descubrió un investigador de Google, llamado Neel Mehta.

Para ayudar a hacer frente a este problema, Google ha dado a conocer su nuevo equipo de élite para este proyecto, el cual está formado por varios investigadores de seguridad, dirigidos por Chris Evans y del que forman parte prestigiosos hackers.

Alguno de ellos muy conocido como George Hotz, que a los 17 años se hizo famoso por ser la primera persona en desbloquear un iPhone, además de desarrollar posteriormente software de jailbreaking para este dispositivo.

George, también acaparó titulares cuando le dio por hackear la PlayStation 3, lo que le supuso aparte de conseguir todavía más fama, recibir una «bonita» denuncia por parte de los tipos de Sony.

El caso es que en Google si han sabido apreciar su inmenso talento, y lo han fichado como al resto del equipo, para buscar vulnerabilidades peligrosas, no sólo en sus propios productos, sino en el otras compañías también.

En este aspecto los investigadores gozan de total libertad para elegir el proyecto o software que quieren auditar.

Como suele suceder en estos casos, primero se informará al proveedor del software de la vulnerabilidad descubierta y posteriormente será liberada al público para su análisis.

Supongo que no tardaremos en ver resultados, por ahora el equipo de Chris Evans sigue contratando personal y espera contar con al menos 10 hackers trabajando a tiempo completo, en sus oficinas de Mountain View.

Vía | Wired

Imagen | Alexandre Dulaunoy

11 pensamientos en “Project Zero: el equipo de élite de Google para cazar exploits

  1. victorhck

    esperemos que sea para eso y no para menesteres más malévolos… viniendo de Google, nunca se sabe (modo_paranoico=off)

    Responder
    1. tannhausser Autor

      Google es una empresa tan grande, con tantos departamentos y gente trabajando con maneras de pensar tan diferentes…que da para todo tipo de proyectos…veremos 🙂

      Responder
  2. Pingback: Proyect Zero: el equipo de élite de Google para cazar exploits

  3. Gallux

    No sé por qué el artículo me dejó la sensación de que se trata de un grupo de comandos que van a una zona en guerra tipo película yanqui…

    Responder
  4. D'Artagnan

    Pues a mi esto me parece una ironía. Es como poner la zorra a guardar gallinas.
    Por que resulta que todos nosotros sabemos como se las gasta Google ¿O no?.
    Aunque a esta poderosa compañía también le han metido algún que otro gol, sin necesidad de haber tenido que ir al Mundial; basta con leer un poco su historia de vulnerabilidades.

    Responder
    1. tannhausser Autor

      No son ningunos santitos, pero supongo que también les fastidia que las NSA les controle todo (pudiendo hacerlo ellos solos), de ahí eso que hablan también de habilitar próximamente la opción de cifrado en GMAIL.

      Responder
  5. Nemesis

    proJect, proJJJJJJect, casi suena «sh» pero mas rugoso, como «jazz», si? gracias

    Responder
  6. s0rcerer88

    Teniendo en cuenta que una vez descubierto el HeartBleed y a sabiendas de que llevaba años siendo explotado solo avisaron a Facebook hasta que lo tuvieron todo atado y bien atado, me daria verguenza pertenecer a este equipo de Google. El codigo etico Hacker (no confundir con Cracker) dice que se debe avisar a quien el error pueda afectar, no solo a los amigos; y por culpa de esta gentuza, empresas como Yahoo, que tratan de sobrevivir, fueron sodomizadas hasta limites insospechados…

    Lo dicho, mas balas para la ametralladora.

    Responder
    1. tannhausser Autor

      Te veo algo desinformado al respecto de como se produjo el proceso de revelación de este bug.

      En este post puedes ver el timeline completo

      http://www.smh.com.au/it-pro/security-it/heartbleed-disclosure-timeline-who-knew-what-and-when-20140415-zqurk.html

      Antes de avisar a Facebook (en realidad no fue un aviso alguien les fue con el soplo, como paso con otras empresas tipo CloudFlare al irse difundiendo el bug) fueron notificados los desarrolladores de openSSL y los equipos de seguridad de las principales distribuciones GNU/Linux.

      De todas maneras la revelación responsable de un bug que afecta a tantas empresas y entidades es muy complicada, te puedes quedar corto limitando el acceso a algunas importantes o te puedes exceder dando demasiada información antes de que se solucione el problema y se haya corregido la vulnerabilidad.

      Responder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.