Alfonso Maruccia

Google, Progetto Zero contro i bug altrui

Una nuova iniziativa di Mountain View si prefigge l'obiettivo di migliorare la sicurezza del software usato da un numero considerevole di persone, un investimento per scongiurare l'arrivo del prossimo caso Heartbleed

Roma - Google ha annunciato la fondazione di Project Zero, nuovo progetto pensato per contribuire alla sicurezza del software di terze parti da cui dipendono un gran numero di persone. Si tratta, dice la corporation, della continuazione di un lavoro di ricerca sin qui svolto part-time e che ha portato - tra le altre cose - all'individuazione di bug clamorosi come l'oramai famigerato Heartbleed.

Il team di esperti, ricercatori e hacker white hat di Project Zero lavorerà invece a tempo pieno andando alla caccia delle vulnerabilità zero day nel software, bug attivamente sfruttati, fra l'altro, per attaccare attivisti dei diritti umani, per condurre campagne di spionaggio industriale o per spiare intere popolazioni come nel caso del tecnocontrollo a opera della NSA.

Non ci sono limiti prefissati al tipo di software da analizzare alla ricerca di pericolosi bug di sicurezza, spiega Google, e una volta individuata la falla verrà comunicata al produttore di detto software perché apporti le dovute correzioni al codice. In seguito il bug entrerà a far parte di un database grazie a cui si potranno tracciare le discussioni intorno al problema, gli exploit storici, rapporti sul bug e altro ancora.
Il team di Project Zero è al momento alla ricerca di personale, spiega Google, e i membri ideali del progetto includono i ricercatori che sono già attivamente impegnati nella caccia di falle zero day usati in attacchi contro bersagli diretti ("targeted attack"); lavorare per Google implicherà fare la stessa cosa ma a viso aperto e "senza distrazioni". Geohot, al secolo George Hotz, sarebbe già della partita.

Alfonso Maruccia
Notizie collegate
  • TecnologiaGoogle, il fork di OpenSSL è BoringGli ingegneri di Mountain View lavorano a una loro variante della cruciale libreria crittografica presa di mira in questi mesi, un fork destinato a sostituire OpenSSL, ma solo per quanto riguarda le esigenze specifiche di Google
  • SicurezzaDragonfly, cyber-spioni russi contro l'OccidenteRicercatori di sicurezza lanciano l'allarme su una sofisticata operazione di cyber-spionaggio, probabilmente condotta da "agenti" russi o dell'Est Europa ai danni delle utility dell'energia negli USA e in Europa
9 Commenti alla Notizia Google, Progetto Zero contro i bug altrui
Ordina
  • ...Google può chiedere direttamente a NSA per una lista onnicomprensiva di bug e backdoor più o meno segreti attivamente usati per entrare in qualunque computer del pianeta...
    Funz
    12974
  • - Scritto da: Funz
    > ...Google può chiedere direttamente a NSA per una
    > lista onnicomprensiva di bug e backdoor più o
    > meno segreti attivamente usati per entrare in
    > qualunque computer del pianeta...

    Se google volesse fare veramente qualcosa per la sicurezza e la privacy degli utenti le basterebbe spingere gli strumenti che gia' esistono: tor e pgp.
    Invece...
    krane
    22544
  • su pgp sono d'accordo, ma su tor no

    google dovrebbe costringere gli utenti ad installare il client tor? e fungere anche da relay?

    oppure possono usare alcuni dei loro server come relay? ma in quel caso ci sono due problemi:

    1. NSA e soci possono benissimo costringerli ad installarci spyware o comunque sabotarli
    2. NSA e soci possono aggiungere altri loro relay alla rete TOR, in modo da avere sempre e comunque un gran numero di honeypot all'intero di tale rete
    non+autenticato
  • - Scritto da: collione
    > su pgp sono d'accordo, ma su tor no

    > google dovrebbe costringere gli utenti ad
    > installare il client tor? e fungere anche da
    > relay?

    Beh, piu' relay ci sono meglio e'.

    > oppure possono usare alcuni dei loro server
    > come relay? ma in quel caso ci sono due
    > problemi:

    > 1. NSA e soci possono benissimo costringerli ad
    > installarci spyware o comunque sabotarli

    Ed a quello tor dovrebbe essere immune.

    > 2. NSA e soci possono aggiungere altri loro relay
    > alla rete TOR, in modo da avere sempre e comunque
    > un gran numero di honeypot all'intero di tale
    > rete

    Questo fino a un certo punto e' previsto dal sistema.
    krane
    22544
  • Al primo posto di questa graduatoria ci sara' IE: il bug col software intorno.
  • - Scritto da: panda rossa
    > Al primo posto di questa graduatoria ci sara' IE:
    > il bug col software
    > intorno.
    forse si. ma e' soooo boring. Piu' divertente cercarli in Darwin e cocuzzaro closed di contorno.
    (per hotz ovviamente sarebbe piu' divertente cercarlo in software SonyCon la lingua fuori dal firmware delle tv alla psx )
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: panda rossa
    > > Al primo posto di questa graduatoria ci sara'
    > IE:
    > > il bug col software
    > > intorno.
    > forse si. ma e' soooo boring. Piu' divertente
    > cercarli in Darwin e cocuzzaro closed di
    > contorno.
    > (per hotz ovviamente sarebbe piu' divertente
    > cercarlo in software SonyCon la lingua fuori dal firmware delle
    > tv alla psx
    > )

    Cazzo parli? Tezzo ci pai, ma cavalli, sai.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: bubba
    > > - Scritto da: panda rossa
    > > > Al primo posto di questa graduatoria ci sara'
    > > IE:
    > > > il bug col software
    > > > intorno.
    > > forse si. ma e' soooo boring. Piu' divertente
    > > cercarli in Darwin e cocuzzaro closed di
    > > contorno.
    > > (per hotz ovviamente sarebbe piu' divertente
    > > cercarlo in software SonyCon la lingua fuori dal firmware delle
    > > tv alla psx
    > > )
    >
    > Cazzo parli? Tezzo ci pai, ma cavalli, sai.
    ti mando da tyler durden a farti curare?
    non+autenticato
  • - Scritto da: panda rossa
    > Al primo posto di questa graduatoria ci sara' IE:
    > il bug col software
    > intorno.

    Ed io scommetto che dei tanti espertoni informatici che frequentano PI, super programmatori e di intelligenza superiore, che dedicano gratuitamente il loro tempo agli altri con fior fior di software si sourcegorge (così dicono), ecco, di quelli nessuno entrerà in quel team.
    non+autenticato