Polak w składzie elitarnego zespołu łowców błędów stworzonego przez Google

dodał 15 lipca 2014 o 22:26 w kategorii Info  z tagami:
Polak w składzie elitarnego zespołu łowców błędów stworzonego przez Google

Google ogłosiło właśnie stworzenie dedykowanego zespołu wyśmienitych specjalistów, których jedynym zadaniem będzie wyszukiwanie i zgłaszanie błędów w popularnym oprogramowaniu różnych producentów. Wśród elity badaczy znalazł się nasz rodak, Mateusz „j00ru” Jurczyk.

Google już od dawna poszerzyło zakres zainteresowań swojego zespołu bezpieczeństwa poza oprogramowanie własnego autorstwa. Jego pracownicy w ostatnich latach odkrywali oraz odpowiedzialnie raportowali błędy w licznych popularnych aplikacjach. Firma postanowiła bardziej sformalizować ten proces i stworzyła dedykowany zespół, którego jedynym zadaniem ma być wyszukiwanie błędów.

Project Zero

Google było jedną z pierwszych firm, które wprowadziły program nagród za zgłaszane błędy w swoich produktach (bug bounty). Pół roku temu firma rozszerzyła ten program także na oprogramowanie open source, przy czym nagradza modyfikacje kodu, mające za zadanie podnieść jego bezpieczeństwo. Od roku 2012 sponsoruje także coroczny konkurs Pwnium, w którym hojnie nagradza osoby, które potrafły przełamać bezpieczeństwo Chromium OS lub przeglądarki Chrome.

Bardzo istotnym elementem działania Google na rzecz bezpieczeństwa całej sieci były do tej pory indywidualne (lub zespołowe) działania jego pracowników. Na liście najważniejszych błędów, odkrytych w dziesiątkach różnych produktów przez „Googlersów” znajduje się prawie 250 pozycji (CVE jest ponad 400, a nie wszystkie zostały wymienione), a na samym jej szczycie figuruje Neel Mehta z błędem w OpenSSL (Heartbleed).  Znajdziemy na niej także polskie nazwiska – odkrycia Roberta Święckiego, Michała Zalewskiego, Mateusza Jurczyka czy Gynvaela Coldwinda stanowią istotną część długiej listy.

Drużyna marzeń

Dzisiaj Google ogłosiło powstanie zespołu Project Zero, jednak sam zespół musiał istnieć dużo wcześniej – już w kwietniu tego roku Apple dziękowało jednemu z jego badaczy za zgłoszenie błędu w ich aplikacji. Pełen skład zespołu nie został opublikowany, ale znamy kilka postaci. Szefem jest Chris Evans, który wcześniej odpowiedzialny był za bezpieczeństwo przeglądarki Chrome. Spójrzmy, kogo udało mu się zrekrutować:

  • Tavis Ormandy – jeden z najbardziej znanych odkrywców błędów, bez którego coroczna lista CVE byłaby uboższa o kilkadziesiąt pozycji. Odkryte przez niego błędy pozwoliły między innymi na pokonanie zabezpieczeń iPhone’a oraz Playstation.
  • Ben Hawkes – bez niego lista CVE za rok 2013 nie obejmowałaby dziesiątek błędów w Adobe Flash i MS Office
  • George Hotz – pierwszy złamał iPhone’a i PS3, ostatnio pokonał także Chromium OS i będzie stażystą w zespole

W tym zaszczytnym gronie znajdzie się także nasz rodak, Mateusz „j00ru” Jurczyk. Mateusz, dwukrotny laureat Pwnie Awards, mocno przyczynił się w ostatnich latach do rozbudowania listy błędów odkrytych przez pracowników Google. Wspólnie z Gynvaelem Coldwindem odkrył sporą garść błędów w czytnikach PDF czy też w FFmpeg, jest także autorem lub współautorem licznych odkryć błędów w systemie Windows.

George Hotz (źródło: Wired)

George Hotz (źródło: Wired)

Po co to wszystko

Google wyjaśnia, że głównym celem, oprócz „sprawienia, by internet był bezpieczniejszy”, jest przede wszystkim utrudnienie życia organizacjom, które odkrywają błędy i wykorzystują je do celów przestępczych i komercyjnych, nie informując o nich producentów. Firma liczy na to, że dzięki odpowiedniemu ukierunkowaniu swoich badań będzie w stanie zablokować większość przypadków udanych ataków z wykorzystaniem błędów typu 0day. Wygląda na to, że plan ma szansę powodzenia. Świetny skład zespołu gwarantuje liczne odkrycia. Dodatkowo w dzisiejszych czasach do przeprowadzenia skutecznego ataku na internautów często potrzebny jest cały łańcuch różnych błędów, zatem załatanie chociażby jednego z nich może już wytrącić broń z ręki przestępców.