Mostrando entradas con la etiqueta Project Zero. Mostrar todas las entradas
Mostrando entradas con la etiqueta Project Zero. Mostrar todas las entradas

domingo, 25 de enero de 2015

Google Project Zero: ¿Dónde están los límites?

El pasado 15 de julio de 2014, Google anunciaba el lanzamiento de un nuevo servicio Google Project Zero. Un equipo de especialistas en seguridad informática (hackers), que se encarga desde entonces de hacer cumplir uno de los objetivos: hacer de internet un espacio más seguro.



Figura 1. Imagen Google Project Zero.

El año pasado, ha sido especialmente cruel en cuanto al incremento de ataques a sistemas informáticos; la iniciativa de Google se propone auditar las vulnerabilidades en aplicaciones fabricadas por otras compañías, tanto de software privado, como libre. No es una cuestión secundaria el interés en tomar partido por parte de la empresa 'Mountain View'.



Figura  2. Imagen ilustrativa del denominado "Ataque del día cero".
Comparto un párrafo del comunicado oficial del lanzamiento de Project Zero, que viene a resumir las pretensiones citadas anteriormente.

“Deberías ser capaz de usar la web sin temer que un criminal o alguien patrocinado por un gobierno esté explotando bugs en software para infectar tu computadora, robar secretos o monitorear tus comunicaciones. En ataques sofisticados, vemos el uso de vulnerabilidades zero-day para atacar, por ejemplo, activistas de recursos humanos o para ejecutar espionaje industrial. Esto tiene que parar. Creemos que se puede hacer más para detener este problema".
Chris Evans, Director de Investigación de Google
Google reconoció que no es invulnerable a estos tipos de ataques, por lo que han contratado la empresa de 'hacker' George Hots, GeoHot.

Figura  3. Captura de pantalla del sitio GeoHot.


El problema surge a raíz de los 'bugs'  encontrados en Windows y OX X. 


Los compromisos iniciales contemplaban la detección de vulnerabilidades, y el reporte inicial al proveedor correspondiente, nunca a terceras partes. Una vez elaborados los parches de seguridad y tras 90 días, se harían públicos.

Especial interés en la declaración inicial de técnicas, personas y entidades objetivos de los atacantes, e incrementar los esfuerzos en la reducción de los riesgos en sistemas y dispositivos.




Figura  4. Enlace a la noticia en Hipertextual.




Figura  5. Enlace a la noticia en Hipertextual.


Google se ha reservado el de publicar junto a las vulnerabilidades, el de añadir a la publicación del parche una "medida de responsabilidad". Consiste en responsabilizar exclusivamente al fabricante, de los daños producidos en sistemas y dispositivos, derivados de la divulgación pública del hallazgo de esas vulnerabilidades.

Dejamos el tema abierto; al menos de forma personal, creo interesante no sólo los descubrimientos de 'Project Zero', sino también las políticas que nos imponen desde la empresa.