» »

Google Zero bo iskal hrošče tudi v tujih programih

Google Zero bo iskal hrošče tudi v tujih programih

Chris Evans nabira ekipo za Project Zero.

Wired News - Projekti nagrajevanja odkriteljev ranljivosti v programski opremi (bug bounties) so med podjetji že nekaj običajnega. Ima ga tudi Google, kjer so v štirih letih podelili že precej nagrad. Sedaj pa bo Google lovljenje hroščev dvignil na novo dimenzijo, saj se bodo lotili tudi tuje programske opreme in to kar v lastni hiši.

Zagnali so Project Zero, na katerem bodo zaposlili največje strokovnjake za iskanje ranljivosti in lovljenje hroščev. Ti ne bodo imeli nobene omejitve pri delu, ampak se bodo lahko lotili katerekoli programske opreme kateregakoli proizvajalca. Google bo o odkritih ranljivostih obvestil proizvajalca, potem pa podrobnosti tudi javno objavil. Počeli bodo torej nekaj podobnega kot VUPEN, le da bodo po lastnih besedah to počeli iz altruizma.

V Projectu Zero bodo namreč zaposlovali največje zvezde. Med njimi bomo našli Georga Hotza, ki je zaslovel z zlomom iPhona in vdorom v PlayStation, pa recimo Bena Hawkesa, Tavisa Ormandya in Iana Beera, pojasnjuje Chris Evans iz Google, ki vodi projekt. Skupno nameravajo zaposliti deset ljudi, vsa mesta pa še niso zasedena.

Zakaj bi Google izdatno plačeval deseterico zelo sposobnih ljudi, da iščejo ranljivosti v tuji programski opremi? Samooklicani razlog je altruizem, a mu je primešan tudi zdrav ščepec egoizma. Google že dlje časa pravi, da kar je dobro za internet, je dobro tudi za Google. Zato ni presenetljivo, da v napovedi projekta Zero pišejo, da imajo dovolj vladnih in drugih vdorov v računalniške sisteme in prisluškovanja. Google pač zasluži ogromno od uporabe interneta, saj se k njim stekajo velikanske vsote oglaševalskega denarja, zato je v njegovem interesu varen internet.

Upoštevati pa je treba tudi soodvisnost programske opreme, ki jo je nekdanji Googlovec Morgan Marquis-Boire plastično ponazoril: čelada vam na motorju ne pomaga dosti, če vozite v kimonu. Tako na primer tudi ranljivosti v vtičnikih za Chrome - zlasti Flash je pogosto na tapeti - ogrozijo celoten sistem. In potem je Googlova poteza precej bolj razumljiva, sploh ker so stroški desetih (resda visokih) plač za podjetje zanemarljivi.

15 komentarjev

stb ::

Juhej, vse aktualne ranljivosti lepo zbrane in dokumentirane pri ameriški korporaciji... NSA sploh ne bo potrebno iskati ranljivosti ampak samo Googlu dostavi še en National Security Letter (če ga že niso in ga prikrivajo z altruizmom).

njyngs ::

"ampak se bodo lahko lotili katerekoli programske opreme kateregakoli proizvajalca"

Kaj pa zaprtokodni programi? Ali pa zadevščine kjer ni source-ov? Black box testiranje predvidevam?
Seveda kakšne bodo pa posledice v primeru objavljanja lukenj sploh za kak kritičen software kjer bodo zaradi objave lahko uporabnikom zakrivili denarno škodo? Kaj so to za ene bučke?

BALAST ::

Še najbolje bi bilo, da Google zero ekipa dobi amnestijo pred vsakršno odgovornostjo, če so jim že dodelili NSA značke.
Kot drugo pa ima večina teh "skrbnikov internetne varnosti" svoje dolgoročne načrte za diskreditacijo korporacij, ki niso povezane z NSA, samo da se pridobi določen tržni delež katerekoli dejavnosti.
"You may fool all the people some of the time;
you can even fool some of the people all the time;
but you can't fool all of the people all the time."

flbroker ::

Ma ja Google ne sme Vupen pa lahko izsiljuje podjetja in prodaja exploite na crnem trgu.

