Google ogłosiło właśnie stworzenie dedykowanego zespołu wyśmienitych specjalistów, których jedynym zadaniem będzie wyszukiwanie i zgłaszanie błędów w popularnym oprogramowaniu różnych producentów. Wśród elity badaczy znalazł się nasz rodak, Mateusz „j00ru” Jurczyk.
Google już od dawna poszerzyło zakres zainteresowań swojego zespołu bezpieczeństwa poza oprogramowanie własnego autorstwa. Jego pracownicy w ostatnich latach odkrywali oraz odpowiedzialnie raportowali błędy w licznych popularnych aplikacjach. Firma postanowiła bardziej sformalizować ten proces i stworzyła dedykowany zespół, którego jedynym zadaniem ma być wyszukiwanie błędów.
Project Zero
Google było jedną z pierwszych firm, które wprowadziły program nagród za zgłaszane błędy w swoich produktach (bug bounty). Pół roku temu firma rozszerzyła ten program także na oprogramowanie open source, przy czym nagradza modyfikacje kodu, mające za zadanie podnieść jego bezpieczeństwo. Od roku 2012 sponsoruje także coroczny konkurs Pwnium, w którym hojnie nagradza osoby, które potrafły przełamać bezpieczeństwo Chromium OS lub przeglądarki Chrome.
Bardzo istotnym elementem działania Google na rzecz bezpieczeństwa całej sieci były do tej pory indywidualne (lub zespołowe) działania jego pracowników. Na liście najważniejszych błędów, odkrytych w dziesiątkach różnych produktów przez „Googlersów” znajduje się prawie 250 pozycji (CVE jest ponad 400, a nie wszystkie zostały wymienione), a na samym jej szczycie figuruje Neel Mehta z błędem w OpenSSL (Heartbleed). Znajdziemy na niej także polskie nazwiska – odkrycia Roberta Święckiego, Michała Zalewskiego, Mateusza Jurczyka czy Gynvaela Coldwinda stanowią istotną część długiej listy.
Drużyna marzeń
Dzisiaj Google ogłosiło powstanie zespołu Project Zero, jednak sam zespół musiał istnieć dużo wcześniej – już w kwietniu tego roku Apple dziękowało jednemu z jego badaczy za zgłoszenie błędu w ich aplikacji. Pełen skład zespołu nie został opublikowany, ale znamy kilka postaci. Szefem jest Chris Evans, który wcześniej odpowiedzialny był za bezpieczeństwo przeglądarki Chrome. Spójrzmy, kogo udało mu się zrekrutować:
- Tavis Ormandy – jeden z najbardziej znanych odkrywców błędów, bez którego coroczna lista CVE byłaby uboższa o kilkadziesiąt pozycji. Odkryte przez niego błędy pozwoliły między innymi na pokonanie zabezpieczeń iPhone’a oraz Playstation.
- Ben Hawkes – bez niego lista CVE za rok 2013 nie obejmowałaby dziesiątek błędów w Adobe Flash i MS Office
- George Hotz – pierwszy złamał iPhone’a i PS3, ostatnio pokonał także Chromium OS i będzie stażystą w zespole
W tym zaszczytnym gronie znajdzie się także nasz rodak, Mateusz „j00ru” Jurczyk. Mateusz, dwukrotny laureat Pwnie Awards, mocno przyczynił się w ostatnich latach do rozbudowania listy błędów odkrytych przez pracowników Google. Wspólnie z Gynvaelem Coldwindem odkrył sporą garść błędów w czytnikach PDF czy też w FFmpeg, jest także autorem lub współautorem licznych odkryć błędów w systemie Windows.
Po co to wszystko
Google wyjaśnia, że głównym celem, oprócz „sprawienia, by internet był bezpieczniejszy”, jest przede wszystkim utrudnienie życia organizacjom, które odkrywają błędy i wykorzystują je do celów przestępczych i komercyjnych, nie informując o nich producentów. Firma liczy na to, że dzięki odpowiedniemu ukierunkowaniu swoich badań będzie w stanie zablokować większość przypadków udanych ataków z wykorzystaniem błędów typu 0day. Wygląda na to, że plan ma szansę powodzenia. Świetny skład zespołu gwarantuje liczne odkrycia. Dodatkowo w dzisiejszych czasach do przeprowadzenia skutecznego ataku na internautów często potrzebny jest cały łańcuch różnych błędów, zatem załatanie chociażby jednego z nich może już wytrącić broń z ręki przestępców.
Komentarze
Gratulujemy! Mateusz „j00ru” Jurczyk był naszym prelegentem na SEConference 2013 więc wiadomość o jego sukcesie szczególnie nas ucieszyła.
Jego prezentacja pod linkiem:
http://j00ru.vexillium.org/blog/02_06_13/seconf_slides.pdf
oraz audio:
http://seconference.pl/mp3/05-Bezpieczenstwo_jadra_Windows.mp3
Jak dla mnie to sandboxing, fuzzing, zaawansowane debuggowanie pamieci – valgrind itp. Promowanie i obniżanie progu wejscia w te technologie to cos co mozna zrobic.
To w jaki sposob chrome sandbox ulatwa korzystanie z zaawansowanych mechanizmow systemu jest niesamowite.
> W tym zaszczytnym gronie znajdzie się także nasz rodak, Mateusz „j00ru” Jurczyk.
[potrzebne źródło]
Źródłem jest sam j00ru, którego o to zapytaliśmy. Nie będziemy linkować do emaila…
Zapomnieliście wspomnieć o jeszcze jednej osobie – Ian Beer (bugi w Safari między innymi).
Nie zapomnieliśmy – był mniej ciekawy :) Będzie też np. James Forshaw, zwycięzca pierwszego $100 000 bug bounty Microsoftu.
Ian nie jest zachwycony waszym tłumaczeniem :P
Przeproś w naszym imieniu i powiedz że jak tylko odkryje coś dużego to dostanie osobny artykuł ;)
czy Georg Hotz nie jest przypadkiem takze autorem metody towelroot dzieki ktorej moja Z1c smiga na zrootowanym 4.4.4?
jakby co to polecam EasyRoot (można znalezc na XDA :))
Jest, ale on tylko wykorzystał błąd, a nie go odkrył.
Gratulujemy Mateuszowi!
Gdzie pracują najlepsi inżynierowie ? Nie w google , dlaczego ? Bo google słabo płaci . Takie stwierdzenie w branży IT .