gnilojabolko ::

V korporacijah ne obstaja altruizem, sploh pa pri tako velikih podjetjih v velikosti Googla. Da smo si na jasnem....vsi so isti (Google, Apple, Microfrost). :)

FlyingBee ::

torej le javno objavljajo kar že delajo, tako da ne bo kakšne večje afere

arjan_t ::

njyngs je izjavil:


Seveda kakšne bodo pa posledice v primeru objavljanja lukenj sploh za kak kritičen software kjer bodo zaradi objave lahko uporabnikom zakrivili denarno škodo? Kaj so to za ene bučke?


verjetno z zamikom od obvstilaa proizvajalca kot je praksa za taksne zadeve

poweroff ::

Pri zaprti kodi se pač izvaja fuzzing. Sicer pa je tole dobra novica. Škode ne bo nikakršne, ker jo že dela Vupen (green hat hekerji; green, the color of money), gotovo pa bo kakšna korist.
sudo poweroff

...:TOMI:... ::

Meni se pa zdi številka zaposlenih za ta projekt nizka. To je sramota za google. Morali bi imeti vsaj 100 ali 1000 zaposlenih za ta namen, da bi izgledalo resno. 1000 proti celemu internetu ni nobena številka, 10 je pa še manjša.
Tomi

Shkorc ::

Si pa s hrbta spraviš deset potencialno nevarnih hekerjev.

s6c-gEL ::

Pri zaprti kodi se pač izvaja fuzzing.

Reverse engineering preko debugger & disassembler -ja.

spirit ::

mislim da nima smisla zaposlovati velikega števila ljudi za to, imaš 10 res dobrih in itak ne rabiš da iščejo v vseh zadevah luknje, greš čez najbol uporabljane itd. že tako je treba vedet, da jim tega ni treba, pa ne mislim, da so zaradi tega pa dobrotniki in prinašalci svetovnega miru, vem da delajo na koncu to v svojo korist a kljub temu je to dobro in so že ocenili da se jim toliko pač za to splača zapravit.

MatH ::

Še v Rusiji bi morali ustanovit eno tako ekipo.
Edina stvar, ki na vseh računalnikih in telefonih dela tako kot mora, je macola.

Jupito ::

Resda tale sumljivo prijazni striček google še vedno izgleda boljša alternativa neznancem, ki se v temnih ulicah srečujejo z Vupenaši, ampak... to je taisti Google, ki bo kasneje v svoji kleti delal na pametni kopalnici, ki se bo financirala z zbiranjem podatkov o kosmatosti uporabnikove riti.
Seveda je prispevek h krpanju varnostnih lukenj (absolutno) dobra stvar, ne glede na razloge, ampak nekoč bomo deležni tudi izravnave (in potem tistega neprijetnega občutka, ko ugotoviš, da si je nekdo dobesedno kupil pravico, da te nmau'...).
Ne me rauzmet narobe, korporacije je treba imet rad kot svojo lastno žlahto: izkoristiti ugodnosti, zaupati pa jim ne gre preveč. :D
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

Zgodovina sprememb…

  • spremenil: Jupito ()

chironex ::

stb je izjavil:

Juhej, vse aktualne ranljivosti lepo zbrane in dokumentirane pri ameriški korporaciji... NSA sploh ne bo potrebno iskati ranljivosti ampak samo Googlu dostavi še en National Security Letter (če ga že niso in ga prikrivajo z altruizmom).


Točno to sem hotel napisat, pa vidim da si me prehitel :)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Vdor v NSA razkril luknje v Ciscovi in drugi omrežni opremi

Oddelek: Novice / Varnost
269204 (5960) Spura
»

Google vztraja pri 90-dnevnem roku za odpravo lukenj, Microsoft nejevoljen

Oddelek: Novice / Varnost
3412342 (9975) BigWhale
»

Google Zero bo iskal hrošče tudi v tujih programih

Oddelek: Novice / Varnost
156268 (5022) chironex
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4019931 (16970) Iatromantis
»

Google skupno ponuja milijon dolarjev za ranljivosti v Chromu

Oddelek: Novice / Varnost
127701 (6178) roli

Več podobnih tem